Verwerkersovereenkomst AVG - VVV Schiermonnikoog

Verwerkersovereenkomst AVG - VVV Schiermonnikoog

Partijen:

A (Verantwoordelijke)

Naam:

Contactpersoon:

Contactgegevens (email, telefoon):

B (Verwerker)

Naam: VVV Schiermonnikoog Contactpersoon: Xxxxxx Xxxxxxxxx, bestuurslid

Contactgegevens: xxxx@xxxxxxxxxxxxxxxxxx.xx, 0519 53 12 33

Algemene omschrijving:

Partij A beschikt als verantwoordelijke over persoonsgegevens en deelt deze met verwerker. Het onderwerp van de verwerking is:

Bemiddeling voor boekingen vakantie-accommodaties en boekingen excursies. Beide op Schiermonnikoog.

Het doel van de verwerking is: Verzorgen van boekingen.

De categorie betrokkenen / de groep mensen over wie de gegevens gaan is: Gasten, bestaande uit toeristische bezoekers, bedrijven, instellingen en inwoners die een toeristische dienst of product afnemen op Schiermonnikoog.

De soort gegevens die worden gedeeld:

Geslacht

Voornaam Achternaam Adres en woonplaats Land

Telefoonnummer Email Geboortedatum Aankomstdatum Verblijfsduur Aantal personen

De duur van de verwerking begint op het moment van boeken.

Deze eindigt op het moment dat de dienst is afgenomen, betaald en afgerond.

Overeengekomen punten:

Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De verwerker zal zich in ieder geval houden aan de volgende punten:

1. De verwerking vindt uitsluitend plaats op basis van de schriftelijke instructies van verantwoordelijke.

2. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken tenzij de persoon (of personen) wiens gegevens het betreft daar vooraf toestemming voor geeft.

3. Personen in dienst van of werkzaam voor de verwerker die in aanraking komen met de betreffende gegevens hebben een geheimhoudingsplicht.

4. Xxxxxxxxx neemt passende technische en organisatorische maatregelen zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen zijn gewaarborgd. (zie laatste sectie)

5. De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming van / of overeenkomst met verantwoordelijke.

6. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen vast als in deze overeenkomst.

7. Bij het niet nakomen van de verplichtingen van de subverwerker, is de verwerker nog steeds aansprakelijk voor het nakomen van verplichtingen aan verantwoordelijke

8. De verwerker helpt om te voldoen aan de plichten van verantwoordelijke als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

9. De verwerker helpt mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat verwerker mogelijke datalekken direct meldt aan verantwoordelijke en meewerkt aan onderzoek/analyse. De verwerker hoeft niet te melden aan de AP, dit doet de verantwoordelijke. De verwerker brengt voor afhandeling mogelijke datalekken ontstaan bij verwerker geen kosten in rekening.

10. De verwerker helpt mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment. ).

11. De verwerker werkt mee aan audits door Verantwoordelijke of een door Verantwoordelijke ingeschakelde derde partij. Verwerker stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen

12. De verwerker mag de gegevens niet verwerken buiten organisaties/landen die minimaal evenveel waarborgen bieden als de Europese Unie, tenzij schriftelijk anders overeengekomen.

Overzicht beveiligingsmaatregelen

De verwerker zal minimaal de volgende maatregelen toepassen:

Permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Aldus overeengekomen

Verantwoordelijke:
[verhuurder accommodatie, organisator excursie of anderszins relevante partij die persoonsgegevens verstrekt aan VVV Schiermonnikoog] Verwerker: VVV Schiermonnnikoog
Namens deze Xxxxxx Xxxxxxxxx, bestuurslid

Achtergrondinformatie bij template

Dit template is opgesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens, om te voldoen aan de AVG / GDPR. Een verwerkersovereenkomst moet gesloten worden tussen alle opdrachtgevers en leveranciers die persoonsgegevens uitwisselen.

De Autoriteit Persoonsgegeven is de leidende toezichthouder voor GDPR in Nederland. Deze heeft het volgende gepubliceerd over de verwerkersovereenkomst. Hier is dit template op gebaseerd.

Bron: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxx-xxxxxx-xxxxxxxx- privacywetgeving/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst- staan-6344

Voor achtergrondinformatie, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxx-xxx-xx-00-xxxxxxx/ Voor meer informatie over melden datalekken, zie:

xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx/

Citaat:

Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

U moet de volgende onderwerpen vastleggen:

Algemene beschrijving

Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

Instructies verwerking

De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht

Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging

De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Subverwerkers

De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

Privacyrechten

De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen

De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Gegevens verwijderen

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits

De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).