Verwerkersovereenkomst

Shape1

Verwerkersovereenkomst



Deze verwerkersovereenkomst hoort bij de Intentieverklaring privacy in digitale onderwijsmiddelen (hierna: de intentieverklaring) afgesloten tussen onderwijsverstrekkers, de Federatie Centra voor Basiseducatie en VCLB enerzijds en de GEWU en softwareontwikkelaars anderzijds.



De uitgangspunten van deze verwerkersovereenkomst sluiten aan bij de bepalingen in de intentieverklaring, de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Belgische wetgeving hieromtrent, en de richtsnoeren van de gegevensbeschermingsautoriteit.



In de intentieverklaring is afgesproken dat onderwijsinstellingen en intentieverklaringspartijen dit model gebruiken bij het maken van verbintenissen over de verwerking van persoonsgegevens. Gezien het aantal bepalingen dat wettelijk is voorgeschreven, is de ruimte voor afwijking van de bepalingen in dit model van verwerkersovereenkomst beperkt.



Deze verwerkersovereenkomst bevat standaard twee modelbijlagen:

1. In de privacybijsluiter (Bijlage 1) wordt een beschrijving gegeven van de dienstverlening, de producteigenschappen, de doeleinden en de aard van de verwerking, het soort gegevens dat verwerkt wordt, de categorieën van betrokkenen en informatie over subverwerkers.

2. In de technische en organisatorische maatregelen (Bijlage 2) wordt omschreven welke beveiligingsmaatregelen er worden getroffen en de praktische afspraken in verband met wederzijdse informatiedeling in geval van inbreuken in verband met persoonsgegevens. De beveiliging dient een continu punt van aandacht en zorg te blijven.



Deze twee bijlagen zullen verschillen per verwerker.

Informatie over de intentieverklaring en het model van verwerkersovereenkomst is te vinden op de website xxx.xxxxxxxxxxxxxxxxxx.xx. Meer informatie en antwoorden op vragen over privacy en de wettelijke rechten en verplichtingen voor onderwijsinstellingen zijn te vinden op deze website, de websites van de onderwijsverstrekkers en die van de gegevensbeschermingsautoriteit.



17 mei 2018













Partijen:



De school <naam school > geregistreerd onder ondernemingsnummer <ondernemingsnummer>, met instellingsnummer <instellingsnummer school> gevestigd te <adres>, <postcode>, <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>

of



De scholengemeenschap <naam scholengemeenschap> , geregistreerd onder ondernemingsnummer <ondernemingsnummer>, met instellingsnummer <instellingsnummer scholengemeenschap>

gevestigd te <adres>, <postcode>, <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>



of



Het schoolbestuur <naam schoolbestuur> , geregistreerd onder ondernemingsnummer <ondernemingsnummer>, met instellingsnummer <instellingsnummer schoolbestuur> gevestigd te <adres>, <postcode>, <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>



of



<naam organisatie/andere>, geregistreerd onder ondernemingsnummer <ondernemingsnummer>, gevestigd te <adres> <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>



hierna te noemen: verwerkingsverantwoordelijke en Plantyn nv, geregistreerd onder ondernemingsnummer 0887 899 693, gevestigd en kantoor houdende te Xxxxxxxxxxx 0-0, xxx 0, 0000 Xxxxxxxxx (Xxxxxxx) te dezen rechtsgeldig vertegenwoordigd door Xxxx Xxxxx, algemeen directeur, hierna te noemen: verwerker



hierna gezamenlijk te noemen: partijen, of afzonderlijk: partij



Overwegen het volgende:



  1. Partijen zijn een primaire overeenkomst aangegaan waarbij Xxxxxxx in opdracht van de Verwerkingsverantwoordelijke een LMS-toepassing ter beschikking stelt waarin leerling- en zorginformatie door de school kan worden beheerd (‘de product- en dienstenovereenkomst’). Deze product- en dienstenovereenkomst leidt ertoe dat de verwerker, in opdracht van de verwerkingsverantwoordelijke, persoonsgegevens verwerkt voor de onderwijsinstelling(en) opgesomd in de product- en dienstenovereenkomst.







  1. Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 van de AVG, in deze verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de verwerking van persoonsgegevens vast te leggen.



Komen het volgende overeen:



Artikel 1. Definities

In deze verwerkersovereenkomst wordt verstaan onder:

  1. de betrokkene, verwerker, derde, persoonsgegevens, ontvanger, verwerking en verwerkingsverantwoordelijke, pseudonimisering, inbreuk in verband met persoonsgegevens: de begrippen zoals gedefinieerd in artikel 4 van de AVG;

  2. intentieverklaring: de intentieverklaring privacy in digitale onderwijsmiddelen;

  3. digitaal onderwijsmiddel: ieder product of iedere dienst die in het kader van het onderwijsproces persoonsgegevens verwerkt. We denken onder andere aan leerlingen- en cursistenadministratie- en volgsystemen, personeelsadministratiesystemen, financieel-beheersystemen, roostersystemen, leerling- en oudercommunicatiesysteem, agendasystemen, toets-, rapport- en evaluatiesystemen, educatieve leermiddelen, elektronische leeromgevingen en leerplatformen (niet-limitatieve lijst);

  4. onderwijsinstelling: het bevoegd bestuur van een basis- of secundaire school, internaat, academie, centrum voor hoger en volwassenenonderwijs, centrum voor basiseducatie of centrum voor leerlingenbegeleiding.

  5. overlegplatform: het platform zoals bedoeld in artikel 8 van de intentieverklaring;

  6. subverwerker: een andere verwerker die door de verwerker wordt ingeschakeld ten behoeve van de verwerking van persoonsgegevens in het kader van deze verwerkersovereenkomst en de product- en dienstenovereenkomst;

  7. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).



Artikel 2. Onderwerp en opdracht verwerkersovereenkomst

  1. Deze verwerkersovereenkomst legt verbintenissen vast betreffende de verwerking van persoonsgegevens in het kader van de uitvoering van de product- en dienstenovereenkomst rond digitale onderwijsmiddelen.

  2. De verwerkingsverantwoordelijke verstrekt aan de verwerker de opdracht tot verwerking van persoonsgegevens ten behoeve van de uitvoering van de product- en dienstenovereenkomst.







Artikel 3. Rolverdeling

  1. De partijen zullen bij de verwerking van persoonsgegevens in kader van deze overeenkomst handelen in overeenstemming met de toepasselijke wet- en regelgeving. De partijen verstrekken elkaar alle benodigde informatie om een goede naleving van de relevante privacywet- en regelgeving (o.a. AVG) mogelijk te maken.

  2. De verwerker zal de verwerkingsverantwoordelijke bijstaan om aan alle wettelijke verplichtingen inzake gegevensbescherming te voldoen.



Artikel 4. Gebruik van persoonsgegevens

  1. De verwerker verplicht zich om de persoonsgegevens, die verkregen zijn van de verwerkingsverantwoordelijke, niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is de verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de verwerkingsverantwoordelijke (schriftelijk: op papier, dan wel elektronisch) met de verwerker is overeengekomen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan. Indien de verwerker meent dat een gegevensverwerking in strijd is met de AVG, licht hij de verwerkingsverantwoordelijke hierover onverwijld in.

  2. De verwerker specificeert in de privacybijsluiter voor welke doeleinden persoonsgegevens worden verwerkt bij het gebruik van het product en/of de dienst, en welke categorieën van persoonsgegevens daarbij worden verwerkt.

  3. De verwerker onthoudt zich van verstrekking van persoonsgegevens aan een derde, tenzij

deze uitwisseling plaatsvindt in opdracht van de verwerkingsverantwoordelijke;

de verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken;

de betrokkene (zijn ouders of wettelijk vertegenwoordiger) zelf te verstaan geeft dat deze persoonsgegevens aan een derde mogen worden verstrekt;

dat noodzakelijk is om te voldoen aan een op de verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting verifieert de verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert de verwerker de verwerkingsverantwoordelijke – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.



Artikel 5. Geheimhouding

  1. De verwerker zorgt ervoor dat eenieder, onder wie zijn werknemers, vertegenwoordigers en/of subverwerkers, die betrokken is bij de verwerking van de persoonsgegevens deze gegevens als vertrouwelijk behandelt en de geheimhoudingsplicht naleeft, zowel tijdens als na afloop



van de overeenkomst. De verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.



