MODELVERWERKERSOVEREENKOMST
MODELVERWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
I | [naam B.V.], een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te [plaats], kantoorhoudende aan de [straatnaam en nummer] te [plaats], hierna te noemen: “Verwerkingsverantwoordelijke”; EN |
II | [Volledige naam Verwerker], een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te [plaats], kantoorhoudende aan de [straatnaam en nummer] te [plaats], hierna te noemen: “Verwerker”; gezamenlijk te noemen: “Partijen”; |
Overwegingen:
A | Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het verrichten van de volgende diensten: [diensten]. Deze overeenkomst leidt ertoe dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt. |
B | Verwerkingsverantwoordelijke en Verwerker wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de toepasselijke Privacywetgeving. |
Partijen komen het volgende overeen:
Artikel 1 - Definities
1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:
a) AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming); |
b) Betrokkene: degene op wie een Persoonsgegeven betrekking heeft; |
c) Onderliggende Overeenkomst: de overeenkomst d.d. [DATUM] waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten; |
d) Overeenkomst: deze verwerkersovereenkomst inclusief bijlagen daarbij; |
e) Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken, waarvan het soort persoonsgegevens en de categorieën van Betrokkenen nader zijn gespecificeerd in bijlage 1; [Op grond van artikel 28 lid 3 AVG dient het soort Persoonsgegevens en de |
categorieën van Betrokkenen te worden omschreven in deze verwerkersovereenkomst, of in een bijlage bij de verwerkersovereenkomst.] |
f) Privacywetgeving: alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de AVG en de Uitvoeringswet AVG; |
g) Uitvoeringswet AVG: Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming); |
h) Verwerken/Verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens. |
Artikel 2 – Toepasselijkheid
2.1 | Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst. |
Artikel 3 - Verwerking door Xxxxxxxxx
3.1 | Verwerker Verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst. |
3.2 | Verwerker Verwerkt de Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. |
3.3 | Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens. |
3.4 | Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving. |
3.5 | Verwerker stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van in deze Overeenkomst neergelegde verplichtingen aan te tonen. |
3.6 | Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens. |
3.7 | Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst. |
3.8 | Verwerker mag de Persoonsgegevens enkel buiten [Nederland/de Europese Economische Ruimte] Verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. |
3.9 3.10 | Verwerker zal de Persoonsgegevens niet langer dan [termijn invullen, bijvoorbeeld: 2, 5 of 7 jaar afhankelijk van het doel] Verwerken, tenzij Verwerkingsverantwoordelijke hiertoe uitdrukkelijk schriftelijk opdracht heeft gegeven. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis wanneer op hem een Unierechtelijke of lidstaatrechtelijke bepaling rust die Verwerker tot Verwerking verplicht alvorens over te gaan op Verwerking van de Persoonsgegevens, tenzij de betreffende wetgeving de kennisgeving om gewichtige redenen van algemeen belang verbiedt. |
Artikel 4 - Verstrekking Persoonsgegevens aan derden
4.1 | Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen. |
4.2 | Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden. |
Artikel 5 - Verzoeken van Betrokkenen
5.1 | Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken die rechtstreeks van Xxxxxxxxxxx zijn ontvangen met betrekking tot de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven. |
5.2 | Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af. |
Artikel 6 - Medewerking Verwerker
6.1 | Verwerker zal de Verwerkingsverantwoordelijke medewerking verlenen bij het doen nakomen van de verplichtingen om: |
(i) verzoeken van Xxxxxxxxxxx met betrekking tot de uitoefening van rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving te beantwoorden;
(ii) passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen;
(iii) datalekken te melden aan toezichthouder en de betrokkenen;
(iv) een gegevensbeschermingseffectbeoordeling uit te voeren;
(v) de toezichthouder te raadplegen voorafgaand aan een Verwerking de een hoog risico met zich meebrengt.
Artikel 7 - Inschakelen derden door Xxxxxxxxx
7.1 | Verwerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke een derde inschakelen bij de uitvoering van deze Overeenkomst, onder de voorwaarden die Verwerkingsverantwoordelijke daarbij stelt. Indien een derde na schriftelijke toestemming van Verwerkingsverantwoordelijke wordt ingeschakeld om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, zal Verwerker aan deze andere derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Overeenkomst. Verwerker is in alle opzichten verantwoordelijk en aansprakelijk voor het doen en laten van derden die zij in het kader van deze Overeenkomst inschakelt. |
Artikel 8 - Geheimhouding
8.1 | Verwerker zal de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke strikt geheim houden, waarbij zij minstens eenzelfde mate van zorg zal betrachten als die, die zij ten aanzien van de bescherming van haar eigen informatie van zeer vertrouwelijke aard in acht neemt. Verwerker zal de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke niet openbaar maken, distribueren, verstrekken, of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke kennis moeten kunnen nemen voor hun werkzaamheden voor de Verwerker en zal deze werknemers pas toegang geven tot de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke, nadat zij zijn geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke. Verwerker legt het in deze Overeenkomst bepaalde ook aan haar werknemers op. |
Artikel 9 - Meldplicht datalekken
9.1 | Verwerker dient Verwerkingsverantwoordelijke onverwijld en in ieder geval uiterlijk binnen 10 uur nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens. |
9.2 | Verwerker dient Verwerkingsverantwoordelijke in ieder geval informatie te verstrekken over het volgende: |
(i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie; (ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk. | |
9.3 | Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Overeenkomst of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd. |
9.4 | Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten. |
Artikel 10 - Beveiligingsmaatregelen en inspectie
10.1 | Verwerker zal conform artikel 32 AVG alle passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen, garanderen een passend beveiligingsniveau gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die de Verwerker verwerkt met zich meebrengen voor de rechten en vrijheden van de Betrokkenen. |
10.2 | Verwerker dient Verwerkingsverantwoordelijke te informeren indien een van de beveiligingsmaatregelen wijzigt. |
10.3 | Verwerker staat toe dat Verwerkingsverantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder deze Overeenkomst vallen (“de Inspectie”). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verwerkingsverantwoordelijke neutraal en deskundig is. Verwerkingsverantwoordelijke draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden. |
10.4 | Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten. |
10.5 | Verwerkingsverantwoordelijke zal Verwerker een exemplaar van het rapport van de Inspectie verstrekken. |
Artikel 11 - Verplichtingen Verwerkingsverantwoordelijke
11.1 | Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van persoonsgegevens krachtens deze Overeenkomst de “Verwerkingsverantwoordelijke” zoals omschreven in artikel 4 sub 7 AVG. |
11.2 | Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de Verwerking van de Persoonsgegevens overeenkomstig deze Overeenkomst in overeenstemming is met de toepasselijke Privacywetgeving. |
Artikel 12 - Aansprakelijkheid
12.1 | Verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet-nakomen van deze Overeenkomst dan wel handelen in strijd met de toepasselijke Privacywetgeving. |
12.2 | Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen, in verband met het toerekenbaar tekortschieten van Verwerker in de nakoming van de Overeenkomst of overtreding door Verwerker van de toepasselijke Privacywetgeving en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Verwerkingsverantwoordelijke vergoeden. |
Artikel 13 - Beëindiging
13.1 | De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt. Retourneren of vernietigen Persoonsgegevens bij beëindiging Overeenkomst |
13.2 | Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal Verwerker in geval van beëindiging van de Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen en aan Verwerkingsverantwoordelijke verklaren dat zij dit heeft uitgevoerd. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke. |
Artikel 14 - Overdracht rechten en plichten
14.1 | Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. |
Artikel 15 - Deelbaarheid
15.1 | Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling. |
Artikel 16 - Toepasselijkheid recht en geschillen
16.1 | Nederlands recht is van toepassing op deze Overeenkomst. |
16.2 | Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Rotterdam. |
Aldus is overeengekomen op [datum] en in tweevoud ondertekend te [plaats]
……………………………………………… ………………………………………………
Verwerker Verwerkingsverantwoordelijke
[naam] [naam]