VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

Het uitbesteden van de verwerking van persoonsgegevens komt in de praktijk heel veel voor. Die uitbesteding kan op allerlei verschillende handelingen met persoonsgegevens zijn. Ook het extern laten bewerken van persoonsgegevens (zoals bij de uitbesteding van de constructieberekeningen, geotechnisch bodemonderzoek, interieur- en tuinarchitectuur, aanbestedingen en vergunningsaanvragen) is een uitbesteding op grond van de Algemene Verordening Gegevensbescherming (AVG). De AVG legt de verplichting op om een verwerking van persoonsgegevens door een verwerker te regelen in een overeenkomst of andere rechtshandeling die partijen bindt.

Definities

Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerking Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerker Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

De ondergetekenden,

Opdrachtgever, gegevens conform de offerte waar deze verwerkersovereenkomst deel van uitmaakt hierna te noemen opdrachtgever(s),

Spanjers Architect V.O.F., gevestigd en kantoorhoudende te Oirschot aan het Kolkven 3, ingeschreven in het handelsregister van de Kamer van Koophandel 73254029, hierbij rechtsgeldig vertegenwoordigd door de heer H.E.M.C. Spanjers en mevrouw X.X.X. Spanjers – Xxx Xxxxxxxx, beiden in hun functie van vennoot / eigenaar, hierna te noemen opdrachtnemer,

in aanmerking nemend dat:

• opdrachtnemer diensten verricht ten xxxxxxx van opdrachtgever, zoals beschreven in bijlage 1 bij deze overeenkomst, nader te noemen de diensten;

• de diensten met zich brengen dat persoonsgegevens worden verwerkt, waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming, nader te noemen AVG;

• opdrachtnemer de betreffende gegevens verwerkt xxxxxx in opdracht van opdrachtgever en niet voor eigen doeleinden. Opdrachtnemer is in dat kader aan te merken als verwerker in de zin van de

AVG;

• partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving afspraken te maken en deze vast te leggen met betrekking tot de verwerking van persoonsgegevens door opdrachtnemer;

• partijen middels deze overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten wensen vast te leggen.

komen het volgende overeen:

Artikel 1. Diensten waarbij persoonsgegevens worden verwerkt

1. Opdrachtnemer verricht ten behoeve van opdrachtgever de in bijlage 1 beschreven diensten overeenkomstig de daartoe separaat gesloten overeenkomsten. Het verlenen van de diensten brengt verwerkingen van persoonsgegevens met zich mee waarvoor opdrachtgever verwerkingsverantwoordelijke of verwerker is in de zin van de AVG. Opdrachtnemer fungeert daarbij als verwerker in de zin van de AVG.

2. Opdrachtnemer en opdrachtgever verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 2. Uitgangspunten bij het verwerken van persoonsgegevens

1. Opdrachtnemer zal de in artikel 1 bedoelde persoonsgegevens te allen tijde verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving (waaronder de

AVG), de (specifieke) instructies en aanwijzingen van opdrachtgever alsmede een eventueel toepasselijke (en verstrekte) gedragscode van opdrachtgever.

2. Opdrachtgever heeft de categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt opgenomen in bijlage 2.

3. Opdrachtnemer zal de persoonsgegevens voorts louter verwerken voor zover noodzakelijk voor het verlenen van de diensten en/of het uitvoeren van de specifieke instructies en aanwijzingen van opdrachtgever. Het is opdrachtnemer niet toegestaan persoonsgegevens voor andere doeleinden te verwerken, tenzij daartoe een wettelijke verplichting bestaat.

Artikel 3. Beveiligings- en betrouwbaarheidsmaatregelen en gegevensbeschermingseffectbeoordeling (DPIA)

1. Opdrachtnemer zal in overeenstemming met de geldende wettelijke regels de beveiliging van persoonsgegevens waarborgen en technische- en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen passend zijn, rekening houdend met de stand van de techniek en de kosten die ermee gemoeid zijn en zullen er mede op gericht zijn onnodige verzamelingen en verdere verwerking van persoonsgegevens te voorkomen. Opdrachtnemer zal in dat kader ten minste een niveau van beveiliging realiseren en de beveiligingsmaatregelen treffen zoals beschreven in bijlage 3 bij deze overeenkomst.

2. Opdrachtnemer zal voorts maatregelen treffen teneinde een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de verwerkte persoonsgegevens te garanderen.

3. Indien opdrachtgever een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de diensten, zal opdrachtnemer alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal opdrachtnemer alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de Autoriteit Persoonsgegevens nodig is op grond van de geldende privacywetgeving. Opdrachtgever zal opdrachtnemer de in dit kader gemaakte redelijke kosten vergoeden.

Artikel 4. Meldplicht (beveiligings)incidenten

1. Zodra zich een inbreuk op de beveiliging in verband met persoonsgegevens voordoet als bedoeld in artikel 33 AVG, die betrekking heeft (of kan hebben) op de persoonsgegevens waarvoor opdrachtgever verwerkingsverantwoordelijke is en die op grond van de AVG mogelijk moet worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkene, zal opdrachtnemer opdrachtgever hierover zo spoedig mogelijk na ontdekking informeren, ongeacht of op het moment van ontdekking nog onduidelijk is of de inbreuk op grond van de AVG inderdaad gemeld dient te worden en onverminderd de eigen verplichtingen van opdrachtnemer in dat geval direct zelf doeltreffende maatregelen te nemen teneinde de uit de inbreuk voortvloeiende negatieve gevolgen zo veel mogelijk ongedaan te maken en verdere negatieve gevolgen zo veel mogelijk te beperken.

2. Voor zover opdrachtgever het noodzakelijk acht de betrokkenen te informeren over één of meer incidenten als bedoeld in de voorgaande artikelen zal opdrachtnemer daar alle noodzakelijke medewerking aan verlenen.

3. Opdrachtnemer is nimmer aansprakelijk voor de op opdrachtgever rustende (correcte en/of tijdige) meldplicht in de zin van de AVG. Het is opdrachtnemer toegestaan om met de Autoriteit

Persoonsgegevens in contact te treden inzake een voorgevallen incident.

Artikel 5. Geheimhouding

1. Opdrachtnemer zal de persoonsgegevens die in het kader van de diensten worden verwerkt, evenals alle andere informatie die opdrachtnemer in het kader van de uitvoering van de onderhavige overeenkomst ter kennis komt, tegenover derden strikt geheim houden en niet openbaar maken, anders dan voor zover noodzakelijk voor het verlenen van de diensten dan wel voor zover een wettelijk voorschrift of rechterlijk bevel opdrachtnemer tot mededeling c.q. verstrekking verplicht. Tevens zal opdrachtnemer alle nodige maatregelen treffen om geheimhouding van de persoonsgegevens te garanderen. Opdrachtnemer staat er voor in en garandeert dat alle personen die handelen onder zijn gezag en/of toegang hebben tot de persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.

2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien opdrachtgever uitdrukkelijk schriftelijk toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken, of een wettelijke verplichting bestaat om de persoonsgegevens aan een derde te verstrekken.

Artikel 6. Bewaren van persoonsgegevens

Opdrachtnemer zal de persoonsgegevens die hij verwerkt in het kader van de diensten niet langer bewaren dan noodzakelijk. Uitgangspunt daarbij is dat het bewaren van persoonsgegevens niet langer noodzakelijk is nadat het verlenen van de diensten is voltooid, tenzij de verwerker op andere gronden gehouden is de persoonsgegevens te bewaren. Opdrachtnemer zal opdrachtgever informeren wanneer hij de gegevens niettemin langer wenst te bewaren, onder vermelding van de redenen hiertoe, evenals de wettelijke grondslag voor dit bewaren.

Artikel 7. Teruggave dan wel vernietiging persoonsgegevens

1. Indien en zodra het bewaren van persoonsgegevens zoals bedoeld in artikel 6 niet langer plaats zal vinden, zal opdrachtnemer opdrachtgever de keuze geven de verwerkte persoonsgegevens hetzij

(1) (terug) te leveren c.q. over te dragen, dan wel (2) te vernietigen. Opdrachtnemer zal hangende de keuze van opdrachtgever de persoonsgegevens blijven bewaren voor rekening en risico van opdrachtgever en

met dien verstande dat opdrachtgever zijn keuze binnen een periode van één maand kenbaar moet maken aan opdrachtnemer.

2. Het (terug) leveren van persoonsgegevens als bedoeld in lid 1, zal geschieden in een algemeen aanvaard bestandsformaat. Opdrachtnemer zal opdrachtgever daarbij tevens voorzien van deugdelijke en volledige documentatie met een gedetailleerde beschrijving van de (meer specifieke) bestandsindeling waarin opdrachtnemer de gegevens aanlevert. Opdrachtnemer is gerechtigd voor het (terug) leveren de in bijlage 4 beschreven tarieven in rekening te brengen.

