ALGEMENE TOELICHTING BIJ MODEL VERWERKERSOVEREENKOMST
4/4
ALGEMENE TOELICHTING BIJ MODEL VERWERKERSOVEREENKOMST
Op basis van artikel 14 lid 2 en artikel 15 van de Wet Bescherming Persoonsgegevens is de (rechts-) persoon die verantwoordelijk is voor de verwerking van persoonsgegevens (vaak aangeduid als: de verantwoordelijke) verplicht om een verwerkersovereenkomst te sluiten, als er persoonsgegevens worden verwerkt door een ingeschakelde derde. Dit kan bijvoorbeeld spelen als u gebruik maakt van een online administratiepakket of wanneer uw bedrijfswebsite wordt beheerd en opgeslagen door een externe partij.
Op de volgende pagina treft u een model aan van een verwerkersovereenkomst. Dit model is geschikt voor gebruik door een Nederlandse verantwoordelijke die gebruik maakt van een Nederlandse verwerker, waarbij de persoonsgegevens door de verwerker verwerkt en opgeslagen worden binnen de Europees Economische Ruimte.
De verwerkersovereenkomst gaat uit van de betrokkenheid van twee rechtspersonen. Als een betrokken partij een natuurlijke persoon is (of er zijn meer rechtspersonen betrokken), dan dient de overeenkomst daarop aangepast te worden.
DE ONDERGETEKENDEN:
De [type rechtspersoon] [NAAM RECHTSPERSOON], statutair gevestigd te [PLAATS] en kantoorhoudende te [PLAATS] aan de [STRAATNAAM] (POSTCODE), te dezen rechtsgeldig vertegenwoordigd door haar bestuurder [NAAM], hierna te noemen: "Verantwoordelijke";
en
De [type rechtspersoon] [NAAM RECHTSPERSOON], statutair gevestigd te [PLAATS] en kantoorhoudende te [PLAATS] aan de [STRAATNAAM] (POSTCODE), te dezen rechtsgeldig vertegenwoordigd door haar bestuurder [NAAM], hierna te noemen: "Verwerker";
Verantwoordelijke en Verwerker worden gezamenlijk aangeduid met: "Partijen";
NEMEN IN AANMERKING DAT:
Partijen een overeenkomst hebben gesloten op [DATUM], betreffende [INVOEGEN KORTE BESCHRIJVING] (hierna: de "Hoofdovereenkomst"), op basis waarvan Verwerker in opdracht van Verantwoordelijke persoonsgegevens verwerkt als bedoeld in de Wet Bescherming Persoonsgegevens (hierna: de "Persoonsgegevens");
Partijen in deze verwerkersovereenkomst de rechten en plichten voor de verwerking van de Persoonsgegevens door Verwerker willen vastleggen.
KOMEN OVEREEN DAT:
VERWERKING
Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de Wet Bescherming Persoonsgegevens worden gesteld aan het verwerken van de Persoonsgegevens.
Verwerker verwerkt de Persoonsgegevens ten behoeve van Verantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid.
Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.
Verantwoordelijke zal de verwerking van de Persoonsgegevens melden bij de Autoriteit Persoonsgegevens.
- OF -
Verantwoordelijke staat ervoor in dat de verwerking van de Persoonsgegevens is vrijgesteld van melding bij de Autoriteit Persoonsgegevens.
Het is Verwerker niet toegestaan om zonder voorafgaande schriftelijke toestemming van Verantwoordelijke de Persoonsgegevens buiten de Europese Economische Ruimte (hierna: "EER") te verwerken. Doorgifte en opslag van de Persoonsgegevens buiten de EER is zonder voorafgaande schriftelijke toestemming van Verantwoordelijke niet toegestaan.
Verwerker en degenen die onder het gezag van Verwerker werkzaam zijn, zijn verplicht tot geheimhouding van de Persoonsgegevens die de Verwerker verwerkt en/of waarvan de Verwerker kennis heeft genomen, tenzij een wettelijk voorschrift Verwerker tot mededeling verplicht of uit de taak van Verwerker de noodzaak tot mededeling voortvloeit.
Verwerker dient de Verantwoordelijke [per omgaande/binnen … uur/dagen] in kennis te stellen van alle tot de Verwerker gerichte verzoeken die betrekking hebben op de rechten van betrokkenen, zoals (maar niet per definitie beperkt tot) een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van de Persoonsgegevens. Verwerker verleent Verantwoordelijke volledige medewerking om te kunnen voldoen aan de betreffende verplichtingen van Verantwoordelijke op grond van de Wet Bescherming Persoonsgegevens, ongeacht of het verzoek van betrokkene is gericht tot Verwerker of tot Verantwoordelijke.
Het is Verwerker niet toegestaan om een derde in te schakelen bij de uitvoering van deze verwerkersovereenkomst, tenzij Partijen dit schriftelijk zijn overeengekomen.
DATALEKKEN
Als blijkt dat bij Verwerker sprake is van een inbreuk op de beveiliging, bedoeld in artikel 13 van de Wet Bescherming Persoonsgegevens, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens en/of die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van een betrokkene (hierna: "Datalek"), dan zal Verwerker de Verantwoordelijke daarover [per omgaande/binnen … uur/dagen] informeren nadat Xxxxxxxxx bekend is geworden met het Datalek.
Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken. Verwerker verplicht zich in dat geval ook tot het verlenen van alle mogelijke medewerking, zodat de Verantwoordelijke tijdig de Autoriteit Persoonsgegevens en eventueel de betrokkene kan informeren.
BEVEILIGING
Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
VERPLICHTINGEN VERANTWOORDELIJKE
Verantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens in overeenstemming is met de Wet Bescherming Persoonsgegevens.
AANSPRAKELIJKHEID
Verwerker is aansprakelijk voor alle schade en aan Verantwoordelijke door de Autoriteit Persoonsgegevens (of andere bevoegde instanties) opgelegde boetes die het gevolg zijn van of verband houdend met het niet nakomen van deze verwerkersovereenkomst en/of het handelen in strijd met de Wet Bescherming Persoonsgegevens.
SLOTBEPALINGEN
Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
Deze verwerkersovereenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Hoofdovereenkomst eindigt.
Deze verwerkersovereenkomst en de rechten en plichten uit deze verwerkersovereenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke.
In geval van beëindiging van deze verwerkersovereenkomst zal Verwerker onverwijld de Persoonsgegevens aan Verantwoordelijke retourneren en alle digitale kopieën van de Persoonsgegevens vernietigen. Verwerker zal vervolgens per omgaande aan Verantwoordelijke verklaren dat zij de opgelegde verplichtingen in dit artikel heeft uitgevoerd.
Mocht enige bepaling in deze verwerkersovereenkomst nietig, vernietigbaar of onverbindend zijn, dan zal deze verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en werking heeft als de nietige, vernietigbare of niet-verbindende bepaling.
Aldus overeengekomen en ondertekend in tweevoud,
Verantwoordelijke Verwerker
______________________ ______________________
Voor deze: Voor deze:
Plaats: Plaats:
Datum: Datum: