Verwerkersovereenkomst externen met De Rekenkamer(commissie)
Verwerkersovereenkomst externen met De Rekenkamer(commissie)
- De Rekenkamer(commissie) van de gemeente(n) , gevestigd aan de <straat + nr> te <plaats>, in deze rechtsgeldig vertegenwoordigd door <naam>, <functie>, hierna: ‘Opdrachtgever’ of ’Verantwoordelijke’;
en
- [statutairenaam], gevestigd aan de <straat + nr> te <plaats>, in deze rechtsgeldig vertegenwoordigd door <naam>, <functie>, kvk-nr: <KvK>, hierna ‘Opdrachtnemer’ of ‘Verwerker’;
hierna gezamenlijk te noemen ‘Partijen’ en ‘Partij’ indien het enkelvoud betreft,
Overwegende dat:
Opdrachtgever en Opdrachtnemer een overeenkomst van opdracht met elkaar hebben gesloten.
Opdrachtnemer voor de uitvoering van De Overeenkomst mogelijk in aanraking komt met persoonsgegevens die onder de verantwoordelijkheid van Opdrachtgever vallen.
Niet volledig van tevoren is te voorzien of de Verwerker in alle gevallen onder gezag van Opdrachtgever valt, als zelfstandig Verantwoordelijke is aan te merken of als Verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG).
Opdrachtgever gehouden is een Verwerkersovereenkomst te sluiten met Opdrachtnemer in situaties waarin Opdrachtnemer als verwerker is aan te merken.
Partijen middels deze overeenkomst afspraken wensen vast te leggen voor de situaties waarin Opdrachtnemer als verwerker is aan te merken van Opdrachtgever.
Partijen voor de definities in deze overeenkomst aansluiten bij de toepasselijke wetgeving.
Artikel 1 Algemeen
1.1 Deze Verwerkersovereenkomst behelst uitsluitend de verwerking van persoonsgegevens door Verwerker in het kader van De Overeenkomst tussen partijen zoals genoemd in de overwegingen van deze Overeenkomst.
1.2 Verwerker is een verwerker als omschreven in artikel 4 lid 8 AVG, Verantwoordelijke is een Verwerkingsverantwoordelijke als omschreven in artikel 4 lid 7 AVG.
1.3 Verwerker en Verantwoordelijke verstrekken elkaar tijdig alle informatie welke noodzakelijk is om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.
Artikel 2 Verwerkingsdoeleinden en categorieën van betrokkenen
2.1 Verwerker verwerkt persoonsgegevens voor Verantwoordelijke onder de voorwaarden van deze Verwerkersovereenkomst ter uitvoering van de Overeenkomst tussen partijen.
2.2 Verwerker verwerkt de persoonsgegevens van Verantwoordelijke enkel voor zover noodzakelijk voor de uitvoering van De Overeenkomst en in overeenstemming met het doel waarvoor Verwerker over de gegevens beschikt.
2.3 De persoonsgegevens die door Verantwoordelijke aangeleverd worden, blijven diens eigendom (of eigendom van de partij van wie de persoonsgegevens zijn).
2.4 Verwerker bewaart persoonsgegevens niet langer dan noodzakelijk is voor de uitvoering van De Overeenkomst of conform de wettelijke bewaringstermijn als deze termijn langer is.
Artikel 3 Verplichtingen Verwerker
3.1 Verwerker zal de voorwaarden die wettelijk aan haar worden gesteld naleven bij het verwerken van de persoonsgegevens van Verantwoordelijke.
3.2 Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies door Verantwoordelijke, waarbij het gebruik van gegevens voor zover noodzakelijk voor de uitvoering van de gesloten Overeenkomst het uitgangspunt is.
3.3 Verwerker dient Verantwoordelijke direct in kennis te stellen indien een instructie van Verantwoordelijke naar haar oordeel een inbreuk oplevert op de regelgeving die vastgelegd is in de AVG.
3.4 Verwerker zal aan Verantwoordelijke de noodzakelijke medewerking verlenen wanneer dit in het kader van een gegevensbeschermingseffectbeoordeling (PIA), of voor de afwikkeling van enig verzoek van de toezichthouder, gewenst is. Verwerker mag hiervoor de redelijk gemaakte kosten aan Verantwoordelijke in rekening brengen.
Artikel 4 Verplichtingen Verwerkingsverantwoordelijke
4.1 Verantwoordelijke zal de persoonsgegevens op een passende wijze aan Verwerker ter beschikking te stellen.
4.2 Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerking van persoonsgegevens zoals bedoeld in deze Verwerkersovereen-komst, niet onrechtmatig is en geen inbreuk maakt op rechten van derden.
4.3 Verantwoordelijke zal enkel persoonsgegevens voor verwerking ter beschikking stellen waarvan zij over een wettelijke verwerkingsgrond beschikt.
