Verwerkersovereenkomst Ondergetekenden:

Verwerkersovereenkomst

Ondergetekenden:

1. De vereniging met volledige rechtsbevoegdheid Nederlandse Vereniging tot Bescherming van Dieren, hierna te noemen: “de Dierenbescherming”, statutair gevestigd en kantoorhoudende te (2516 AC) Den Haag aan de Xxxxxxxxxx 00, ingeschreven in het Handelsregister onder KvK-nummer 40407319, te dezen rechtsgeldig vertegenwoordigd door mevrouw E. Bien, Bestuurder.

hierna te noemen: ‘Verwerkingsverantwoordelijke’,

en

2. [RECHTSVORM] [STATUTAIRE NAAM], statutair gevestigd te [PLAATS], ingeschreven in het handelsregister onder KvK-nummer [NUMMER] vertegenwoordigd door [NAAM BEVOEGD VERTEGENWOORDIGER], [FUNCTIE],

hierna te noemen: ‘Verwerker’,

hierna afzonderlijk ook aan te duiden als “Partij” en gezamenlijk als “Partijen”;

Overwegende dat:

Partijen hebben op [DATUM] een (hoofd en-/of raam-)overeenkomst met betrekking tot [OMSCHRIJVING] gesloten (hierna: “De Overeenkomst”). Ter uitvoering van deze Overeenkomst worden door de Verwerker Persoonsgegevens van Verwerkingsverantwoordelijke verwerkt.

Verwerkingsverantwoordelijke hecht grote waarde aan het beschermen van deze Persoonsgegevens. Om die reden leggen Partijen de doelen en middelen van en voorwaarden voor de verwerking van persoonsgegevens vast in deze Verwerkersovereenkomst en daarbij behorende bijlagen, te weten:

Bijlage 1: Overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen;

Bijlage 2: Overzicht met beveiligingsmaatregelen;

Bijlage 3: Proces melding Datalekken en de daarover te verstrekken informatie.

Komen overeen als volgt:

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming), hierna: “de Verordening”, en hebben de volgende betekenis:

* Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de

Betrokkene’). Als identificeerbaar wordt beschouwd: een natuurlijke persoon die direct of indirect kan

worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een

identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die

kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale

identiteit van die natuurlijke persoon.

* Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

* Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

* Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander

orgaan die/dat ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

* Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte

Persoonsgegeven betrekking hebben.

* Verwerkersovereenkomst: onderhavige overeenkomst inclusief de bijlagen.

* de Overeenkomst: de hoofd- en/of raamovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit.

* Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op

onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van

of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘Datalek’).

* Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de

naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit

Persoonsgegevens.

2. Totstandkoming, duur en eindigen overeenkomst

2.1 Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en start op de datum van de laatste ondertekening.

2.2 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

2.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de

Verwerkersovereenkomst kan niet apart worden opgezegd.

2.4 Na het eindigen van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Verwerker, zoals het melden van Datalekken waarbij Persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn en de plicht tot geheimhouding, blijven voortduren.

3. Verwerken Persoonsgegevens

3.1 Verwerker verwerkt alleen Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke en Verwerker heeft geen zeggenschap over de Persoonsgegevens. Verwerker volgt instructies van Verwerkingsverantwoordelijke ten aanzien van de verwerking op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Verwerkingsverantwoordelijke Verwerker daar van tevoren toestemming of opdracht voor geeft.

3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens Verwerker zal verwerken en voor welke verwerkingsdoeleinden.

3.3 Verwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.4 Verwerker mag zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

3.5 Wanneer Verwerker met toestemming van Verwerkingsverantwoordelijke andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst. Verwerker blijft in de verhouding tussen Partijen altijd het aanspreekpunt en volledig verantwoordelijk en aansprakelijk voor de gevolgen van het uitbesteden van de werkzaamheden en voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.

3.6 Wanneer Verwerkingsverantwoordelijke een verzoek van een Betrokkene ontvangt ten aanzien van het uitoefenen van zijn of haar rechten, dan werkt Xxxxxxxxx daar aan mee. Verwerker zal eventueel ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven.

