Verwerkersovereenkomst [ naam verwerkingsverantwoordelijke] en [ naam verwerker ]
Verwerkersovereenkomst [ naam verwerkingsverantwoordelijke] en [ naam verwerker ]
De ondergetekenden,
[ …. ], hierna te noemen ‘verwerkingsverantwoordelijke’, gevestigd te Amersfoort aan het adres ….. (postcode: …..), in dezen rechtsgeldig vertegenwoordigd door de heer …., [ functie ],
en
……., hierna te noemen ‘verwerker’, gevestigd te [plaats] aan het adres [adres] (postcode: [postcode]), in dezen rechtsgeldig vertegenwoordigd door ………
nemen het navolgende in overweging:
Verwerkingsverantwoordelijke is met verwerker een overeenkomst van opdracht aangegaan (hierna te noemen 'de hoofdovereenkomst').
Verwerker krijgt in het kader van de uitvoering van zijn verplichtingen uit de hoofdovereenkomst de beschikking over persoonsgegevens, waaronder begrepen zogenaamde bijzondere persoonsgegevens, hierna te noemen ‘persoonsgegevens’ zoals bedoeld in de Wet Bescherming Persoonsgegevens, hierna te noemen ‘WBP’, en de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679), hierna te noemen ‘AVG’, voormelde wet en verordening hierna te noemen ‘wet- en regelgeving’.
Verwerker zal de persoonsgegevens voor verwerkingsverantwoordelijke verwerken, zoals bedoeld in wet- en regelgeving, in welke wet- en regelgeving onder 'verwerken' het navolgende wordt verstaan: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Op verwerkingsverantwoordelijke rust ingevolge wet- en regelgeving (waaronder artikel 24 lid 1 AVG) de verplichting passende technische en organisatorische beveiligingsmaatregelen te nemen tegen verlies en iedere vorm van onrechtmatige verwerking van de persoonsgegevens.
Op verwerkingsverantwoordelijke rust ingevolge wet- en regelgeving (waaronder artikel 28 lid 1 AVG) tevens de verplichting uitsluitend een beroep te doen op , die afdoende garanties bieden met betrekking tot het toepassen van technische en organisatorische beveiligingsmaatregelen tegen verlies en iedere vorm van onrechtmatige verwerking van de persoonsgegevens.
Op Verwerkingsverantwoordelijke rust ingevolge wet- en regelgeving (waaronder artikel 33 lid 1 AVG) een verplichting tot het melden van inbreuken op de beveiliging (hierna te noemen ‘datalekken’) aan de Autoriteit Persoonsgegevens (hierna te noemen ‘de AP’) en in bepaalde gevallen tevens aan de persoon van wie persoonsgegevens zijn vastgelegd (hierna te noemen ‘de Betrokkene’).
Partijen wensen conform wet- en regelgeving al hun afspraken omtrent de verwerking van Persoonsgegevens door verwerker en het melden van datalekken vast te leggen in deze overeenkomst, hierna te noemen ‘de verwerkersovereenkomst’.
en komen het navolgende overeen:
Ingangsdatum en duur verwerkersovereenkomst
Artikel 1
Deze verwerkersovereenkomst treedt in werking op [ datum invullen ] en wordt aangegaan voor bepaalde tijd, namelijk voor de duur dat verwerker voor verwerkingsverantwoordelijke als verwerker van persoonsgegevens optreedt in het kader van de tussen partijen gesloten hoofdovereenkomst.
Onderwerp, aard en doel verwerking en soort persoonsgegevens
Artikel 2
De verwerker verwerkt de door of namens verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke, in het kader van de uitvoering van de hoofdovereenkomst en met inachtneming van de schriftelijke instructies van verwerker en overeenkomstig de bepalingen van de onderhavige verwerkersovereenkomst. De door de verwerker uit te voeren werkzaamheden waarop de onderhavige verwerkersovereenkomst betrekking heeft, worden omschreven in de hoofdovereenkomst.
Onderwerp, duur, aard en doel van de verwerking, soort van persoonsgegevens en categorieën van betrokkenen waarop de hoofdovereenkomst betrekking heef, komen kort weergegeven op het volgende neer:
…….Verwerkingsverantwoordelijke heeft de zeggenschap over de verwerking van de persoonsgegevens en heeft het doel van en de middelen voor de verwerking van de persoonsgegevens vastgesteld.
