Verwerkersovereenkomst uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026
Verwerkersovereenkomst uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026
O.b.v. Standaard Verwerkersovereenkomst Gemeenten
Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.
1
Colofon
Standaard verwerkersovereenkomst gemeenten
2.3
26-11-2020
Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)
Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. De IBD wordt als bron vermeld.
2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden.
3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten.
4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.
Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.
Bezoek xxxx://xxxxxxxxxxxxxxx.xxx/xxxxxxxx/xx-xx-xx/0.0 voor meer informatie over de licentie.
Rechten en vrijwaring
De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig
gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.
De gemeenten, leveranciers en derden die hebben bijgedragen aan de totstandkoming van dit document. In het bijzonder de toetsgroep, de klankbordgroep en Beheergroep VWO die hebben bijgedragen aan het verwerken van de feedback.
Versie | Datum | Wijziging / Actie |
0.1 | 20-05-2018 | Opzet |
Bespreking met leveranciers en gemeenten. | ||
0.2 | 17-06-2018 | Commentaar bespreking verwerkt. |
Voorgelegd aan alle contactpersonen van gemeenten en leveranciers. | ||
0.99 | 30-07-2018 | Commentaar Leveranciers en Gemeenten verwerkt. |
1.00 | 01-08-2018 | Voorpublicatie IBD website – Ter vaststelling aangeboden aan het College van Dienstverlening. |
1.09 | 07-11-2018 | Versie aangepast na consultatie gemeenten en leveranciers. Deze versie wordt voorgelegd aan toetsgroep. |
1.10 | 15-11-2018 | Versie aangepast op basis van beslissing toetsgroep d.d. 12-11-2018 |
1.11 | 30-11-2018 | Versie aangepast op basis van consultatie Beheergroep VWO (toetsgroep gemeenten en klankbordgroep leveranciers). |
2.0 | 28-03-2019 | Versie aangepast conform input Landsadvocaat en besluitvorming Beheergroep VWO. |
2.1 | 11-11-2019 | Versie 2.0 aangepast n.a.v. bijeenkomst Beheergroep VWO d.d. 10-10-2019. |
2.2 | 08-04-2020 | Versie 2.1 aangepast conform besluit Beheergroep VWO. |
2.3 | 19-11-2020 | Versie 2.2 aangepast conform besluit beheergroep VWO |
De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.
De IBD is ondergebracht bij VNG Realisatie.
Toelichting
Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.
Doel
Gemeenten en leveranciers willen bij de uitvoering van hun taken en diensten komen tot een goede dienstverlening voor inwoners en bedrijven. Als bij de uitvoering van deze taken en diensten persoonsgegevens worden verwerkt dan willen gemeenten en leveranciers de verplichtingen op grond van de AVG nakomen. Daarbij willen Partijen uitgaan van wederzijds vertrouwen.
Het doel van de verwerkersovereenkomst is om het gemeenten en hun leveranciers makkelijker te maken om tot afspraken te komen over de verwerking van persoonsgegevens. Dit product bevat de gemeentelijke standaard voor een verwerkersovereenkomst. Deze standaard wordt gebruikt als aanvulling op een hoofdovereenkomst om op grond van de AVG (artikel 28.3 en 28.9) nadere afspraken te maken en vast te leggen over de omgang met persoonsgegevens.
Rangorde
De rangorde van de verschillende documenten (o.a. inkoopdocumenten, hoofdovereenkomst, verwerkersovereenkomst) wordt geregeld in de hoofdovereenkomst.
Beheer van deze standaard
Deze standaard verwerkersovereenkomst wordt beheerd door VNG-Realisatie/IBD. Verbetervoorstellen kunnen door zowel gemeenten als leveranciers naar xxxxxxx@xxx.xx worden gemaild. Tweemaal per jaar beoordeelt de Beheergroep VWO (bestaande uit vertegenwoordigers van gemeenten en leveranciers), de verbetervoorstellen en zo nodig worden deze verwerkt in een volgende versie.
Hebt u vragen over het gebruik van deze standaard overeenkomst neem dan ook contact op met de IBD via xxxxxxx@xxx.xx.
Doelgroep
Dit document is van belang voor het management van de gemeente, de systeemeigenaren, gemeentelijke inkopers, privacyfunctionarissen en informatiebeveiligers.