3.7 Rekening houdend met de aard van de verwerking en de ter beschikking staande informatie, verstrekt de Verwerker de Verwerkingsverantwoordelijke de benodigde informatie in het kader van het kunnen uitvoeren van een Data Privacy Impact Assessment door de Verwerkingsverantwoordelijke.

4. Beveiligen Persoonsgegevens

4.1 Verwerker zorgt ervoor dat de Persoonsgegevens voldoende worden beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Verwerker passende technische en organisatorische maatregelen.

4.2 Deze maatregelen zijn afgestemd op het risico van de Verwerking. Een overzicht van deze

maatregelen en het beleid daaromtrent wordt opgenomen in Bijlage 2.

4.3 Ter controle van de genomen beveiligingsmaatregelen zal Verwerker ieder jaar, althans op verzoek van Verwerkersverantwoordelijke, een rapportage sturen aan Verwerkingsverantwoordelijke waarin de genomen maatregelen staan en de eventuele aandachts- en/of verbeterpunten. Hiervoor brengt Verwerker geen kosten in rekening aan Verwerkingsverantwoordelijke.

4.4 Verwerkingsverantwoordelijke behoudt zich het recht voor om een audit te laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Verwerkingsverantwoordelijke kan dat zelf doen of hij kan dat laten doen door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor. Verwerker verleent hieraan zijn medewerking, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.

4.5 De kosten voor de uitvoering van deze audit zullen voor rekening van Xxxxxxxxx komen wanneer blijkt dat Xxxxxxxxx zich niet aan de verplichtingen in deze Verwerkersovereenkomst houdt. De kosten voor de inzet van personeel dat de audit begeleidt zijn kosten voor de Verwerker.

4.6 De controle op de algehele verwerking van Persoonsgegevens door Verwerker kan, naast de auditmogelijkheid, ook geschieden via zelfevaluatie door Verwerker. Verwerker zal in dit geval aan Verwerkingsverantwoordelijke (kosteloos) een rapport verstrekken waarin Verwerker aantoont dat hij voldoet aan de wet en de bepalingen in deze Verwerkersovereenkomst. Deze rapportage dient te worden ondertekend door een directielid binnen de organisatie van Verwerker.

4.7 Wanneer Partijen menen dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over wijziging daarvan.

4.8. Verwerker verleent , indien van toepassing, zijn volledige medewerking bij het uitvoeren van een Data Protection Impact Assessment en een voorafgaande raadpleging.

5. Exporteren Persoonsgegevens

Verwerker mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de

Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben

verkregen van Verwerkingsverantwoordelijke.

6. Geheimhouding

6.1 Verwerker zal de verstrekte Persoonsgegevens geheim houden en deze niet, direct of indirect, aan derden verstrekken, tenzij Verwerker hiertoe op basis van een wettelijke verplichting gehouden is.

6.2 Verwerker zorgt dat zijn/haar personeel en ingeschakelde derden zich aan deze

geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)contracten op te nemen. Verwerker zorgt erin elk geval voor dat hij schriftelijk bewijs bezit en kan tonen van de gebondenheid aan de geheimhoudingsverplichting. Voor Verwerkers die moeten voldoen aan de DDMA richtlijn, levert het DDMA model integriteits- en geheimhoudingsverklaring daarvan bewijs, mits ondertekend door het betreffende personeelslid/de ingeschakelde derde.

7. Datalekken

7.1 In geval van een ontdekking van een mogelijk Datalek zal Verwerker Verwerkingsverantwoordelijke hierover onverwijld, maar uiterlijk binnen een termijn van 24 uur informeren overeenkomstig het proces uiteengezet in Bijlage 3, zodat Verwerkingsverantwoordelijke indien nodig een melding van het Datalek bij de Toezichthouder kan doen.

7.2 Verwerker zal Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, ook zal Verwerker de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, onverwijld overleggen aan Verwerkingsverantwoordelijke.

