VERWERKERSOVEREENKOMST hierna: “Verwerkersovereenkomst”

VERWERKERSOVEREENKOMST

hierna: “Verwerkersovereenkomst”

DE ONDERGETEKENDEN:

1. de vereniging met volledige rechtsbevoegdheid Werkgeversvereniging WENB, statutair gevestigd te Arnhem en kantoorhoudende te (6812 AR) Arnhem aan de Utrechtseweg 310, B-42, ingeschreven in het handelsregister onder nummer 40124382, te dezen rechtsgeldig vertegenwoordigd door haar directeur (met volledige volmacht), de heer R.O.M. Xxxxxxx, hierna te noemen “WENB”;

en

2. de besloten vennootschap [invullen naam contractspartij], statutair gevestigd te [plaats statutaire zetel invullen] en kantoorhoudende te [adres invullen], ingeschreven in het handelsregister onder nummer [KvK-nummer invullen], te dezen rechtsgeldig vertegenwoordigd door haar statutair bestuurder(s) [naam/namen bestuurder(s) invullen], hierna te noemen: “[korte naam contractspartij invullen]”;

hierna afzonderlijk ook wel te noemen “Partij” en gezamenlijk “Partijen”;

OVERWEGENDE DAT:

1. Partijen op [datum invullen] een overeenkomst (hierna: de “Overeenkomst”) hebben gesloten op grond waarvan sprake is van verwerking van persoonsgegevens door Partijen en in het kader waarvan [korte samenvatting van de door de contractspartij voor WENB verrichte dienst(en)];

2. WENB (hierna: “Verwerkingsverantwoordelijke”) het doel en de middelen van de verwerkingen van de persoonsgegevens vaststelt en derhalve dient te worden aangemerkt als “verwerkingsverantwoordelijke” in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);

3. [korte naam contractspartij] (hierna: “Verwerker”) ten behoeve van Verwerkingsverantwoordelijke de persoonsgegevens verwerkt, zonder aan haar rechtstreekse gezag te zijn onderworpen en derhalve dient te worden aangemerkt als “verwerker” in de zin van de AVG;

4. Partijen hun afspraken met betrekking tot de verwerking van persoonsgegevens, waaronder de verdeling van hun onderlinge verplichtingen uit hoofde van de AVG, als volgt xxxxxx vast te leggen in deze Verwerkersovereenkomst;

KOMEN OVEREEN ALS VOLGT:

Artikel 1. Definities

Begrippen uit de AVG, zoals “betrokkene”, “persoonsgegevens” en “verwerking”, hebben de betekenis die daaraan is gegeven in de AVG.

Artikel 2. Duur en beëindiging

1. De Verwerkersovereenkomst is geldig zolang tussen Partijen de Overeenkomst van kracht is. De Verwerkersovereenkomst eindigt automatisch op het moment dat de Overeenkomst eindigt.

2. De Verwerkersovereenkomst kan niet door een Partij tussentijds worden beëindigd.

3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven ook na beëindiging daarvan gelden. Tot deze bepalingen behoren onder meer (doch niet uitsluitend) die welke voortvloeien uit artikel 2.4, artikel 5.3, artikel 9, artikel 10, artikel 11 en artikel 13.

4. Bij beëindiging van de Verwerkersovereenkomst, of aan het einde van de bewaartermijn van de persoonsgegevens, zal Verwerker de persoonsgegevens onverwijld wissen dan wel – dit ter keuze van Verwerkingsverantwoordelijke – retourneren aan Verwerkingsverantwoordelijke en bestaande kopieën verwijderen. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker bewijs overleggen van het feit dat de gegevens zijn vernietigd en/of verwijderd. Indien teruggave, vernietiging en/of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

Artikel 3. Verwerkingen

3.1 [WENB: voor iedere specifieke contractspartij in dit artikel graag omschrijven: 1) het onderwerp, 2) de duur, 3) de aard, 4) het doel van de verwerking(en) alsook 5) het soort persoonsgegevens en 6) de categorieën betrokkenen.]

