Instructie: - Voor zover teksten ‘<OPTIONEEL>’ zijn is dat aangegeven in de tekst. - Bij teksten waar ‘OF’ tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden. De overige optie(s) verwijderen uit de...


Instructie:


- Voor zover teksten ‘<OPTIONEEL>’ zijn is dat aangegeven in de tekst.

- Bij teksten waar ‘OF’ tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden. De overige optie(s) verwijderen uit de overeenkomst.

- Deze Verwerkersovereenkomst kan alleen in combinatie met een Koop- en leveringsovereenkomst worden gesloten.


N.B. Bij gebruik van de overeenkomst, deze instructie verwijderen.


Shape1

(Datum: april 2018)




Verwerkersovereenkomst ARIV-2016

Contractnummer: […].



De ondergetekenden:


1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag,

te dezen vertegenwoordigd door de Minister/Staatssecretaris van/voor [naam portefeuille],

namens deze,

[functienaam en naam ondertekenaar]

hierna te noemen: Koper,


en


2. [volledige naam en rechtsvorm contractant],

(statutair) gevestigd te [plaats],

te dezen vertegenwoordigd door

............... (en ..............) [naam ondertekenaar]

hierna te noemen: Leverancier,


hierna gezamenlijk te noemen: Partijen;



OVERWEGENDE DAT:


  • voor zover Leverancier Persoonsgegevens Verwerkt ten behoeve van Koper in het kader van de Overeenkomst, Koper krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Leverancier als verwerker;

  • Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Leverancier wensen vast te leggen.




KOMEN OVEREEN:


Artikel 1. Begrippen

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Rijks­inkoopvoorwaarden 2016 (ARIV-2016). In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:


1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.


1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.


1.3 Overeenkomst: de overeenkomst tussen Koper en Leverancier [titel] van [datum], met kenmerk [kenmerk].


1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Leverancier in het kader van de Overeenkomst ten behoeve van Koper verwerkt.

1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.6 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.


1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.


Artikel 2. Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Leverancier in het kader van de Overeenkomst.


2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven.


2.3 Leverancier garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.


2.4 Leverancier garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.


Artikel 3. Inwerkingtreding en duur

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.


3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Leverancier alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.


3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.


Artikel 4. Omvang verwerkingsbevoegdheid Leverancier

4.1 Leverancier Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Koper behoudens afwijkende wettelijke voorschriften die op Leverancier van toepassing zijn.


4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Leverancier in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Koper daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.


4.3 Indien Leverancier op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Koper onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

4.4 Leverancier heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.


Artikel 5. Beveiliging van de Verwerking

5.1 Onverminderd artikel 2.3 treft Leverancier de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.


5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Leverancier waarborgt een op het risico afgestemd beveiligingsniveau.


5.3 Indien en voor zover Koper daarom uitdrukkelijk schriftelijk verzoekt, zal Leverancier aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.


5.4 Leverancier Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Koper en behoudens afwijkende wettelijke verplichtingen.


5.5 Leverancier informeert Xxxxx zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.


5.6 Leverancier verleent Koper bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.


Artikel 6. Geheimhouding door Personeel van Xxxxxxxxxxx

6.1 De Persoonsgegevens hebben een vertrouwelijk karakter als bedoeld in artikel 8.1 van de ARIV-2016.


6.2 Leverancier toont op verzoek van Xxxxx aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in artikel 8.2 van de ARIV-2016.


Artikel 7. Subverwerker

7.1 Bij het uitvoeren van de Overeenkomst mag Leverancier alleen met voorafgaande schriftelijke toestemming van Xxxxx een andere verwerker inschakelen. Deze toestemming, waaraan door Koper nadere voorwaarden kunnen worden verbonden, wordt niet zonder redelijke grond geweigerd.


7.2 Toestemming van Koper laat de eigen verantwoordelijkheid en aansprakelijkheid van Leverancier voor de nakoming van de krachtens de Overeenkomst op hem rustende verplichtingen en de krachtens de belasting-, zorgverzekerings- en sociale verzekeringswetgeving op hem als werkgever rustende verplichtingen, onverlet.


7.3 Wanneer Leverancier met inachtneming van het bepaalde in dit artikel een andere verwerker inschakelt om ten behoeve van Koper verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

Artikel 8. Bijstand vanwege rechten van Betrokkene

Leverancier verleent Xxxxx bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.

Artikel 9. Inbreuk in verband met Persoonsgegevens

9.1 Leverancier informeert Xxxxx zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.


9.2 Leverancier informeert Xxxxx ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

9.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.


Artikel 10. Terugbezorgen of wissen Persoonsgegevens

10.1 Na afloop van de Overeenkomst draagt Leverancier, naar gelang de keuze van Xxxxx, zorg voor het terugbezorgen aan Koper of het wissen van alle Persoonsgegevens. Leverancier verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.


10.2 <OPTIONEEL> Leverancier [wist of retourneert] de Persoonsgegevens binnen [aantal] [dagen/weken] na afloop van de Overeenkomst, bij gebreke waarvan Xxxxxxxxxxx een boete verschuldigd is van €[bedrag] per dag, met een maximum van €[bedrag].


10.3 <OPTIONEEL> Persoonsgegevens worden in de door Koper aangegeven vorm en op de door Koper aangegeven wijze terugbezorgd.


OF


10.3 <OPTIONEEL> De Persoonsgegevens worden als volgt terugbezorgd: [bestandsformaat] [wijze] [adres].


Artikel 11. Informatieverplichting en audit

11.1 Leverancier stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.


11.2 Leverancier verleent alle benodigde medewerking aan audits.


11.3 <OPTIONEEL> Koper laat eenmaal per […] een audit uitvoeren door een onafhankelijke partij.


OF


11.3 <OPTIONEEL> Leverancier verstrekt met een frequentie van eenmaal per […], uiterlijk op [datum] aan Koper een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de genoemde naleving.



Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,


Den Haag, [datum] [Plaats], [datum]



DE MINISTER/STAATSSECRETARIS VAN/VOOR [naam Leverancier]

[naam portefeuille]

namens deze,

[functienaam ondertekenaar]






[naam ondertekenaar] [functie en naam ondertekenaar]


Bijlage 1. De Verwerking van Persoonsgegevens


In deze bijlage moet in ieder geval het volgende worden gespecificeerd:

Het onderwerp/aard en doel van de Verwerking


Het soort Persoonsgegevens


Beschrijving categorieën Persoonsgegevens


Beschrijving categorieën Betrokkenen


Beschrijving categorieën ontvangers van Persoonsgegevens




Voor de inhoud van deze bijlage kan onder meer gebruik worden gemaakt van de registratie die de Verwerkingsverantwoordelijke op grond van artikel 30 van de Verordening dient aan te houden.





Bijlage 2. Passende technische en organisatorische maatregelen


In deze bijlage moeten de normen en maatregelen die Leverancier in het kader van de beveiliging van de Verwerking moet hanteren respectievelijk treffen worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen of de offerteaanvraag.




Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens


In deze bijlage moeten de afspraken over hoe Leverancier Koper over Inbreuken in verband met Persoonsgegevens gaat informeren worden gespecificeerd.


Departementale procedure

-----



Informatie die ten minste door Leverancier moet worden verstrekt


Aard van de Inbreuk in verband met Persoonsgegevens

De Persoonsgegevens en Betrokkene

Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens

Maatregelen die Leverancier heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan


Verwerkersovereenkomst ARIV-2016 8


Document Metadata

Filed: May 25th, 2018