Relatie met overige documenten:
• GIBIT;
• Baseline Informatiebeveiliging Overheid (BIO)
• Voorbeeld Informatiebeveiligingsbeleid van de gemeente, H2.4.1;
• Inkoopvoorwaarden en informatiebeveiligingseisen;
• Toegang van externe partijen en inhuur;
• Handreiking Service Level Agreements;
• Geheimhoudingsverklaringen;
• Handleiding screening personeel;
• Contractmanagement en;
• Voorbeeld Responsible Disclosure beleid.
Maatregelen Baseline Informatiebeveiliging Overheid (BIO)
Maatregel 15.1.1.3
Met alle leveranciers die als verwerker voor of namens de organisatie persoonsgegevens verwerken, worden verwerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.
Verwerkersovereenkomst uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026
Gemeente Haarlem, waarvan het college van Burgemeester en Wethouders de verwerkingsverantwoordelijke is, verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door de xxxxxxx
X. Xxxxx, Afdelingshoofd Economie, Cultuur, Duurzaamheid en Wonen (ECDW). en
KG Parkmanagement gevestigd te Haarlem, KVK-nummer 34235732 verder te noemen Verwerker, hierbij rechtsgeldig vertegenwoordigd door de heer X.X. xxx Xxxx, Directeur,
hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen” Overwegen het volgende:
a) Partijen hebben op <Datum> de ‘Overeenkomst Uitvoering Draagvlakmeting BIZ Waarderpolder 2022-
2026’, hierna Hoofdovereenkomst, afgesloten, op grond waarvan Verwerker de volgende dienst(en) levert aan de Verwerkingsverantwoordelijke: het uitvoeren van alle noodzakelijke werkzaamheden t.b.v. de uitvoering van de draagvlakmeting BIZ Waarderpolder 2022-2026.
NB. De ‘Verwerkersovereenkomst Uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026’ en ‘het Reglement Draagvlakmeting BIZ Waarderpolder 2022-2026’ zijn beide onderdeel van de nota Overeenkomst Uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026’ die op < Datum> vastgesteld is door het College van B&W’.
b) Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;
c) Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;
d) Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);
En komen het volgende overeen:
Artikel 1 Definities
1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.
1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die onlosmakelijk deel uitmaken van deze Verwerkersovereenkomst.
Artikel 2 Ingangsdatum en duur
2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.
2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd en de afspraken over het teruggeven en/of wissen van Persoonsgegevens zijn nagekomen.
Artikel 3 Onderwerp van deze Verwerkersovereenkomst
3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker
Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan zonder onredelijke vertraging in kennis stellen, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.2 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.
Artikel 4 Inhoudelijke afspraken
4.1 Beveiligingsmaatregelen
Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.
4.2 Audits
Verwerker verleent alle benodigde medewerking aan audits uitgevoerd door een gecertificeerde auditor over de nakoming van de afspraken binnen deze Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel van een geldige certificering, die periodiek door een geaccrediteerde instelling wordt getoetst, heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten van deze audit worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke.
4.3 Verwerking buiten de EER
Verwerker mag Persoonsgegevens buiten de Europese Economische Ruimte (laten) verwerken wanneer is voldaan aan de voorwaarden van artikel 45 of 46 AVG. Wanneer er sprake is van een verwerking buiten de EER, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan vooraf op de hoogte.
4.4 Geheimhouding
Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Xxxxxxxxx en subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.
4.5 Subverwerkers
De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van subverwerkers. Verwerker houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde inschakeling van nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven de artikelen 28.2 en 28.4 AVG onverkort van kracht.
4.6 Rechten van betrokkenen
Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.
4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.
Artikel 5 Inbreuk in verband met Persoonsgegevens
5.1 Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het aantal betrokkenen.
5.2 In geval van een Inbreuk neemt Verwerker zonder onredelijke vertraging alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.
5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.
5.4 Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Verwerker ondersteunt de Verwerkingsverantwoordelijke waar nodig bij
de melding aan de toezichthoudende autoriteit en/of Betrokkene.
Artikel 6 Aansprakelijkheid
6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van de aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst.
Artikel 7 Beëindigen verwerkersovereenkomst
7.1 Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens.
7.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.
Artikel 8 Overige bepalingen
8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.
Ondertekening
Aldus overeengekomen en in tweevoud ondertekend, Ingangsdatum: 01-03-2021
Gemeente Haarlem | KG Parkmanagement |
De burgemeester van Haarlem | |
namens deze: | namens deze: |
J. Kaper | X.X. xxx Xxxx |
Afdelingshoofd Economie, Cultuur, Duurzaamheid en Wonen | Directeur |
plaats: Haarlem | plaats: Haarlem |
datum: <datum> | datum: <datum> |
Bijlage 1: Overzicht van te verwerken
persoonsgegevens
1. Naam verwerking, doeleinden categorieën van betrokkenen, categorieën persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerking | Verwerkings- doeleinden | Categorieën van Betrokkenen | Categorieën Persoonsgegevens (waaronder bijzondere persoonsgegevens) | Doorgifte naar derde landen |
Uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026 | Alle werkzaamheden die nodig zijn voor het uitvoeren van de draagvlakmeting BIZ Waarderpolder 2022-2026 | Bijdrageplichtigen- gebruikers/ eigenaren van de objecten (panden) in de Waarderpolder | ⋅ Objectnummer ⋅ Adres WOZ-object ⋅ Subjectnummer eigenaar ⋅ NAW gegevens eigenaar object ⋅ Subjectnummer gebruiker ⋅ NAW gegevens Gebruiker Object ⋅ WOZ waarde object ⋅ OZBG waarde | Nee. |
2. Contactgegevens
Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren) | Naam: Meldpunt datalekken Contactgegevens: xxxxxxxxxxxxx@xxxxxxx.xx Namens afdeling ECDW/ gemeente Haarlem: Xxxx Xxxxxx: 06-46215099/ x.xxxxxx@xxxxxxx.xx, Xxxxx Xxxxxxxx: 06- 46215248/ xxxxxxxx@xxxxxxx.xx |
Contactpersoon Verwerker (NB: Ook buiten kantooruren) | Naam: E.A van Dijk Contactgegevens: 000-0000000 0000000000 XxxxxxxXxxx@xxxxxxxxxxxxxx.xx of 0641120140 (Xxxx Xxxxxxxxx) xxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx |
Contactgegevens IBD | Telefoonnummer 070-373 8011 |
NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.
3. Ingeschakelde subverwerkers
Niet van toepassing
Bijlage 2: Aantonen passend niveau van
beveiliging
Normenstelsel
KG Parkmanagement BV verwerkt de gegevens als volgt:
KG Parkmanagement BV heeft adequate organisatorische maatregelen genomen om de gegevens te
beveiligen en kan dat xxxxxxxx. Er zijn maatregelen genomen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens, zoals toekenning en deling van de verantwoordelijkheden, bevoegdheden, instructies, trainingen en geheimhoudingsplichten.
De gegevens die KG Parkmanagement BV van Gemeente Haarlem ontvangt ten behoeve van het project Uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026 zijn alleen toegankelijk voor de medewerkers van KG Parkmanagement BV die werkzaam zijn aan dit project. De gegevens worden door Gemeente Haarlem via veilige mail (Zorgmail) toegestuurd naar de mailbox van de projectleider van KG Parkmanagement BV. Deze mailbox is alleen toegankelijk voor de projectleider. Vervolgens worden de gegevens op de server opgeslagen in een vergrendelde gedeelte die gehuisvest is in het datacenter Iron Mountain gevestigd op xx X.X. Xxxxxxxx 00, 0000 XX Xxxxxxx. Dit gedeelte van de server is alleen toegankelijk voor de medewerkers van KG Parkmanagement BV die werkzaam zijn aan de Uitvoering Draagvlakmeting BIZ Waarderpolder 2022-2026.
De gegevens worden na afloop van het project vernietigd door KG Parkmanagement BV. Datalekken worden conform wetgeving AVG gemeld bij de Autoriteit Persoonsgegevens.
Toereikendheid
De toereikendheid van de informatiebeveiliging blijkt uit eigen controles en eigen mededelingen. Personen die werken voor KG Parkmanagement BV moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor KG Parkmanagement BV hebben daarom een geheimhoudingsverklaring getekend.