Instructie: - Voor zover teksten ‘<OPTIONEEL>’ zijn is dat aangegeven in de tekst.


Instructie:


- Voor zover teksten ‘<OPTIONEEL>’ zijn is dat aangegeven in de tekst.

- Bij teksten waar ‘OF’ tussen de bepalingen staat, dient een keuze tussen de verschillende opties gemaakt te worden. De overige optie(s) verwijderen uit de overeenkomst.

- Deze Verwerkersovereenkomst vormt een onlosmakelijk geheel met een op de ARBIT-2022 gebaseerde Overeenkomst en kan derhalve alleen in combinatie daarmee worden gesloten. Bepalingen over geheimhouding, aansprakelijkheid e.d. die in in de Overeenkomst zijn vastgelegd, hoeven derhalve niet nog eens afzonderlijk in de Verwerkersovereenkomst te worden opgenomen. Zie voor meer informatie de Toelichting bij het gebruik van het Model Verwerkersovereenkomst ARBIT (te vinden op Rijksportaal).


N.B. Bij gebruik van de overeenkomst, deze instructie verwijderen.


Shape1

(Datum: september 2022)




Model Verwerkersovereenkomst ARBIT-2022

Contractnummer: […].



De ondergetekenden:


1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag,

te dezen vertegenwoordigd door de Minister/Staatssecretaris van/voor [naam portefeuille],

namens deze,

[functienaam en naam ondertekenaar]

hierna te noemen: Opdrachtgever,


en


2. [volledige naam en rechtsvorm contractant],

(statutair) gevestigd te [plaats],

te dezen vertegenwoordigd door

............... (en ..............) [naam ondertekenaar]

hierna te noemen: Wederpartij,


hierna gezamenlijk te noemen: ‘Partijen’



OVERWEGENDE DAT:


  • voor zover Wederpartij Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, kwalificeert Opdrachtgever als Verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Wederpartij als Verwerker;

  • Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Wederpartij wensen vast te leggen.




KOMEN OVEREEN:


Artikel 1. Begrippen

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in de ARBIT-2022 of de Verordening, met dien verstande dat een aantal begrippen op de Verwerkersovereenkomst zijn toegespitst. Aldus en in aanvulling daarop wordt onder de volgende begrippen, ongeacht of ze in meervoud of enkelvoud, of als werkwoord of zelfstandig naamwoord worden gebruikt, in deze Verwerkersovereenkomst verstaan:


1.1 ARBIT-2022: Algemene Rijksvoorwaarden voor IT-overeenkomsten 2022.


1.2 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.


1.3 EER: Europese Economische Ruimte, zijnde alle EU-landen plus Liechtenstein, Noorwegen en IJsland.


1.4 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens.


1.5 Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk Persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als Ontvangers; de Verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.


1.6 Overeenkomst: de overeenkomst tussen Opdrachtgever en Wederpartij [titel] van [datum], met kenmerk [kenmerk].


1.7 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Wederpartij in het kader van de Overeenkomst ten behoeve van Opdrachtgever Verwerkt.


1.8 Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 van de Verordening ingestelde onafhankelijke overheidsinstantie.


1.9 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).


1.10 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt.


1.11 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.


1.12 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.


Artikel 2. Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regelt de Verwerking door Wederpartij in het kader van de Overeenkomst en is onlosmakelijk verbonden met de Overeenkomst.


2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en Ontvangers zijn in Bijlage 1 omschreven.


2.3 Wederpartij garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.


2.4 Wederpartij garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking.


Artikel 3. Inwerkingtreding en duur

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.


3.2 Deze Verwerkersovereenkomst eindigt voor zover en nadat Wederpartij alle Persoonsgegevens heeft gewist, terugbezorgd en bestaande kopieën heeft verwijderd met inachtneming van artikel 10 van deze Verwerkersovereenkomst.


3.3 Deze Verwerkersovereenkomst is niet tussentijds opzegbaar.

Artikel 4. Omvang verwerkingsbevoegdheid Wederpartij

4.1 Wederpartij Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever, tenzij een op Wederpartij van toepassing zijnde wettelijk voorschrift hem tot Verwerking verplicht. In dat geval stelt Xxxxxxxxxxx Opdrachtgever voorafgaand aan de Verwerking in kennis van dat wettelijk voorschrift, tenzij dat wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4.2 Wederpartij heeft geen zeggenschap over het doel van en de middelen voor de Verwerking als bedoeld in de Verordening.


Artikel 5. Beveiliging van de Verwerking

5.1 Onverminderd artikel 2.3 van deze Verwerkersovereenkomst treft Wederpartij de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.


5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Wederpartij waarborgt een op het risico afgestemd beveiligingsniveau.


5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Wederpartij aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.


5.4 Wederpartij Verwerkt Persoonsgegevens niet buiten de EER, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming, zo nodig voorzien van nadere voorwaarden, heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.


5.5 Wederpartij informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.


5.6 Wederpartij verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.


Artikel 6. Geheimhouding door Personeel van Wederpartij

6.1 De Persoonsgegevens hebben een vertrouwelijk karakter als bedoeld in artikel 17.1 van de ARBIT-2022.


6.2 Wederpartij waarborgt dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in artikel 17.2 van de ARBIT-2022.


Artikel 7. Subverwerker

Wanneer Wederpartij, met inachtneming van het bepaalde in artikel 23 van de ARBIT-2022, een andere Verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.


Artikel 8. Bijstand vanwege rechten van Betrokkene

8.1 Voor zover mogelijk en rekening houdend met de aard van de Verwerking door middel van passende technische en organisatorische maatregelen, verleent Wederpartij Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.


8.2 Partijen dragen elk de door xxxxxxx in verband met de in het eerste lid te maken kosten.


Artikel 9. Inbreuk in verband met Persoonsgegevens

9.1 Wederpartij informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.


9.2 Wederpartij informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

9.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde Toezichthoudende autoriteit en Betrokkene te maken kosten.


Artikel 10. Terugbezorgen of wissen Persoonsgegevens

10.1 Na afloop van de Overeenkomst, of zoveel eerder als overeengekomen, draagt Wederpartij er zorg voor dat hij, naar gelang de keuze van Opdrachtgever, alle Persoonsgegevens wist of terugbezorgt aan Opdrachtgever en bestaande kopieën verwijdert, tenzij opslag van de Persoonsgegevens op basis van een wettelijk voorschrift verplicht is.

<OPTIONEEL> In geval van wissen en/of verwijderen van kopieën door Wederpartij informeert hij Opdrachtgever zodra hij dit heeft gedaan.


10.2 Partijen kunnen voor afzonderlijke of categorieën Persoonsgegevens bewaartermijnen overeenkomen. Na afloop van de overeengekomen bewaartermijn draagt Wederpartij zorg voor het wissen of terugbezorgen en het verwijderen van kopieën van de betreffende Persoonsgegevens, tenzij opslag van deze Persoonsgegevens op basis van een wettelijk voorschrift verplicht is.


10.3 <OPTIONEEL>Wederpartij [wist of bezorgt terug] de Persoonsgegevens binnen [aantal] [dagen/weken] na afloop van de Overeenkomst, of zoveel eerder als overeengekomen, bij gebreke waarvan Wederpartij een boete verschuldigd is van €[bedrag] per dag, met een maximum van €[bedrag]. Betaling van de boete laat de verplichting uit dit lid en de gehoudenheid van Wederpartij om de schade die het gevolg is van de schending te vergoeden onverlet.


10.4 <OPTIONEEL> Persoonsgegevens worden in de door Opdrachtgever aangegeven vorm en op de door Opdrachtgever aangegeven wijze terugbezorgd.


OF


10.4 <OPTIONEEL> De Persoonsgegevens worden als volgt terugbezorgd: [bestandsformaat] [wijze van terugbezorging inclusief vermelding beveiligingsmaatregelen] [adres].


Artikel 11. Informatieverplichting en audit

Om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst door Wederpartij zijn en worden nagekomen kan Opdrachtgever overeenkomstig artikel 5 van de ARBIT-2022 Wederpartij om informatie verzoeken of een audit laten uitvoeren.






Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,



Den Haag, [datum] [Plaats], [datum]






DE MINISTER/STAATSSECRETARIS VAN/VOOR [naam Wederpartij]

[naam portefeuille]



namens deze,

[ondertekenaar]






[naam ondertekenaar] [naam ondertekenaar]

Bijlage 1. De Verwerking van Persoonsgegevens


In deze bijlage moet in ieder geval het volgende worden gespecificeerd:


Overzicht Verwerkingen


Het onderwerp/aard en doel van de Verwerking


Het soort Persoonsgegevens


Beschrijving categorieën Persoonsgegevens


Beschrijving categorieën Betrokkenen


Beschrijving categorieën Ontvangers van Persoonsgegevens


Locatie Verwerking Persoonsgegevens


………






Subverwerker(s)


Naam en contactgegevens subverwerker


Nummer handelsregister van subverwerker


Het onderwerp/aard en doel van de Verwerking


Het soort Persoonsgegevens


Beschrijving categorieën van Persoonsgegevens


Beschrijving categorieën Betrokkenen


Beschrijving categorieën Ontvangers van Persoonsgegevens


Locatie Verwerking Persoonsgegevens


……..




Voor de inhoud van deze bijlage kan onder meer gebruik worden gemaakt van de registratie die de Verwerkingsverantwoordelijke op grond van artikel 30 van de Verordening dient aan te houden.





Bijlage 2. Passende technische en organisatorische maatregelen


In deze bijlage moeten de normen en maatregelen die Wederpartij in het kader van de beveiliging van de Verwerking moet hanteren respectievelijk treffen worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen of de offerteaanvraag.




Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens

(waaronder datalekken)


In deze bijlage moeten de afspraken over hoe Wederpartij Opdrachtgever over Inbreuken in verband met Persoonsgegevens gaat informeren worden gespecificeerd.


Departementale procedure

[Nader in te vullen door Opdrachtgever]



Informatie die ten minste door Wederpartij moet worden verstrekt


Datum en tijdstip van de constatering van de (vermoedelijke) Inbreuk in verband met Persoonsgegevens

Aard van de Inbreuk in verband met Persoonsgegevens

De Persoonsgegevens en Betrokkene

Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens

Maatregelen die Wederpartij heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan



ARBIT-2022 – Model Verwerkersovereenkomst 9


Document Metadata

Filed: September 6th, 2022