3. Het vernietigen van de persoonsgegevens als bedoeld in lid 1 geschiedt zo spoedig mogelijk nadat opdrachtgever daartoe de opdracht heeft gegeven. Opdrachtnemer zal voor de vernietiging van persoonsgegevens geen kosten in rekening brengen.

Artikel 8. Medewerking aan verzoeken van betrokkenen

Opdrachtgever heeft op grond van de AVG verplichtingen tegenover de betrokkenen (de personen wier persoonsgegevens door de opdrachtnemer ten behoeve van opdrachtgever worden verwerkt). Die verplichtingen zien onder meer op het verstrekken van informatie, het geven van xxxxxx in persoonsgegevens, het corrigeren van persoonsgegevens, het verwijderen van persoonsgegevens, het beperken van verwerking en overdracht van de persoonsgegevens. De verantwoordelijkheid van de nakoming van deze verplichtingen rust op opdrachtgever. Indien opdrachtnemer een verzoek of bezwaar van een betrokkene ontvangt, stuurt opdrachtnemer dat verzoek onmiddellijk door naar opdrachtgever. Opdrachtnemer is gerechtigd voor deze werkzaamheden de in bijlage 4 beschreven tarieven in rekening te brengen.

Artikel 9. Inschakeling subverwerkers

Opdrachtnemer kan, met behoud van volledige aansprakelijkheid voor de naleving van de verplichtingen uit de onderhavige overeenkomst, de verwerking van persoonsgegevens of delen daarvan uitbesteden aan een derde, een zogenaamde subverwerker, mits:

a. opdrachtgever schriftelijk heeft ingestemd met inschakeling van de subverwerker. In bijlage 2 worden de relevante gegevens over de subverwerker(s) opgenomen waarvoor opdrachtnemer toestemming heeft verleend.

Artikel 10. Controle

1. Opdrachtgever is gerechtigd, al dan niet door een externe partij, te (laten) controleren of en zo ja in hoeverre opdrachtnemer de verplichtingen uit deze overeenkomst naleeft. Opdrachtnemer zal aan een dergelijke controle zijn volledige medewerking verlenen, waaronder uitdrukkelijk wordt verstaan het verlenen van toegang tot de locatie waarop de diensten worden verleend, het geven van inzage in de administratie met betrekking tot de diensten en al het overige dat noodzakelijk is om te kunnen controleren in hoeverre opdrachtnemer zich aan de verplichtingen uit onderhavige overeenkomst houdt.

2. In geval van een onderzoek door de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit zal opdrachtnemer alle redelijke medewerking verlenen en opdrachtgever zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de vergoeding van de door opdrachtnemer gemaakte kosten.

Artikel 11. Aansprakelijkheid

1. De opdrachtnemer is slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de opdrachtnemer gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van opdrachtgever is gehandeld.

Artikel 12. Vrijwaring

Opdrachtgever is aansprakelijk voor de verwerking van persoonsgegevens in het kader van deze overeenkomst. Opdrachtgever garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met de geldende wet- en regelgeving. Opdrachtgever vrijwaart opdrachtnemer tegen alle aanspraken van derden, waaronder de toezichthouder(s), welke voortvloeien uit het niet naleven van deze garantie.

Artikel 13. Duur van de overeenkomst

De duur van deze overeenkomst is gelijk aan de duur van de overeenkomst(en) met betrekking tot de diensten, met dien verstande dat de duur van de onderhavige overeenkomst naar rato wordt verlengd zolang het terug leveren dan wel vernietigen van gegevens overeenkomstig artikel 7 nog niet is voltooid.

Artikel 14. Wijzigingen en aanvullingen op de overeenkomst

In geval van wijzigingen in de diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de persoonsgegevens zullen partijen in overleg treden over de eventueel benodigde wijziging van de verwerkersovereenkomst. Eventuele aanvullingen of wijzigingen op deze overeenkomst zijn alleen geldig voor zover ze schriftelijk (waaronder per e-mail) zijn vastgelegd. Mondelinge mededelingen, toezeggingen of afspraken zullen schriftelijk (dan wel per e- mail) worden bevestigd. Wijzigingen in de bijlagen kunnen door partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

Artikel 15. Wijziging overeenkomst bij gewijzigde omstandigheden

Indien een wijziging in de verwerkte persoonsgegevens of een wijziging in de betrouwbaarheidseisen opdrachtgever aanleiding geeft deze overeenkomst (waaronder de bijlagen) te wijzigen en opdrachtnemer niet bereid is op redelijke voorwaarden met die wijziging in te stemmen c.q. te kennen geeft deze (gewijzigde) diensten niet te kunnen verrichten, is opdrachtgever gerechtigd deze overeenkomst en de bijbehorende overeenkomst met betrekking tot de diensten met onmiddellijke ingang op te zeggen.