Artikel 6. Beveiliging en controle

  1. De partijen zullen zorgdragen voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, met inachtneming van de risico’s die het verwerken van persoonsgegevens, en de aard daarvan, meebrengen.

  2. De maatregelen zoals genoemd in artikel 6.1 omvatten in ieder geval:

  1. een passend informatiebeveiligingsbeleid voor de verwerking van de persoonsgegevens;

  2. maatregelen om te waarborgen dat uitsluitend bevoegd personeel toegang heeft tot de persoonsgegevens die in het kader van de verwerkersovereenkomst worden verwerkt;

  3. maatregelen om de persoonsgegevens te beschermen tegen met name toevallige, onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;

  4. op regelmatige basis het door de partij getroffen informatiebeveiligingsbeleid te evalueren en met inachtneming van de laatste stand van de techniek dit beleid aan te vullen, te verscherpen of verbeteringen aan te brengen ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet in het kader van de uitvoering van de product- en dienstenovereenkomst.

  1. In Bijlage 2 wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen die door de verwerker zijn genomen. Deze lijst met maatregelen wordt door de verwerker up-to-date gehouden.

  2. De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van inbreuken in verband met persoonsgegevens. Behalve rapportages door de verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.

  3. Ongeacht de in voorgaande alinea’s opgesomde maatregelen heeft de verwerkingsverantwoordelijke het recht om, in overleg met de verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door de verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke auditor.



Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door de verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derdenverklaring afgeeft. De verwerkingsverantwoordelijke wordt gnformeerd over de uitkomsten van de audit.



Artikel 7. Inbreuken in verband met persoonsgegevens

  1. Partijen hebben een passend beleid voor de omgang met incidenten waaronder inbreuken in verband met persoonsgegevens.

  2. Indien de verwerkingsverantwoordelijke dan wel de verwerker een inbreuk in verband met persoonsgegevens in het kader van deze overeenkomst vaststelt, dan zal die de andere partij zonder onredelijke vertraging informeren conform de afspraken zoals neergelegd in Bijlage 2.

  3. De verwerker informeert de verwerkingsverantwoordelijke onverwijld indien een vermoeden bestaat dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

  4. Indien het niet mogelijk is om alle vereiste informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt. De verwerker verstrekt in geval van een inbreuk in verband met persoonsgegevens alle relevante informatie aan de verwerkingsverantwoordelijke met betrekking tot deze inbreuk, waaronder de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk met vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en aantal persoonsgegevens in kwestie; de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; de maatregelen die de verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

  5. De verwerkingsverantwoordelijke verbindt zich ertoe om slechts bijstand van de verwerker te verzoeken voor zover de verwerkingsverantwoordelijke niet over de nodige informatie beschikt om zijn wettelijke verplichtingen na te komen.

  6. De partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de verwerking van persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG of andere regelgeving betreffende de verwerking van de persoonsgegevens, te voorkomen of te beperken. Deze nieuwe maatregelen worden opgenomen in Bijlage 2 van deze overeenkomst.

  7. In geval van een inbreuk in verband met persoonsgegevens zal de verwerkingsverantwoordelijke aan de wettelijke meldplicht voldoen. De verwerker stelt bij een inbreuk in verband met persoonsgegevens de verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen. Afhankelijk van de aard van het incident zal de verwerker de verwerkingsverantwoordelijke hierin bijstaan en adviseren.







  1. De partijen houden een overzicht bij van alle incidenten en de maatregelen die ze daarbij genomen hebben om dergelijke incidenten te voorkomen. De verwerker verleent de verwerkingsverantwoordelijke, op diens verzoek, inzage.



Artikel 8. Procedure rechten betrokkenen

  1. Een klacht of verzoek van een betrokkene met betrekking tot de verwerking van de persoonsgegevens die in het kader van de product- of dienstverlening verwerkt worden, wordt door de verwerker onverwijld doorgestuurd naar de verwerkingsverantwoordelijke, die verantwoordelijk is voor de verdere afhandeling van het verzoek.

  2. De verwerker verleent de onderwijsinstelling voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van de betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens.



Artikel 9. Verwerking buiten de Europese Economische Ruimte (EER)

  1. Partijen zien erop toe dat voor zover persoonsgegevens buiten de EER worden verwerkt, dat alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op de onderwijsinstellingen rusten. Indien gegevens buiten de EER worden verwerkt, wordt dat in Bijlage 1 vermeld, inclusief een opgave van de landen waar de gegevens worden verwerkt en de waarborgen.



Artikel 10. Inschakeling subverwerker

  1. De verwerkingsverantwoordelijke geeft een algemene toestemming aan de verwerker om subverwerkers in te schakelen. De verwerker legt deze subverwerkers, via een overeenkomst of andere rechtshandeling, minimaal dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze verwerkersovereenkomst zijn opgenomen. De lijst met subverwerkers is opgenomen in Bijlage 1.

  2. De verwerker licht de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere subverwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. De verwerker zal de lijst met subverwerkers, die opgenomen is in Bijlage 1, steeds up-to-date houden.



Artikel 11. Bewaartermijnen en vernietiging persoonsgegevens

  1. De verwerker zal de persoonsgegevens niet langer verwerken dan overeenkomstig de bewaartermijnen die in Bijlage 1 opgenomen zijn.

  2. De verwerker is verplicht om de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens bij de beëindiging van de verwerkersovereenkomst te (doen) vernietigen, op alle







locaties, tenzij de persoonsgegevens langer bewaard moeten worden, zoals in het kader van wettelijke verplichtingen.

In het geval van verdere bewaring worden de gegevens door de verwerker in machineleesbaar formaat overgedragen aan de onderwijsinstelling, met zo weinig mogelijk verlies van gegevens, met het oog op continuïteit binnen de onderwijsinstelling. Hiervoor worden onderlinge afspraken gemaakt. Deze acties gebeuren binnen een overeengekomen, redelijke termijn.

  1. De verwerker zal de onderwijsinstelling (schriftelijk of elektronisch) bevestigen dat vernietiging van de verwerkte persoonsgegevens heeft plaatsgevonden.



Artikel 12. Aansprakelijkheid en vrijwaring

  1. Elke verwerkingsverantwoordelijke die bij de verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door een verwerking die inbreuk maakt op de AVG. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld. De verwerkingsverantwoordelijke of de verwerker kan vrijgesteld worden van deze aansprakelijkheid indien die bewijst dat hij/zij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakend feit.

  2. Wanneer een verwerkingsverantwoordelijke of verwerker de schade geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken, het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in lid 1 gestelde voorwaarden.



Artikel 13. Tegenstrijdigheid en wijziging verwerkersovereenkomst

  1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze verwerkersovereenkomst en de bepalingen van de primaire product- en dienstenovereenkomst zullen de bepalingen van deze verwerkersovereenkomst leidend zijn.

  2. Ingeval enige bepaling van deze verwerkersovereenkomst in strijd is met de regelgeving, en bij gevolg vernietigbaar is, dan blijven de overige bepalingen van deze verwerkersovereenkomst volledig van kracht. De partijen zullen in dat geval met elkaar in overleg treden om deze bepaling(en) te vervangen door een bepaling die in overeenstemming is met de regelgeving. De vervanging gebeurt met instemming van beide partijen.



Artikel 14. Duur en beëindiging

  1. Deze verwerkersovereenkomst hangt onlosmakelijk samen met de product- en dienstenovereenkomst en is niet tussentijds opzegbaar.

  2. Deze verwerkersovereenkomst gaat in op het moment van ondertekening.







  1. Deze verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de product- en dienstenovereenkomst.

  2. De beëindiging van deze verwerkersovereenkomst zal de partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze verwerkersovereenkomst die uit hun aard worden geacht ook na beëindiging voort te duren.









Aldus overeengekomen, in tweevoud opgemaakt en ondertekend te <plaats> op datum van



Verwerkingsverantwoordelijke, Verwerker,

Naam: <Naam> Naam: Xxxx Xxxxx

Functie: <Functie> Functie: algemeen directeur









Bijlage 1. Privacybijsluiter (gepubliceerd op xxx.xxxxxxx.xxx)

Bijlage 2. Beveiligingsbijlage (gepubliceerd op xxx.xxxxxxx.xxx)

10

Verwerkersovereenkomst privacy in digitale onderwijsmiddelen versie 0.5 - mei 2018


 Shape4 Shape3 Shape2

Document Metadata

Filed: August 31st, 2021