Verwerkingsovereenkomst Vereniging Centrummanagement Apeldoorn
Verwerkingsovereenkomst Vereniging Centrummanagement Apeldoorn
Inhoud
Artikel 1. Begrippen
Artikel 2. Voorwerp van deze Verwerkingsovereenkomst Artikel 3. Inwerkingtreding en duur
Artikel 4. Omvang Verwerkingsbevoegdheid Wederpartij Artikel 5. Beveiliging van de Verwerking
Artikel 6. Geheimhouding door Personeel van Wederpartij Artikel 7. Subverwerker
Artikel 8. Bijstand vanwege rechten van Betrokkene Artikel 9. Inbreuk in verband met Persoonsgegevens Artikel 10. Teruggave Persoonsgegevens
Artikel 11. Informatieverplichting en audit Artikel 12. Overige Voorwaarden
Bijlage 1.
De Verwerking van Persoonsgegevens Doel:
Soorten persoonsgegevens:
Minimale noodzakelijke gegevens:
Optionele gegevens vrij aan te vullen:
Gegevens voortvloeiend uit het Rotary lidmaatschap:
Betrokkenen VERWERKER SUBVERWERKER
ONTVANGERS VAN PERSOONSGEGEVENS (voor verdere verwerking) Bijlage 2.
Passende technische en organisatorische maatregelen Bijlage 3:
Afspraken betreffende Inbreuken in verband met Persoonsgegevens
WAARNEMING VAN EEN DATA LEK, MOGELIJK DATA LEK, PRIVACY RISICO, PRIVACY SCHENDING
MELDING IMPACT ANALYSE
BESLUIT Functionaris Gegevensbescherming INCIDENT TASKFORCE
Verwerkingsovereenkomst Vereniging Centrum Management Apeldoorn VERWERKINGSOVEREENKOMST VERENIGING CENTRUM MANAGEMENT APELDOORN
Het lid van de Vereniging Centrum Management Apeldoorn hierna te noemen:
Opdrachtgever, en
Vereniging Centrum Management Apeldoorn, KvK 63231395, waarvan de zetel is gevestigd Xxxxxxxxxxxxxxx 000, 0000 XX Xxxxxxxxx te dezen vertegenwoordigd door de xxxx X. Xxxxxxxxx; voorzitter en
X. Xxxxxxxx, secretaris hierna te noemen: Wederpartij, hierna gezamenlijk te noemen: Partijen;
OVERWEGENDE DAT:
• Voor zover Wederpartij Persoonsgegevens verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst kwalificeert Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel
8, van de Verordening als eindverantwoordelijke voor de Verwerking van Persoonsgegevens en Wederpartij als verwerker;
• Partijen in deze Verwerkingsovereenkomst, zoals bedoeld in artikel 28, derde lid, van
de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Wederpartij wensen vast te leggen.
KOMEN OVEREEN:
ARTIKEL 1. BEGRIPPEN
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: de overeenkomst tussen Opdrachtgever en Wederpartij zijnde de statuten van de Vereniging Centrum Management Apeldoorn.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Wederpartij in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkingsovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
ARTIKEL 2. VOORWERP VAN DEZE VERWERKINGSOVEREENKOMST
2.1 Deze Verwerkingsovereenkomst regelt de Verwerking van Persoonsgegevens door Wederpartij in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven.
2.3 Wederpartij garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Wederpartij garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.
ARTIKEL 3. INWERKINGTREDING EN DUUR
3.1 Deze Verwerkingsovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Deze Verwerkingsovereenkomst eindigt nadat en voor zover Wederpartij alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan deze Verwerkingsovereenkomst tussentijds opzeggen.
ARTIKEL 4. OMVANG VERWERKINGSBEVOEGDHEID WEDERPARTIJ
4.1 Wederpartij Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op Wederpartij van toepassing zijn.
4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Wederpartij in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.3 Indien Wederpartij op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.4 Wederpartij heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.
ARTIKEL 5. BEVEILIGING VAN DE VERWERKING
5.1 Onverminderd artikel 2.3 treft Wederpartij de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Wederpartij waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Wederpartij aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Wederpartij verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.5 Wederpartij informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.6 Wederpartij verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
ARTIKEL 6. GEHEIMHOUDING DOOR PERSONEEL VAN WEDERPARTIJ
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter.
6.2 Wederpartij toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen.
ARTIKEL 7. SUBVERWERKER
Wanneer Xxxxxxxxxxx een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkingsovereenkomst zijn opgenomen.
ARTIKEL 8. BIJSTAND VANWEGE RECHTEN VAN BETROKKENE
Wederpartij verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden.
ARTIKEL 9. INBREUK IN VERBAND MET PERSOONSGEGEVENS
9.1 Wederpartij informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen
van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 Wederpartij informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
ARTIKEL 10. TERUGGAVE PERSOONSGEGEVENS
10.1 Na afloop van de Overeenkomst draagt Wederpartij, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van alle Persoonsgegevens.
Wederpartij
verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 Wederpartij wist de Persoonsgegevens binnen 10 weken na afloop van de Overeenkomst, bij gebreke waarvan Wederpartij een boete verschuldigd is van €100 per dag, met een maximum van
€5.000.
10.3 Persoonsgegevens worden in de door Opdrachtgever aangegeven vorm en op de door Opdrachtgever aangegeven wijze terugbezorgd.
ARTIKEL 11. INFORMATIEVERPLICHTING EN AUDIT
11.1 Wederpartij stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkingsovereenkomst zijn en worden nagekomen.
11.2 Wederpartij verleent alle benodigde medewerking aan audits.
ARTIKEL 12. OVERIGE VOORWAARDEN
BIJLAGE 1.
DE VERWERKING VAN PERSOONSGEGEVENS
Doel:
Het voeren van een ledenadministratie in de breedste zin van het woord voor de Vereniging Centrum Management Apeldoorn.
Soorten persoonsgegevens:
Hierbij zijn persoonsgegevens betrokken van de categorie “Normaal” te weten
Minimale noodzakelijke gegevens:
Achternaam, Voornaam Geslacht
Leeftijd Woonadres Telefoonnummers Email-adressen Website adres
Optionele gegevens vrij aan te vullen:
Gegevens van de onderneming Actuele Werkgegevens Historische werkgegevens
Foto
Gegevens voortvloeiend uit het lidmaatschap:
Lidnummer
Betrokkenen
Persoonsgegevens worden Initieel ingevoerd door de secretaris van de Vereniging Centrum Management Apeldoorn en bijgewerkt
door het lid.
VERWERKER
Vereniging Centrum Management Apeldoorn
SUBVERWERKER
Deze opgave van verwerkers wordt regelmatig geactualiseerd:
Chainels BV Xxxxxxxxxxxxx 00, 0000 XX Xxxxxxxxx
Een online platform - website & app - voor B2B communicatie in winkelgebieden. Winkeliers, eigenaren, beveiligers en andere partijen kunnen via verschillende tools met elkaar communiceren over verschillende onderwerpen.
ONTVANGERS VAN PERSOONSGEGEVENS (voor verdere verwerking)
Geen
BIJLAGE 2.
PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Vereniging Centrum Management Apeldoorn (CMS) treft organisatorische en technische maatregelen ter beveiliging van de persoonsgegevens alsmede om misbruik en verlies daarvan te voorkomen.
Aparte systeemtoegang voor beheerders
Hanteert een rol-gebaseerd toegangsrechten systeem
Hanteert een hiërarchisch rol gebaseerd verenigingrechten systeem
Toegang van gebruikers tot de systemen middels een username en wachtwoord Encryptie van het wachtwoord in de database
Systeem logging van activiteiten bij verwerking van persoonsgegevens Inzage in de beveiligingsmaatregelen bij de systemen van de leverancier In de systemen en processen zijn specifiek voor Privacy ondersteund Rechten van personen voor inzage, aanpassing,
Blokkering doorgifte naar de Gemeente Apeldoorn
Bijhouden van toestemming en terugtrekking van toestemming doorgifte.
BIJLAGE 3:
AFSPRAKEN BETREFFENDE INBREUKEN IN VERBAND MET PERSOONSGEGEVENS
In deze bijlage moeten de afspraken over hoe Wederpartij en Opdrachtgever over Inbreuken in verband met Persoonsgegevens handelen.
WAARNEMING VAN EEN DATA LEK, MOGELIJK DATA LEK, PRIVACY RISICO,
PRIVACY SCHENDING Door een ieder: leden, derde partijen, bestuur DIRECT EN ZONDER NADER ONDERZOEK verwittigen bij de FG Centrum Management Apeldoorn (Functionaris Gegevensbescherming Centrum Management Apeldoorn)
MELDING BIJ FG Centrum Management Apeldoorn Middels melding op mail – sms - whatsapp Centrum Management Apeldoorn: xxxx@xxxxxxxxxxxxxxxxxxxxxxxxxxx.xx Naam: Xxxx Xxxxxxxx Telefoon: x00 000000000.
Xxxxxxx ontvangen een bevestiging van ontvangst.
IMPACT ANALYSE Wat is er gebeurd? Welke gegevens zijn betrokken? Hoeveel persoonsgegevens betreft het? Is de inbreuk zodanig dat de rechten en privacy van het individuen in gevaar is gekomen? Heeft het lek werkelijk plaatsgevonden of is het een poging daartoe?
BESLUIT Functionaris Gegevensbescherming Melden bij Autoriteit Persoonsgegevens? (binnen 72 uur na melding) Xxxxxx bij betrokken personen ? Intern onderzoek starten ? Registratie bijwerken
INCIDENT TASKFORCE Bewijs veiligstellen (Tijdelijke) maatregelen treffen tegen herhaling of vervolgschade Impact vaststellen en documenteren Informeren betrokkenen Definitieve maatregelen implementeren Incident dossier actueel houden
Vereniging Centrum Management Apeldoorn - AVG verwerkers overeenkomst
Adobe Sign-documentgeschiedenis 25-06-2018
Gemaakt: 16-05-2018
Door: Vereniging Centrum Management Apeldoorn Status: Vastgesteld.
Geschiedenis van Vereniging Centrum Management Apeldoorn - AVG verwerkersovereenkomst
Document gemaakt door Vereniging Centrum Management Apeldoorn (xxxx@xxxxxxxxxxxxxxxxxxxxxxxxxx.xx)
03-12-2018 - 15:30:00 GMT+2
Vaststeldatum: