JAN PEETERS EVELYN AERTS MARCO WIRTZ DRIES PEETERS SOFIE JACOBS


Shape2

PEETERS

EUREGIO LAW

Shape1

XXX XXXXXXX XXXXXX XXXXX XXXXX XXXXX

XXXXX XXXXXXX XXXXX XXXXXX

VERWERKERSOVEREENKOMST


In de verwerkersovereenkomst komen de rechten en plichten van de verwerkingsverantwoordelijke en de verwerker (die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt) aan bod.

Men valt vrij snel onder de term van "verwerker" aangezien het verwerken van persoonsgegevens ruim wordt opgevat. In de praktijk valt een softwareleverancier (zeker een CRM of ERP-systeem) vrijwel altijd onder de term "verwerker". De softwareleverancier stelt nl. software ter beschikking van de klant (de verwerkingsverantwoordelijke) die daarin persoonsgegevens zal invoeren (bv. van zijn personeel) waarna de verwerkingsverantwoordelijke door middel van de software deze persoonsgegevens kan (laten) verwerken. Indien de softwareleverancier echter back-ups, cloudtoepassingen, testomgevingen, etc. maakt, ‘verwerkt’ ook hij de persoonsgegevens en wordt hij dus als verwerker beschouwd.

Tussen de verwerker en de verwerkingsverantwoordelijke moet daarom een verwerkersovereenkomst worden afgesloten, waarin duidelijk is opgenomen hoe de persoonsgegevens worden verwerkt, welke beveiliging wordt toegepast, etc.


Hieronder vindt u een invulmodel van een verwerkersovereenkomst. Let wel: dit model bevat basisbepalingen, die voor vrijwel elke verwerkersovereenkomst relevant zijn. Het model moet echter nog worden aangepast aan de specifieke behoeften van uw onderneming en de concrete afspraken tussen de verwerker en de verwerkingsverantwoordelijke.


Indien u een nieuwe verwerkersovereenkomst wenst te laten opstellen, kan u contact opnemen met ons.


Samenvattend


Wat doen jullie precies?

Opstellen van op maat gemaakte verwerkersovereenkomst.


Is dit voor mij interessant?

Ja, indien uw onderneming als verwerkingsverantwoordelijke of verwerker optreedt.


Wie kan ik contacteren?

Xxx Xxxxxxx of Xxxxx Xxxxx
xxxx@xxxxxxx.xxx
x00 00 00.00.00


Duurt dat lang?

Nee, maximaal 1 week nadat wij van u de benodigde informatie hebben ontvangen.


Hoeveel kost dat?

500 EUR (excl. btw), incl. persoonlijke bespreking


* Een verwerkersovereenkomst gaat ook vaak gepaard met andere nuttige documenten, zoals een disclaimer, een privacy- en cookieverklaring of algemene voorwaarden voor uw website. Indien gewenst, kunnen wij voor het opstellen van meerdere documenten uiteraard een voordelige pakketprijs bespreken.


MODEL

VERWERKERSOVEREENKOMST















Shape5

xxx.xxxxxxx.xxx

Verwerkersovereenkomst

[NAAM ONDERNEMING]



TUSSEN [naam onderneming], met maatschappelijke zetel te [adres], en ingeschreven in de Kruis­punt­bank voor Ondernemingen onder het nummer [ondernemingsnummer].

Hierna genoemd de ‘Verwerker


EN [naam onderneming], met maatschappelijke zetel te [adres], en ingeschreven in de Kruis­punt­bank voor Ondernemingen onder het nummer [ondernemingsnummer].

Hierna genoemd de ‘Verwerkingsverantwoordelijke


De Verwerker en de Verwerkingsverantwoordelijke worden hierna gezamenlijk de ‘Partijen’ en afzonderlijk een ‘Partij‘ genoemd.


DEFINITIES


Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken.


Heersende Wetgeving: de Algemene Verordening Gegevensbescherming (GDPR), de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zoals gewijzigd) (hierna ‘de Wet van 8 december 1992’) en de andere relevante vigerende wettelijke voorschriften.


Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.


Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt.


Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (hierna genoemd de ‘Betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.


Toestemming van de Betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de Betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de Verwerking van zijn Persoonsgegevens aanvaardt.


Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.


Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.


Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.


OVERWEGENDE DAT


  • De Verwerker actief is in [beschrijving activiteiten].


  • De Verwerker treedt op als Verwerker van de aangeleverde Persoonsgegevens door de Verwerkingsverantwoordelijke.


  • De Verwerkingsverantwoordelijke verantwoordelijk is voor de aan de Verwerker verstrekte en te verstrekken Persoonsgegevens. De Verwerker verwerkt de Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke.


  • De Verwerker de passende technische en organisatorische maatregelen biedt opdat de Verwerking aan de vereisten van de Heersende Wetgeving voldoet en de bescherming van de rechten van de Betrokkene worden gewaarborgd.


  • Partijen de tussen hen onafhankelijke samenwerking wensen te formaliseren middels onderhavige overeenkomst (hierna de ‘Verwerkersovereenkomst’). De samenwerking kenmerkt zich door de afwezigheid van enige band van ondergeschiktheid, en dit overeenkomstig de volgende voorwaarden en modaliteiten.


WORDT OVEREENGEKOMEN EN AANVAARD HETGEEN VOLGT


Artikel 1: Voorwerp


1.1. De Verwerkingsverantwoordelijke gaat met de Verwerker een Verwerkersovereenkomst aan en Partijen zullen elkaar in het kader van deze Verwerkersovereenkomst ondersteunen en bijstaan bij de Verwerking van Persoonsgegevens (hierna de ‘Opdracht’).


1.2. De Verwerker kan de volgende persoonsgegevens (bv. naam, voornaam, rijksregisternummer, telefoonnummer, adres, e-mailadres, rekeningnummer, afbeelding, gezinssamenstelling, opleiding, functie, etc.) van de volgende betrokkenen (bv. klanten, klantcontactpersonen van de Verwerkingsverantwoordelijke, werknemers van de Verwerkings-verantwoordelijke, leveranciers van de Verwerkingsverantwoordelijke etc.) verwerken op basis van volgende rechtsgronden (toestemming van de betrokkene, noodzakelijkheid voor de uitvoering van de overeenkomst, wettelijke verplichting, bescherming van vitale belangen, taak van algemeen belang of gerechtvaardigd belang) voor volgende doeleinden (bv. om te voldoen aan wettelijke verplichtingen (klantenbeheer, etc.), om de overeenkomst te kunnen uitvoeren, om de betrokkene te voorzien van informatieve nieuwsberichten m.b.t. de onderneming, om de kwaliteit van diensten of informatie te verbeteren, etc.):


Betrokkenen

Persoonsgegevens

Rechtsgrond

Doeleinde

Klanten van de Verwerkingsverantwoordelijke

Naam, voornaam, adres, e-mailadres

Noodzakelijkheid voor de uitvoering van een overeenkomst

Om de overeenkomst tussen partijen naar behoren te kunnen uitvoeren


E-mailadres

Toestemming van de betrokkene

Voorzien van informatieve nieuwsberichten


[informatie in bovenstaande tabel schrappen/aanvullen]


1.3. De Verwerkingsverantwoordelijke zorgt ervoor dat de Persoonsgegevens van de Betrokkene(n) op geldige wijze zijn verkregen en hij Toestemming van de Betrokkene(n) voor de Verwerking heeft verkregen. De Verwerker gaat de geldigheid van de Toestemming niet na en kan dan ook niet aansprakelijk worden gehouden voor enig frauduleus handelen van de Verwerkingsverantwoordelijke.


1.4. De Persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een op de Verwerker van toepassing zijnde EU-rechtelijke of lidstaatrechtelijke bepaling hem tot Verwerking verplicht.


Artikel 2: Duur en beëindiging


2.1. De looptijd van deze Verwerkersovereenkomst is gelijk aan [termijn].


2.2. Na beëindiging van de Verwerkersovereenkomst, en/of na beëindiging van de dienstverlening aan de Verwerkingsverantwoordelijke, is de Verwerker gehouden om na een verzoek daartoe van de Verwerkingsverantwoordelijke en uiterlijk binnen [termijn] na beëindiging van de Verwerkers-overeenkomst de door de Verwerkingsverantwoordelijke verstrekte (Persoons)gegevens [terug te geven en/of te vernietigen].


Artikel 3: Beveiligingseisen


3.1. De Verwerker zal zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De te nemen maatregelen sluiten aan bij de stand van de techniek.


3.2. De Verwerker heeft op heden volgende passende technische en organisatorische maatregelen genomen ten voordele van de Verwerkingsverantwoordelijke:


  • gebruik van een veiligheidsbeleid

  • aanstelling van een Data Protection Officer [contactgegevens]


[maatregelen schrappen/aanvullen]


3.3. De veiligheidsmaatregelen zijn adequaat, voldoen aan de relevante standaarden en kwaliteitseisen en bieden een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van te beschermen gegevens met zich meebrengen.