Artikel 5 Inschakelen sub-Verwerkers en derden
5.1 Het is Verwerker zonder expliciete voorafgaande schriftelijke toestemming niet toegestaan om persoonsgegevens, in het bijzonder: gevoelige persoonsgegevens, waaronder worden verstaan, gegevens zoals opgenomen onder artikel 9 AVG, financiële gegevens van betrokkenen en BSN-nummers bij sub-verwerkers onder te brengen. <Optioneel: Verantwoordelijke geeft bij dezen toestemming om de bij bijlage 1 genoemde sub-verwerkers in te zetten.>
5.2 Sub-Verwerkers dienen ten minste het beveiligingsniveau te bieden dat partijen in deze Overeenkomst zijn overeengekomen.
Artikel 6 Meldplicht van datalekken
6.1 Indien Verwerker een datalek van persoonsgegevens constateert, dient Xxxxxxxxx dit onverwijld, en uiterlijk binnen 24 uur aan de Verantwoordelijke te melden via <e-mailadres of telefoonnummer verantwoordelijke>.
6.2 Verwerker wordt geacht om zo snel mogelijk maatregelen te treffen om de inbreuk op de persoonsgegevens te herstellen en er zorg voor te dragen dat de kans op herhaling zoveel als mogelijk wordt beperkt.
6.3 Verwerker verstrekt zo spoedig mogelijk alle relevantie informatie over het geconstateerde datalek, waaronder ten minste de informatie welke nodig is voor Verantwoordelijke om aan de wettelijke verplichtingen jegens de toezichthouder te kunnen voldoen.
Artikel 7 Afhandeling verzoek rechten van betrokkene
7.1 Indien Verwerker van een betrokkene een verzoek tot inzage, rectificatie, gegevensuitwissing of overdracht aan andere organisatie ontvangt die betrekking heeft op de verwerking door Verantwoordelijke, stelt zij Verantwoordelijke hiervan onverwijld op de hoogte. Verantwoordelijke zal de verzoeken passend oppakken en afhandelen.
7.2 Verwerker verleent voor zover mogelijk alle medewerking zodat Verantwoordelijke de verzoeken binnen de wettelijke termijnen kan afhandelen. Verwerker mag voor het afhandelen van deze verzoeken redelijke kosten aan Verantwoordelijke in rekening brengen.
Artikel 8 Geheimhoudingsplicht
8.1 Op alle persoonsgegevens die Verwerker op basis van deze Overeenkomst voor Verantwoordelijke verwerkt, rust een geheimhoudingsplicht jegens derden.
8.2 De in 8.1 genoemde geheimhouding is niet van toepassing indien:
Verantwoordelijke schriftelijke toestemming heeft verleend om persoonsgegevens te delen met derden.
Het verstrekken van de informatie aan derden logischerwijs noodzakelijk is met het oog op de aard van de opdracht en de uitvoering van De Overeenkomst.
Verwerker conform de wet verplicht is om persoonsgegevens met derden te delen, zoals de toezichthouder.
8.3 Verwerker kan aansprakelijk gesteld worden voor schending van de geheimhoudingsplicht.
Artikel 9 Beveiliging
9.1 Verwerker treft passende technische- en organisatorische maatregelen zodat de veiligheid van de verwerkingen zoals genoemd in de bijlagen geborgd zijn en conform de privacy wet- en regelgeving geschieden. Xxxxxxxxx neemt ten minste dezelfde veiligheidsmaatregelen in acht welke gelden voor medewerkers van Opdrachtgever alsook de beveiligingsnormen zoals opgenomen in bijlage 2.
9.2 Indien Verwerker gevoelige persoonsgegevens buiten de door Opdrachtgever ter beschikking gestelde omgeving dient te verwerken, maken Verantwoordelijke en Verwerker aanvullende afspraken voordat de verwerkingen plaatsvinden.
9.3 De Verwerker zal – indien opslag noodzakelijk is - de persoonsgegevens opslaan binnen de Europese Economische Ruimte (EER).
Artikel 10 Aansprakelijkheid
10.1 Indien een van de partijen te kort schiet in de nakoming van deze Overeenkomst, is deze partij aansprakelijk voor de schade van de andere partij die voortvloeit uit de tekortkoming.
Artikel 11 Audits
11.1 Verantwoordelijke heeft het recht om, op eigen kosten, een audit door een onafhankelijke deskundige partij te laten uitvoeren bij Verwerker om de werkwijze en bedrijfsprocessen te toetsen aan de bepalingen uit deze Verwerkersovereenkomst.
11.2 Een audit wordt twee weken van tevoren aangekondigd door Verantwoordelijke.
11.3 Verwerker verleent volledig medewerking aan de partij die de audit uitvoert en overlegt de nodige stukken die in het kader van de audit van belang zijn.
11.4 De resultaten van de audit zullen door partijen worden besproken. De resultaten worden, tenzij met toestemming van Xxxxxxxxx, niet met derden gedeeld.
Artikel 12 Duur en beëindiging Verwerkersovereenkomst
12.1 Deze Verwerkersovereenkomst heeft dezelfde looptijd als de Overeenkomst die door partijen gesloten is. Indien de Overeenkomst tussen partijen afloopt en er geen nieuwe Overeenkomst volgt, eindigt deze Verwerkersovereenkomst van rechtswege.