7.3 Verwerker mag geen melding van een Datalek aan de Toezichthouder doen, wanneer bij het Datalek Persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn. Ook mag Verwerker de Betrokkene(n) niet informeren over het Datalek. Deze verantwoordelijkheid ligt bij Verwerkingsverantwoordelijke.

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van de Partij bij wie de oorzaak van het Datalek ligt.

8.     Aansprakelijkheid

8.1 Als Verwerker de verplichtingen uit deze Verwerkersovereenkomst niet nakomt, kan

Verwerkingsverantwoordelijke Verwerker daarvoor aansprakelijk stellen.

8.2. Verwerker is aansprakelijk voor alle schade die Verwerkingsverantwoordelijke lijdt door het niet nakomen van de wet en de bepalingen uit deze Verwerkersovereenkomst, voor zover dit is ontstaan door de werkzaamheden van Verwerker.

9. Teruggave Persoonsgegevens en bewaartermijn

9.1 Na het (be)eindigen van deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, geeft Verwerker naar keuze van Verwerkingsverantwoordelijke - alle (bestanden met) Persoonsgegevens, waaronder in ieder geval maar niet uitsluitend worden begrepen: backupbestanden, bijlagen in email, backup van email, externe datadragers zoals USB en losse harddisks, zo snel mogelijk, doch uiterlijk binnen …… WEKEN/MAANDEN na het einde van de werkzaamheden die voort vloeien uit de Overeenkomst, terug aan Verwerkingsverantwoordelijke.

9.2 Enige overgebleven Persoonsgegevens zal Verwerker vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van Verwerkingsverantwoordelijke. Hierbij valt bijvoorbeeld te denken aan Persoonsgegevens die om belastingtechnische redenen bewaard moeten blijven.

9.3 Verwerker zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan Verwerkingsverantwoordelijke verklaren niet langer in het bezit te zijn van de Persoonsgegevens.

10. Toepasselijk recht en geschillenbeslechting

10.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

10.2 Eventuele geschillen die tussen Partijen ontstaan, verband houdende met deze Verwerkersovereenkomst, worden voorgelegd aan de bevoegde rechtbank van het arrondissement waarin de Verwerkingsverantwoordelijke gevestigd is.

11. Slotbepalingen

11.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.

11.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in deze Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst ten aanzien van de verwerking van Persoonsgegevens.

11.3 Een wijziging van deze Verwerkersovereenkomst of een deel daarvan zal pas van kracht zijn nadat die schriftelijk is vastgelegd en door alle Partijen is ondertekend.

Aldus overeengekomen en ondertekend:

Verwerkingsverantwoordelijke:

Nederlandse Vereniging tot Bescherming van Dieren, namens deze:

Naam: E. Bien

Functie: Bestuurder

Datum en plaats:

Handtekening:

Verwerker:

[STATUTAIRE NAAM], namens deze:

Naam:

Functie:

Datum en plaats:

Handtekening:

Bijlage 1: Overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen

Het onderstaande schema wordt door Verwerker en Verwerkingsverantwoordelijke ingevuld elke keer dat een Verwerkersovereenkomst wordt gesloten. Het geeft een volledig overzicht van de Persoonsgegevens die verwerkt zullen worden.

• Let op: bovenstaand stuk tekst in definitieve Overeenkomst weghalen! -

Beschrijving verwerkingsactiviteiten door Verwerker:

Verwerkingsdoelen:

Verwerkingsverantwoordelijke:

Verwerker:

Sub-Verwerkers:

Verwerkte Persoonsgegevens:

Locatie verwerkingen:

Bewaartermijn:

Bijlage 2: Overzicht met beveiligingsmaatregelen

Deel 1: Informatiebeveiligingsnorm

De Verwerker hanteert de volgende informatiebeveiligingsnorm (kruis aan wat van toepassing is):

☐
ISO 27001

☐
ISAE 3402

☐
Xxxxxx, namelijk ____________________

☐
Geen norm

Deel 2: Organisatorische en technische beveiligingsmaatregelen

De Verwerker heeft tenminste onderstaande beveiligingsmaatregelen getroffen (kruis aan wat van toepassing is):

Onderwerp	Maatregel	Aanwezig	Niet aanwezig	Niet van toepassing
Beleid	Informatiebe-veiligingsbeleid
Veilig personeel	VOG
	Awareness en training van personeel
	Geheimhoudingsverklaring voor (ingehuurde) medewerkers
Toegangsbeleid	Fysiek toegangsbeleid
	Autorisatiebeleid
	Wachtwoord-beleid
	Twee factor authenticatie
	Logging- en monitoringsbeleid
Incident-management	Procedure beveiligingsincidenten en datalekken
Continuïteit	Back-up en restore beleid
	Business continuity plan
Bedrijfsmiddelen	Beleid veilig gebruik maken van bedrijfsmiddelen en systemen
Cryptografie (versleuteling)	Encryptie in transit
	Encryptie at rest
Informatie-systemen	Beleid aanschaf, ontwikkeling en onderhoud van informatie-systemen
Onafhankelijke beoordelingen	Interne audit
	Externe audit
	Penetratie test
	Vulnerability check

Bijlage 3: Proces melding Datalekken en de te verstrekken informatie

Wat is een beveiligingsincident en wanneer moet dit gemeld worden?

Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, login-gegevens, cookies, IP-adressen of identificerende gegevens van computers of telefoons.

Hieronder staan een aantal voorbeelden van beveiligingsincidenten die moeten worden gemeld bij de Autoriteit Persoonsgegevens.

• De website met login-gegevens is gehackt of is toegankelijk voor derden.

• Verlies van een laptop of USB-stick met Persoonsgegevens.

• Salarisstroken van medewerkers zijn per ongeluk naar verkeerde personen gestuurd.

• Brieven of e-mails worden naar een verkeerd adres gestuurd.

• Een aanval van een hacker op het ICT-systeem.

• Een verloren of gestolen telefoon waar Persoonsgegevens op aanwezig zijn.

Wat te doen bij twijfel?

Als op basis van bovenstaande niet meteen duidelijk is of er sprake is van een beveiligingsincident, stel dan de volgende vragen:

• Is er een technisch of fysiek beveiligingsprobleem?

• Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers of identificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.

• Gaat het om gevoelige gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiële situatie, zoals salaris of gegevens waar (identiteit)fraude mee kan worden gepleegd, zoals een Burgerservicenummer?

• Zijn er grote hoeveelheden Persoonsgegevens onbedoeld toegankelijk geworden voor derden?

• Gaat het om gegevens van kwetsbare groepen zoals kinderen?

• Worden de Persoonsgegevens beheerd door een leverancier?

Ook bij twijfel, neem het zekere voor het onzekere en neem altijd contact op met de Security Officer (contactgegevens staan hieronder).

Waar meld je het beveiligingsincident?

Wanneer er een beveiligingsincident ondekt is, neem dan direct contact op met de Security Officer van de Dierenbescherming via: xxxxxxxx@xxxxxxxxxxxxxxxxx.xx en/of bel het volgende nummer: 088-8113260.

Geef in de e-mail beantwoording op de onderstaande vragen. Deze vragen zijn gelijk aan de informatie die aan de Autoriteit Persoonsgegevens moet worden verstrekt. Gaarne de vragen zo volledig mogelijk en schriftelijk beantwoorden.

1. Geef een samenvatting van het beveiligingslek/beveiligingsincident/datalek: wat is er gebeurd? Xxxxxxx hier ook de naam van het betrokken systeem.

2. Welke typen Persoonsgegevens zijn betrokken bij het beveiligingsincident?

Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.

3. Van hoeveel personen zijn de Persoonsgegevens betrokken bij het beveiligingsincident?

Geef a.u.b. een minimum en maximum aantal personen.

4. Omschrijving groep personen om wiens gegevens het gaat.

Geef aan of het gaat om medewerkersgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.

5. Zijn de contactgegevens van de betrokken personen bekend?

Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?

6. Wat is de oorzaak (root cause) van het beveiligingsincident?

Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?

7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden?

Geef dit a.u.b. zo specifiek mogelijk aan.

Versie 1 januari 2021