Verwerker heeft geen zelfstandige zeggenschap over het doel van en de middelen voor de verwerking van de persoonsgegevens en zal de persoonsgegevens uitsluitend gebruiken voor het in het 2e lid van dit artikel omschreven doel, waarvoor de persoonsgegevens aan de verwerker ter beschikking zijn gesteld.
Verplichtingen verwerker ten aanzien van de verwerking
Artikel 3
Verwerker verbindt zich jegens verwerkingsverantwoordelijke de hem ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.
Verwerker verplicht zich jegens verwerkingsverantwoordelijke conform de relevante wet- en regelgeving te handelen.
Verwerker verwerkt ingevolge artikel 28 lid 3 letter a AVG de persoonsgegevens uitsluitend op basis van deze overeenkomst of nadere schriftelijke instructies van de verwerkingsverantwoordelijke.
De door verwerker te verwerken persoonsgegevens zullen uitsluitend worden verwerkt in Nederland. Doorgifte door verwerker van persoonsgegevens naar andere landen is uitsluitend toegestaan na voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke en met inachtneming van de toepasselijke wet- en regelgeving.
Geheimhoudingsplicht
Artikel 4
Verwerker verbindt zich jegens verwerkingsverantwoordelijke tot geheimhouding van de vertrouwelijke gegevens en de persoonsgegevens die aan verwerker door of namens verwerkingsverantwoordelijke ter beschikking zijn gesteld .
Verwerker legt, overeenkomstig artikel 28 lid 3 letter b AVG, aan personen die bij hem in dienst zijn en aan personen die uit anderen hoofde voor verwerker of in opdracht van verwerker of onder zijn verantwoordelijkheid voor verwerker werkzaam zijn, alsmede aan personen die door verwerker tot het verwerken van persoonsgegevens gemachtigd zijn, de verplichting op tot geheimhouding van vertrouwelijke gegevens en persoonsgegevens die door of namens verwerkingsverantwoordelijke aan verwerker ter beschikking zijn gesteld.
Verwerking ter uitvoering en/of nakoming van de onderhavige verwerkersovereenkomst en/of een wettelijke verplichting gelden niet als een schending van een geheimhoudingsverplichting vervat in de voorgaande leden van het onderhavige artikel.
Beveiliging
Artikel 5
Verwerker neemt, overeenkomstig artikel 32 lid 1 AVG, passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking. De wijze van beveiliging wordt nader omschreven in de bijlage bij deze overeenkomst.
Verwerker zal zich ervoor inspannen dat de beveiligingsmaatregelen als bedoeld in het eerste lid van het onderhavige artikel, blijvend voldoen aan een niveau dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen, toereikend is om te voldoen aan Wet- en regelgeving.
Bijstandverlening met betrekking tot rechten van betrokkenen
Artikel 6
Rekening houdend met de aard van de verwerking verleent verwerker, ingevolge artikel 28 lid 3 letter e AVG, voor zover mogelijk, bijstand bij het vervullen van de plicht van de verwerkingsverantwoordelijke om verzoeken om uitoefening van de in wet- en regelgeving vastgelegde rechten van de personen van wie de persoonsgegevens worden verwerkt, te beantwoorden.
Beveiligingsincidenten en datalekken
Artikel 7
Verwerker zal, ingevolge artikel 28 lid 3 letter f AVG, verwerkingsverantwoordelijke zo spoedig mogelijk - doch uiterlijk binnen 24 uur na de eerste ontdekking - informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken. Verwerker zal voorts, op eerste verzoek van verwerkingsverantwoordelijke alle inlichtingen verschaffen die verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.
Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en de afhandeling van inbreuken en zal verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan. Verwerker stelt verwerkingsverantwoordelijke op de hoogte van materiële wijzigingen in het plan van aanpak.
Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan verwerkingsverantwoordelijke.
Verwerker zal alle noodzakelijke medewerking verlenen aan het verschaffen van aanvullende informatie aan de Autoriteit Persoonsgegevens en/of betrokkene(n).
Verwerker houdt een gedetailleerd logboek bij van alle (vermoedelijke) inbreuken op de beveiliging en van de maatregelen die in vervolg op dergelijke inbreuken zijn genomen, en geeft daar op eerste verzoek van verwerkingsverantwoordelijke inzage in.
Werkwijze, opslag en bewaartermijn
Artikel 8
Indien het verwerken van persoonsgegevens door verwerker plaatsvindt op een systeem van de verwerkingsverantwoordelijke en/of op een systeem waarvan verwerkingsverantwoordelijke de beheersrechten heeft, zal verwerker zich houden aan de binnen de organisatie van verwerkingsverantwoordelijke geldende voorschriften en waarborgen met betrekking tot de toegang tot dat systeem.
Indien lid 1 van toepassing is, zal verwerker nimmer persoonsgegevens opslaan op het eigen systeem van verwerker of op eigen informatiedragers van verwerker.
Indien persoonsgegevens door verwerkingsverantwoordelijke ter verwerking aan verwerker ter beschikking gesteld worden, is verwerker gerechtigd de persoonsgegevens tijdelijk op het eigen systeem opslaan.
Verwerker zal, ingevolge artikel 28 lid 3 letter g, na afloop van elke verwerkingsdienst de ter beschikking gestelde persoonsgegevens en kopieën daarvan wissen, tenzij hij een plicht tot opslag heeft op grond van de Nederlandse of EU-wetgeving, in welk geval verwerker de ter beschikking gestelde persoonsgegevens (en eventuele kopieën daarvan) zal wissen onverwijld nadat de uit deze wetgeving voortvloeiende plicht tot opslag is geëindigd.
Verwerker zal uitsluitend originele bestanden van persoonsgegevens op het eigen systeem opslaan als de hoofdovereenkomst tussen verwerkingsverantwoordelijke en verwerker de opslag van de originele data betreft.
Audits
Artikel 9
De verwerkingsverantwoordelijke is ingevolge artikel 28 lid 1 letter h te allen tijde gerechtigd de nakoming van de overeengekomen verplichtingen inzake de verwerking van persoonsgegevens te (doen) controleren. De verwerker is verplicht de verwerkingsverantwoordelijke of, de onder geheimhouding, controlerende instantie in opdracht van verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de audits, waaronder inspecties, daadwerkelijk uitgevoerd kunnen worden.
De verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de verwerker.
De verwerker verbindt zich om binnen een door de verwerkingsverantwoordelijke te bepalen termijn de verwerkingsverantwoordelijke, of de door deze ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de verwerker van deze verwerkersovereenkomst. De verwerkingsverantwoordelijke en/of de door de verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
Verwerker staat er voor in de door de verwerkingsverantwoordelijke (of door hem ingeschakelde derde) aangegeven aanbevelingen ter verbetering, binnen de daartoe door de verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze verwerkersovereenkomst.
De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de verwerker enig punt uit deze verwerkersovereenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de verwerker.
Inschakeling derden
Artikel 10
Xxxxxxxxx neemt ingevolge artikel 28 lid 2 AVG geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van verwerkingsverantwoordelijke. In het geval van een algemene schriftelijke toestemming licht verwerker verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
Overeenkomstig artikel 28 lid 4 AVG komen partijen het volgende overeen: wanneer verwerker een andere verwerker in dienst neemt om de in deze verwerkingsovereenkomst bedoelde verwerkingsactiviteiten te verrichten, legt verwerker aan deze andere verwerker bij overeenkomst de verplichtingen inzake gegevensbescherming op, die verwerker bij deze verwerkingsovereenkomst op zich heeft genomen.
Indien de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft verwerker ten aanzien van verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
Dataregister
Artikel 11
Verwerker zal ingevolge artikel 30 lid 2 AVG een register houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van verwerkingsverantwoordelijke zijn verricht. Dit register bevat de volgende gegevens:
de naam en de contactgegevens van de verwerker en van de verwerkingsverantwoordelijke en indien van toepassing de functionaris voor gegevensbescherming;
de categorieën van verwerkingen die zijn uitgevoerd;
een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Aansprakelijkheid en vrijwaring
Artikel 12
Verwerker is jegens verwerkingsverantwoordelijke aansprakelijk voor alle schade (onder meer, doch niet uitsluitend boetes, vorderingen van derden en kosten) die een gevolg is van een tekortkoming aan de zijde van verwerker in de nakoming door verwerker van een verplichting uit de onderhavige verwerkersovereenkomst en/of uit de wet- regelgeving.
Verwerker vrijwaart verwerkingsverantwoordelijke voor alle aanspraken van derden en boetes (waaronder bestuursrechtelijke boetes, opgelegd door de Autoriteit Persoonsgegevens) verband houdende met een tekortkoming in de nakoming door verwerker (waaronder begrepen personen die bij verwerker in dienst zijn en personen die uit anderen hoofde voor verwerker of in opdracht van verwerker of onder zijn verantwoordelijkheid voor verwerker werkzaam zijn) van enige verplichting uit de onderhavige verwerkersovereenkomst en/of uit de wet- en regelgeving.
Wijziging en beëindiging verwerkersovereenkomst
Artikel 13
Wijziging van deze verwerkersovereenkomst kan slechts schriftelijk plaatsvinden middels een door verwerkingsverantwoordelijke en verwerker getekend document.
Indien naar het oordeel van verwerkingsverantwoordelijke verwerker tekortschiet in de nakoming van enige verplichting uit de onderhavige overeenkomst is verwerkingsverantwoordelijke gerechtigd de tussen verwerkingsverantwoordelijke en verwerker gesloten hoofdovereenkomst met onmiddellijke ingang, dat wil zeggen zonder inachtneming van enige opzegtermijn te beëindigen. Indien verwerkingsverantwoordelijke gebruik maakt van zijn recht tot beëindiging van de verwerkersovereenkomst als bedoeld in de vorige volzin, heeft verwerker jegens verwerkingsverantwoordelijke nimmer recht op schadevergoeding en/of compensatie.
In het geval artikel 8 lid 5 van toepassing is, zal verwerker (I) alle persoonsgegevens, die ten behoeve van verwerkingsverantwoordelijke zijn opgeslagen, aan verwerker ter beschikking stellen op zodanige wijze dat geen sprake is van verlies van functionaliteit en of van (delen van) gegevens en (II) vervolgens de persoonsgegevens, die hij ten behoeve van verwerkingsverantwoordelijke heeft opgeslagen, op alle locaties vernietigen en dit ten behoeve van verwerkingsverantwoordelijke aantonen.
Slotbepaling
Artikel 14
Indien verwerker enige in deze verwerkersovereenkomst genoemde verplichting(en) niet, dan wel niet deugdelijk nakomt, verbeurt verwerker aan verwerkingsverantwoordelijke - zonder dat een ingebrekestelling is vereist - een onmiddellijk opeisbare boete van € 50.000,- per tekortkoming, onverminderd het recht van verwerkingsverantwoordelijke om in plaats van de boete volledige schadevergoeding te vorderen.
Indien sprake is van strijdigheid tussen de bepalingen van de hoofdovereenkomst en/of algemene voorwaarden van verwerker en deze verwerkersovereenkomst, prevaleren de bepalingen van deze verwerkersovereenkomst.
Aldus opgemaakt en in tweevoud getekend,
plaats, datum plaats, datum
naam verwerkingsverantwoordelijke naam verwerker
contactpersoon, ………………………………
functie ………………………………
Bijlage ‘Door verwerker te treffen beveiligingsmaatregelen’
Verwerker neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen houden ingevolge artikel 32 lid 1 AVG ten minste het volgende in:
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid , integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Op grond van het bovenstaande heeft verwerker de volgende maatregelen getroffen*):
Technische maatregelen
Inloggen op het systeem van verwerkingsverantwoordelijke uitsluitend via de RDS-verbinding (met gebruikersnaam en wachtwoord) en met gebruik making van multifactor authenticatie.
Verzending van bestanden met persoonsgegevens van het systeem van de verwerkingsverantwoordelijke naar het systeem van de verwerker en vice versa zal uitsluitend plaats vinden als verwerking buiten het systeem van verwerkingsverantwoordelijke noodzakelijk is; verzending zal niet plaatsvinden zonder encryptie of beveiliging met een password.
…..
Organisatorische maatregelen
Het opleggen van geheimhouding / vertrouwelijkheid aan alle medewerkers en/of derden die bij de verwerking betrokken zijn en/of kennis kunnen nemen van de persoonsgegevens van verwerkingsverantwoordelijke en het opleggen van de plicht aan deze personen de richtlijnen van de verwerkingsverantwoordelijke met betrekking tot de beveiliging van persoonsgegevens in acht te nemen.
Het nemen van interne maatregelen die waarborgen dat niet geautoriseerde personen geen kennis nemen van de persoonsgegevens van de verwerkingsverantwoordelijke (zoals blokkeren van toegangsrechten).
Jaarlijkse evaluatie van de getroffen technische en organisatorische maatregelen en rapportage daarvan aan de verwerkersverantwoordelijke.
…..
*) Indien verwerker beschikt over een certificering ingevolge artikel 42 AVG, kan worden volstaan met het verwijzen naar deze certificering.