Artikel 16. Gevolgen van het beëindigen van de overeenkomst

1. Artikel 7 is van overeenkomstige toepassing bij het, op welke grond dan ook, eindigen van de overeenkomst. Artikel 5 en artikel 19 blijven ook na het beëindigen van de overeenkomst van kracht.

2. Opdrachtnemer zal bij beëindiging van de overeenkomst op verzoek van opdrachtgever en tegen vergoeding van de redelijke kosten de persoonsgegevens in een gangbaar formaat ter beschikking stellen aan opdrachtgever of aan een door opdrachtgever aangewezen derde.

3. Opdrachtnemer zal na overdracht van de persoonsgegevens aan opdrachtnemer de nog aanwezige persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Opdrachtnemer zal tevens zorgdragen voor vernietiging van de persoonsgegevens bij de subverwerkers.

Artikel 17. Rangorde

Voor zover enige bepaling van deze overeenkomst en/of de daarbij horende bijlagen in strijd is met hetgeen in de overeenkomst(en) met betrekking tot de diensten is bepaald, prevaleert hetgeen in de onderhavige overeenkomst c.q. de bijlagen is bepaald.

Artikel 18. Leesbaarheid

Omwille van de leesbaarheid is steeds “hij, hem of zijn” gebruikt in de tekst. Uiteraard kan hiervoor ook “zij of haar” worden gelezen.

Artikel 19. Toepasselijk recht en bevoegde rechter

Op deze overeenkomst is Nederlands recht uitsluitend van toepassing. Behoudens voor zover de overeenkomst(en) met betrekking tot de diensten een exclusief bevoegde rechter aanwijzen, is de rechter gevestigd in het arrondissement waar opdrachtnemer statutaire vestigingsplaats heeft exclusief bevoegd.

Overzicht bijlagen:

1. Beschrijving diensten

2. Overzicht van categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt en subverwerkers

3. Beschrijving beveiliging

4. Beschrijving tarieven

Bijlage 1 - Beschrijving diensten

Deze verwerkersovereenkomst heeft betrekking op de volgende door opdrachtnemer te verrichten diensten:

1. Voorlopig ontwerp

2. Definitief ontwerp + vooroverleg gemeente

3. Technische uitwerking + aanvraag vergunning

4. Bouwvoorbereiding

5. Aanbesteding

6. Bouwbegeleiding

Bijlage 2 - Overzicht van categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt en subverwerkers

A. Categorieën Betrokkenen

De personen waarop de persoonsgegevens betrekking hebben zijn in ieder geval:

• Medewerkers en/of aandeelhouders van opdrachtgever

B. Soort persoonsgegevens

De persoonsgegevens die door verwerker worden verwerkt zijn in ieder geval:

■ NAW-gegevens, telefoonnummers, e-mailadres, geboortedatum;

■ Burgerservicenummer(BSN);

C. Aard en doel van de verwerking

■ Voeren van vooroverleg

■ Aanvragen omgevingsvergunning

D. Gegevens subverwerkers

Verwerker maakt voor de uitvoering van de overeenkomst indien relevant en noodzakelijk gebruik van de volgende subverwerkers:

■ Van Gerven advies voor bouwconstructies, gevestigd en kantoorhoudende te Eersel aan Xxxxxxxxxxxxxxx 00

■ Lankelma Geotechniek zuid B.V. gevestigd en kantoorhoudende te Oirschot

■ De lokele overheden daar waar het vooroverleggen of aanvragen omgevingsvergunning betreft

■ De in overleg met de opdrachtgever bepaalde aannemers

E. Contactgegevens

Voor vragen of opmerkingen over de verwerkersovereenkomst en bijlagen is de contactpersoon van

■ Verwerkingsverantwoordelijke: opdrachtgever zoals vermeld in bovenliggende overeenkomst.

■ Verwerker: opdrachtnemer zoals vermeld in deze overeenkomst, bereikbaar via: Naam: H.E.M.C. Spanjers

Telefoonnummer: x00(0)0 00000000

Bijlage 3 - Beschrijving beveiliging

• Xxxxxxx stukken zijn opgeslagen in een kast.

• BSN nummers worden enkel digitaal opgeslagen.

• Bedrijfspand is altijd bezet door personeel en anders afgesloten.

Bijlage 4 - Beschrijving tarieven

Het uurtarief bedraagt € 85,- (excl. btw).

Versie

Versie 1.0 d.d. 08-06-2018