Artikel 4: Inbreuk in verband met Persoonsgegevens


4.1. Enig (vermoeden van een) datalek zal onverwijld aan de andere Partij worden gemeld teneinde de vervolgstappen te bespreken. Een en ander moet worden afgesproken in het kader van de meldingsplicht die de Verwerkingsverantwoordelijke heeft. Een dergelijk (vermoeden van een) datalek moet niet alleen door de Verwerker aan de Verwerkingsverantwoordelijke worden gemeld, maar tevens zo spoedig mogelijk door de Verwerkingsverantwoordelijke aan de toezichthoudende autoriteit. Dit is in het belang van het stoppen van een eventueel datalek.

4.2. De Verwerker zal als Verwerker binnen [termijn] na vaststelling van een (vermoedelijk) datalek de Verwerkingsverantwoordelijke hiervan op de hoogte stellen. De Verwerker heeft geen plicht tot melding aan de toezichthoudende autoriteit.

4.3. De Verwerkingsverantwoordelijke zal op zijn beurt binnen [termijn] na vaststelling van een (vermoedelijk) datalek de toezichthoudende autoriteit hiervan op de hoogte stellen. Indien er sprake is van gevoelige data dient eveneens de Betrokkene op de hoogte te worden gesteld.

Artikel 5: Geheimhouding


5.1. Op de Verwerker rust ingevolge de Heersende Wetgeving een wettelijke geheimhoudingsverplichting. De Verwerker is gehouden de ontvangen Persoonsgegevens als vertrouwelijk te behandelen.


5.2. De Verwerker verplicht zijn (oud-) werknemers en/of onderaannemers tot geheimhouding met betrekking tot alle Persoonsgegevens waarvan zij in het kader van de levering van haar diensten kennisnemen.


5.3. De verstrekte Persoonsgegevens worden door de Verwerker niet zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke aan Derden ter beschikking gesteld, tenzij de Verwerkingsverantwoordelijke daartoe krachtens enige wetsbepaling, voorschrift of andere regelgeving verplicht is.


5.4. Indien de Verwerker een verzoek of een bevel van een Belgische of buitenlandse toezichthouder ontvangt om (inzage in) (Persoons)gegevens te verschaffen, zal de Verwerker de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal de Verwerker alle redelijke verzoeken van de Verwerkingsverantwoordelijke in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan de Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen. In het geval er sprake is van een verplichting van een overheid tot geheimhouding van een verzoek of bevel zal de Verwerker trachten zo veel mogelijk in het belang van de Verwerkingsverantwoordelijke te handelen.


Artikel 6: Andere Verwerkers


6.1. De Verwerker neemt geen andere Verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de Verwerker de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere Verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.


De Verwerker maakt op heden gebruik van volgende (sub)verwerkers:


  • dochterondernemingen: [naam + contactgegevens]

  • commerciële partners: [naam + contactgegevens]


[verwerkers schrappen/aanvullen]


6.2. Wanneer de Verwerker een andere Verwerker in dienst neemt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de Verwerking aan de Heersende Wetgeving voldoet.


6.3. Wanneer de andere Verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere Verwerker.


Artikel 7: Betrokkene


7.1. De Verwerker zal handelen naar de aanwijzingen van de Verwerkingsverantwoordelijke met betrekking tot een verzoek van een Betrokkene omtrent diens Persoonsgegevens.

7.2. In het geval een Betrokkene enig verzoek doet met betrekking tot zijn of haar Persoonsgegevens aan de Verwerker, zal de Verwerker een dergelijk verzoek onverwijld doorverwijzen naar de Verwerkingsverantwoordelijke in diens rol als verantwoordelijke.

Artikel 8: Ontbinding


Partijen hebben het recht om de Verwerkersovereenkomst te allen tijde, met onmiddellijke ingang, zonder voorafgaande rechterlijke machtiging of ingebrekestelling en zonder betaling van enige schadevergoeding, te ontbinden in de volgende gevallen: (i) bij staking van betaling of (de aanvraag van) een faillissement of enige reorganisatie onder de Wet van 31 januari 2009 door een van de Partijen; (ii) bij vereffening of stopzetting van de activiteiten van een van de Partijen; [aan te vullen met bijkomende verbrekingsgronden]


Artikel 9: Aansprakelijkheid


9.1. Tenzij uitdrukkelijk anders overeengekomen, zijn al de verbintenissen van de Verwerker onder deze Verwerkersovereenkomst middelenverbintenissen. Onverminderd afwijkende dwingende wettelijke bepalingen, is de Verwerker slechts aansprakelijk voor [aan te vullen met eventuele beperking van aansprakelijkheid].


9.2. Ingeval van overmacht worden de verplichtingen van de Verwerker opgeschort en is de Verwerker van rechtswege bevrijd en niet gehouden tot nakoming van enige verbintenis jegens de Verwerkingsverantwoordelijke.


Artikel 10: Intellectuele eigendom

Onverminderd enig andersluidende schriftelijke afspraak, blijven alle intellectuele eigendomsrechten met betrekking tot de door de Verwerker geleverde diensten of producten eigendom van de Verwerker en worden deze in geen geval aan de Verwerkingsverantwoordelijke overgedragen.

Artikel 11: Varia

11.1. Deze Verwerkersovereenkomst vervangt alle vroegere overeenkomsten, mondeling en/of schriftelijk, betreffende het voorwerp van deze Verwerkersovereenkomst en omvat het volledige akkoord tussen Partijen. Deze Verwerkersovereenkomst kan alleen gewijzigd worden bij een schriftelijke en door de Partijen getekende overeenkomst.


11.2. Partijen verbinden zich ertoe niets bekend te maken met betrekking tot deze Verwerkersovereenkomst, tenzij in geval van (i) een wettelijke of reglementaire verplichting, (ii) een gerechtelijk onderzoek, of (iii) een gerechtelijke procedure. In dit geval dient de andere Partij op voorhand ingelicht te worden over de timing en de inhoud van de mededeling.


11.3. Geen enkele Partij bij deze Verwerkersovereenkomst kan geacht worden afstand te hebben gedaan van een recht of aanspraak die zij heeft onder of ten gevolge van deze Verwerkersovereenkomst tenzij deze afstand schriftelijk is meegedeeld.


11.4. Indien enige verbintenis of modaliteit in deze Verwerkersovereenkomst onafdwingbaar zou zijn of strijdig met een bepaling van dwingend recht, zal deze onafdwingbaarheid of ongeldigheid de geldigheid en afdwingbaarheid niet beïnvloeden van andere bepalingen in de Verwerkersovereenkomst, en evenmin van dat deel van de desbetreffende bepaling dat niet strijdig is met dwingend recht. De onwettige, ongeldige of onafdwingbare bepaling zal automatisch geacht worden vervangen te zijn door een bepaling die wettig, geldig en afdwingbaar is en zo nauw mogelijk aansluit bij de intentie die aan de onwettige, ongeldige of onuitvoerbare bepaling ten grondslag lag en zal deze in gewijzigde vorm worden toegepast.


11.5. De Verwerkingsverantwoordelijke mag haar rechten of verplichtingen uit deze Verwerkersovereenkomst niet overdragen zonder de voorafgaande schriftelijke toestemming van de Verwerker.


Artikel 12: Toepasselijk recht en bevoegdheid


12.1. Deze Verwerkersovereenkomst wordt exclusief beheerst door en geïnterpreteerd overeenkomstig het Belgisch recht.


12.2. De rechtbanken van [plaats] zijn exclusief bevoegd voor elk geschil betreffende deze Verwerkersovereenkomst.


* * *


Opgesteld in 2 exemplaren te [plaats] op [datum], waarbij elke Partij verklaart 1 origineel te hebben ontvangen.





Voor de Verwerker Voor de Verwerkingsverantwoordelijke

Naam: [naam] Naam: [naam]

Functie: [functie] Functie: [functie]


(Door beide Partijen te ondertekenen met vermelding: “gelezen en goedgekeurd”)


Advocatenkantoor Xxxxxxx Euregio Law BV BVBA Rekening (ING) BIC: XXXXXXXX

Xxxxxxxxx Xxxxxxxx 000 xxx 000 (Corda Campus) IBAN: XX00 0000 0000 0000

B - 3500 Hasselt Derdenrekening (ING) BIC: XXXXXXXX

Tel. x00 00 00 00 00 IBAN: XX00 0000 0000 0000

Fax x00 00 00 00 00 Ondernemingsnr.: BE 0660.739.650

xxx.xxxxxxx.xxx

Document Metadata

Filed: April 24th, 2018