Artikel 4. Rolverdeling

4.1 Verwerkingsverantwoordelijke bepaalt zelfstandig het doel en de middelen van de verwerkingen van de persoonsgegevens.

4.2 Verwerker verwerkt de persoonsgegevens uitsluitend ten behoeve van Verwerkingsverantwoordelijke en op basis van diens schriftelijke instructies, waaronder (doch niet uitsluitend) die zijn neergelegd in deze Verwerkersovereenkomst, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan in kennis, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4.3 Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van Verwerkingsverantwoordelijke heeft verricht en verricht. Dit register bevat in ieder geval de in artikel 30 lid 2 AVG genoemde gegevens. Het register wordt desgevraagd door Verwerker ter beschikking gesteld aan de toezichthoudende autoriteit en Verwerkingsverantwoordelijke.

4.4 Verwerker zal tijdig en volledig voldoen aan de geldende wet- en/of regelgeving met betrekking tot de verwerking van persoonsgegevens.

Artikel 5. Andere verwerkers

5.1 Het is Verwerker niet toegestaan andere verwerkers in dienst te nemen zonder voorafgaande specifieke, schriftelijke toestemming van Verwerkersverantwoordelijke.

5.2 Indien Verwerker met specifieke, schriftelijke toestemming van Verwerkingsverantwoordelijke een andere verwerker in dienst neemt om voor rekening van Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, zal Verwerker aan deze andere verwerker bij overeenkomst dezelfde verplichtingen worden opgelegd als die welke in deze Verwerkersovereenkomst tussen Verwerker en Verwerkingsverantwoordelijke zijn opgenomen, waaronder (doch niet uitsluitend) de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden.

5.3 Indien de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Verwerker ten aanzien van Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.

Artikel 6. Geheimhouding

6.1 Verwerker verplicht zich tot strikte geheimhouding van alle informatie, kennis en gegevens, waaronder met name ook persoonsgegevens, die hij verkrijgt van Verwerkersverantwoordelijke in het kader van de uitvoering van de Overeenkomst en deze Verwerkersovereenkomst, op straffe van een onmiddellijk opeisbare boete van € 5.000,- (zegge: vijfduizend Euro) per overtreding van deze verplichting alsook € 500,- (zegge: vijfhonderd Euro) per dag dat de overtreding voortduurt, onverminderd het recht van Verwerkingsverantwoordelijke op volledige schadevergoeding.

6.2 Verwerker garandeert en staat er jegens Verwerkingsverantwoordelijke voor in dat onbevoegd personeel geen toegang heeft tot de persoonsgegevens en/of gegevensverwerkende toepassingen en dat elke medewerker die door Verwerker wordt gemachtigd tot toegang tot de persoonsgegevens verplicht is tot geheimhouding van de persoonsgegevens waarvan hij kennis neemt.

Artikel 7. Beveiliging

7.1 Verwerker verplicht zich passende technische en organisatorische maatregelen te treffen en te onderhouden om de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens te verzekeren en de persoonsgegevens adequaat te beveiligen tegen onbevoegde toegang tot of verlies van de persoonsgegevens dan wel enige andere vorm van onrechtmatige verwerking van de persoonsgegevens, overeenkomstig artikel 32 AVG.

7.2 Verwerker zal de getroffen maatregelen actief en regelmatig monitoren en evalueren. Indien nodig zal Verwerker de beveiligingsmaatregelen aanpassen en/of verbeteren voor zover de toepasselijke wet- en/of regelgeving op het gebied van de bescherming van persoonsgegevens dan wel (technologische) ontwikkelingen daartoe aanleiding geven.