12.2 Indien er een tekortkoming uit deze Verwerkersovereenkomst ontstaat die te wijten is aan een van de partijen, is de andere partij bevoegd om de Overeenkomst onverwijld te ontbinden.
12.3 Zodra de samenwerking is beëindigd, zal de Verwerker naar keuze van de Verwerkingsverantwoordelijke (i) alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van deze Verwerkersovereenkomst ter beschikking gestelde persoonsgegevens aan de Verwerkingsverantwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van de Verwerkingsverantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen.
12.4 Van bovenstaande bepaling kan alleen schriftelijk worden afgeweken.
Artikel 13 Afwijkende afspraken
13.1 Indien een of meerdere bepalingen uit deze Overeenkomst niet rechtsgeldig blijken te zijn, zal het overige tussen partijen van kracht blijven. Partijen komen alsdan een vervangend rechtsgeldig artikel overeen dat zoveel mogelijk aansluit bij de oorspronkelijke bepaling.
13.2 In geval van strijdigheid tussen deze Verwerkersovereenkomst, De Overeenkomst, de toepasselijke algemene voorwaarden of enige andere overeenkomst, prevaleert deze Verwerkersovereenkomst.
13.3 Indien nieuwe wetgeving of de rechtsontwikkeling het voor Verwerker of Verantwoordelijke wenselijk maakt om deze Overeenkomst, of de getroffen maatregelen voor gegevensbeveiliging, aan te passen treden partijen met elkaar in overleg om vervangende of aanvullende regelingen te treffen.
Artikel 14 Toepasselijk recht
14.1 Op deze Verwerkersovereenkomst is het Nederlands recht van toepassing.
14.2 Indien er een geschil ontstaat tussen partijen in verband met deze Verwerkersovereenkomst, zal dit geschil worden voorgelegd aan dezelfde rechter welke bevoegd is kennis te nemen van geschillen in De Overeenkomst.
Aldus overeengekomen, opgemaakt in tweevoud en getekend in [LOCATIE] op[DATUM],
Verantwoordelijke
Verantwoordelijke Verwerker
Naam: Naam:
Functie: Functie:
Handtekening: Handtekening:
*Deze overeenkomst is gebaseerd op de modelovereenkomst van IBD.
Bijlage 1:
Door Verantwoordelijke goedgekeurde sub-Verwerkers:
Naam: |
|
Doel verwerking: |
Bijvoorbeeld: opslag, backup. Enz. |
Vestigingsplaats: |
|
Verwerking in: |
Nederland / EER |
Verwerkersovereenkomst gesloten: |
|
Bijzonderheden: |
|
Naam: |
|
Doel verwerking: |
|
Vestigingsplaats: |
|
Verwerking in: |
Nederland / EER |
Verwerkersovereenkomst gesloten: |
|
Bijzonderheden: |
|
Naam: |
|
Doel verwerking: |
|
Vestigingsplaats: |
|
Verwerking in: |
Nederland / EER |
Verwerkersovereenkomst gesloten: |
|
Bijzonderheden: |
|
Bijlage 2:
Beveiligingsmaatregelen
Algemene afspraken
Verwerker zal
Persoonsgegevens van Verantwoordelijke passend afschermen voor derden en medewerkers die niet met de uitvoering van De Overeenkomst betrokken zijn;
Medewerkers die betrokken zijn met de uitvoering van De Overeenkomst een passende geheimhoudingsverklaring laten ondertekenen (al dan niet opgenomen in de arbeidsovereenkomst);
De infrastructuur op het gebeid van veiligheidsupdates up-to-date houden, met toepassing van virusscanners en firewalls;
Geregeld back-ups maken zodat de beschikbaarheid van persoonsgegevens is geborgd.
Afspraken over het uitwisselen van persoonsgegevens via e-mail, USB-geheugen of andere (draagbare) media.
Indien één van de partijen persoonsgegevens en/of andere vertrouwelijke gegevens aan de andere partij wenst te verstrekken via e-mail, USB-geheugen of een andere draagbaar medium:
• Dan zal de partij die de informatie verstrekt deze informatie versleutelen voordat de gegevens worden toegevoegd aan de e-mail c.q. voordat de gegevens op de draagbare media worden geplaatst.
• De gebruikte versleutelingsmethode dient (minstens) gelijkwaardig te zijn aan AES-256.
• De bij het versleutelen gebruikte sleutels zullen minimaal 15 tekens lang zijn.
• Partijen zullen de codeersleutels via een separate niet- of zeer moeilijk te onderscheppen verbinding aan elkaar verstrekken zoals via mondeling, telefonisch of SMS.
• Codeersleutels zullen NIET aan elkaar gemaild worden.
• Partijen zullen, tenzij in onderling overleg anders wordt besloten, het programma 7zip gebruiken voor het versleutelen en ontsleutelen van bestanden. Partijen zullen dit programma (laten) installeren op alle werkstations waar zij de betreffende bestanden willen versleutelen of ontsleutelen. De betreffende programmatuur kan worden gedownload van xxxx://xxx.0-xxx.xxx.
|
18 juni 2018 |
|
Pagina 8 van 8 |
||
|
|
|
|
||