7.3 Verwerkingsverantwoordelijke is gerechtigd bij Verwerker een onderzoek in te (laten) stellen met betrekking tot de (kwaliteit en doeltreffendheid van) de getroffen beveiligingsmaatregelen. De kosten van het onderzoek zijn voor rekening van Verwerkingsverantwoordelijke, tenzij de controle uitwijst dat Verwerker niet aan zijn verplichtingen voortvloeiend uit de Verwerkersovereenkomst heeft voldoen, in welk geval de kosten voor rekening van Verwerker zijn.

7.4 Verwerker is verplicht jaarlijks, op eigen kosten, een door hem aan te wijzen onafhankelijke IT (EDP) auditor of deskundige onderzoek te laten uitvoeren ten aanzien van de technische en organisatorische maatregelen van Verwerker ter beveiliging van de persoonsgegevens, teneinde te doen vaststellen dat Verwerker aan zijn verplichtingen voldoet. Verwerker verplicht zich om in dit verband de systemen, bestanden en documentatie met betrekking tot de verwerking van de persoonsgegevens beschikbaar te houden en alle redelijkerwijs benodigde medewerking te verlenen aan het onderzoek.

7.5 Verwerker is verplicht de bevindingen van de IT (EDP) auditor of deskundige, in de vorm van een TMP verklaring (Third Party Memorandum), op eerste verzoek, kosteloos aan Verwerkingsverantwoordelijke te verschaffen.

7.6 Verwerker zal de, naar aanleiding van het/de op grond van artikel 7.3 en/of 7.4 uitgevoerde onderzoek(en), geconstateerde tekortkomingen binnen de daartoe door Verwerkingsverantwoordelijke te bepalen redelijke termijn verhelpen, welke termijn geldt als een fatale termijn. Indien Verwerker binnen de door Verwerkingsverantwoordelijke te bepalen termijn de tekortkomingen niet heeft hersteld, heeft Verwerkingsverantwoordelijke onder andere het recht de Overeenkomst met onmiddellijke ingang te beëindigen, zonder dat Verwerker aanspraak kan maken op enige vorm van schadevergoeding als gevolg daarvan.

7.7 Verwerker verleent Verwerkingsverantwoordelijke alle mogelijke bijstand bij het vervullen van diens verplichting passende technische en organisatorische beveiligingsmaatregelen te treffen en – voor zover nodig – gegevensbeschermingseffectbeoordelingen uit te voeren.

Artikel 8. Doorgifte

Zonder voorafgaande, specifieke schriftelijke toestemming van Verwerkingsvertegenwoordiger, is het Verwerker niet toegestaan persoonsgegevens door te geven aan of te verwerken in landen buiten de Europese Economische Ruimte zonder passend beschermingsniveau.

Artikel 9. Rechten betrokkene

9.1 Verwerker verleent Verwerkingsverantwoordelijke alle mogelijke bijstand bij het vervullen van diens verplichting om verzoeken tot uitoefening van de rechten van betrokkene(n) te beantwoorden.

9.2 Indien Verwerker een verzoek ontvangt van een betrokkene, dan zal Xxxxxxxxx dit verzoek onverwijld doorgeleiden naar Verwerkingsverantwoordelijke, die het verzoek – met bijstand van Verwerker – zal afhandelen.

Artikel 10. Meldplicht datalekken

10.1 Verwerker heeft te allen tijde geschreven procedures voorhanden die hem in staat stelt om onmiddellijk en adequaat te reageren in geval van een (mogelijk) beveiligingsincident of datalek, en om effectief met Verwerkingsverantwoordelijke samen te werken om het incident en/of lek af te handelen.

10.2 Verwerker verleent Verwerkingsverantwoordelijke alle mogelijke bijstand bij het vervullen van diens verplichtingen met betrekking tot een (mogelijk) beveiligingsincident en/of datalek.

10.3 In het geval Verwerker op de hoogte raakt van een (mogelijk) beveiligingsincident en/of datalek, zal hij Verwerkingsverantwoordelijke daarvan onverwijld, doch uiterlijk binnen 24 uur nadat Verwerker bekend is geworden met het (mogelijke) beveiligingsincident en/of datalek, informeren, naar aanleiding waarvan Verwerkingsverantwoordelijke – zo nodig – onverwijld de toezichthoudende autoriteit en betrokkene(n) zal informeren.

10.4 De melding van een (mogelijk) beveiligingsincident en/of datalek door Verwerker aan Verwerkingsverantwoordelijke behelst in ieder geval het melden van het feit dat er (mogelijk) een beveiligingsincident en/of datalek, waaronder begrepen (maar niet beperkt tot) diefstal, verlies, verminking dan wel ongeoorloofd gebruik, met betrekking tot de persoonsgegevens is geweest, alsmede:

- de aard en (vermeende) oorzaak van het (mogelijk) beveiligingsincident en/of datalek;

- de (mogelijk) getroffen persoonsgegevens;

- de vastgestelde en verwachte gevolgen van het (mogelijke) beveiligingsincident en/of datalek;

- de maatregelen die Verwerker heeft getroffen en zal treffen om de gevolgen te verhelpen dan wel te beperken.

10.5 Verwerker zal in overleg met Verwerkingsverantwoordelijke alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij eventuele meldingen aan de toezichthoudende autoriteiten en betrokkenen.

Artikel 11. Vrijwaring en aansprakelijkheid

11.1 Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle vorderingen en aanspraken, die derden, waaronder (doch niet uitsluitend) betrokkenen, jegens Verwerkingsverantwoordelijke (trachten) geldend (te) maken alsmede voor alle verliezen, schade en kosten die Verwerkingsverantwoordelijke maakt of lijdt, en die voorvloeien uit een tekortkoming van Verwerker in de nakoming van op hem rustende verplichtingen onder deze Verwerkersovereenkomst en/of enige schending van de geldende wet- en regelgeving op het gebied van de verwerking van persoonsgegevens, waaronder in elk geval de AVG.

11.2 Onverminderd het voorgaande, is Verwerker, indien de daartoe bevoegde autoriteit in het kader van haar taak als handhaver een maatregel, daaronder begrepen een boete, oplegt aan Verwerkingsverantwoordelijke en indien de oorzaak hiervan te wijten is aan het niet nakomen van de in deze Verwerkersovereenkomst overeengekomen verplichtingen door Verwerker, aansprakelijk voor zowel de aan Verwerkingsverantwoordelijke opgelegde boete als de overige door Verwerkersverantwoordelijke geleden schade en gemaakte kosten.

11.3 Onverminderd het voorgaande, is Verwerker aansprakelijk voor alle kosten (daaronder ook begrepen de interne kosten), die Verwerkingsverantwoordelijke maakt als gevolg van een (mogelijk) beveiligingsincident of datalek.

11.4 Verwerker zal gedurende de looptijd van de Overeenkomst adequaat verzekerd zijn voor aansprakelijkheid op grond van dit artikel 11.

Artikel 12. Nietigheid

Indien enige bepaling van deze Verwerkersovereenkomst nietig of anderszins niet afdwingbaar is, blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeenkomen, die de strekking van de nietige bepaling zoveel mogelijk benadert.

Artikel 13. Rechts- en forumkeuze

13.1 Op de Verwerkersovereenkomst is Nederlands recht van toepassing.

13.2 Alle geschillen in verband met de Verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter van rechtbank Gelderland, locatie Arnhem.

ALDUS OVEREENGEKOMEN EN IN TWEEVOUD OP DE VOLGENDE PAGINA ONDERTEKEND DOOR DE BEVOEGDE VERTEGENWOORDIGERS VAN:

Werkgeversvereniging WENB [naam contractspartij invullen]

(handtekening) (handtekening)

_________________________________ ______________________________

Naam: R.O.M. Rutjens Naam: ………………………………….

Functie: directeur Functie: ………………………………..

Datum: ……………………………………... Datum: …………………………………

Plaats: ……………………………………… Plaats: …………………………………

Paraaf WENB: Paraaf Verwerker: