Instructie Overeenkomst: Vul de ‘groen’ gearceerde gedeeltes in Plaats de datum van ondertekening en uw handtekening op pagina 6 Stuur de getekende overeenkomst naar Leertouwer Wij vullen de ‘geel’ gearceerde gedeeltes aan en sturen u de definitieve...

Instructie

Overeenkomst:

  • Vul de ‘groen’ gearceerde gedeeltes in

  • Plaats de datum van ondertekening en uw handtekening op pagina 6

  • Stuur de getekende overeenkomst naar Leertouwer

  • Wij vullen de ‘geel’ gearceerde gedeeltes aan en sturen u de definitieve overeenkomst retour


Bijlage 1:

  • Vul de ‘groen’ gearceerde gedeeltes in


Bijlage 3:

Geeft uw eigen proces ‘melden van Datalekken’ weer. Indien u dit niet heeft kunt u gebruik maken van ons sjabloon. Dit staat vermeld in bijlage 3. U dient hier contactgegevens in te vullen.













Stuur de ingevulde overeenkomst naar:


Verwerkersovereenkomst

De ondergetekenden:



Contractpartijen:

1. Verantwoordelijke te weten STATUTAIRE NAAM], statutair gevestigd in [PLAATS], vertegenwoordigd

door xxxxxx/mevrouw [NAAM EN/OF NAAM BESTUURDER]


hierna te noemen: ‘Verantwoordelijke’,

en

2. Verwerker te weten Leertouwer b.v. statutair gevestigd in Barneveld, vertegenwoordigd door xxxxxx X. xxx xxx Xxxx


hierna te noemen: ‘Verwerker’,

gezamenlijk aan te duiden als: ‘Partijen’;

Overwegende dat:

  • Verantwoordelijke maakt gebruik van de diensten van Leertouwer b.v.

  • Verwerker aan Verantwoordelijke diensten aanbiedt en in die hoedanigheid Persoonsgegevens van cliënten en/of werknemers van Verantwoordelijke verwerkt;


Verantwoordelijke hecht grote waarde aan het beschermen van deze Persoonsgegevens. Daarom leggen Partijen in deze Verwerkersovereenkomst afspraken vast rondom het Verwerken van Persoonsgegevens en in de daarbij behorende bijlagen, te weten:

  • Overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen.

  • Overzicht met beveiligingsmaatregelen.

  • Proces rondom het melden van Datalekken.


  1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

    1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

    2. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

    3. Verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen

    4. Verwerker/Bewerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

    5. Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte Persoonsgegevens betrekking hebben.

    6. Verwerkersovereenkomst/Bewerkersovereenkomst: deze Overeenkomst inclusief de bijlagen

    7. Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit.

    8. Datalek: inbreuk in verband met Persoonsgegevens. Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

    9. Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.


  1. Totstandkoming, duur en beëindiging van de Verwerkersovereenkomst

    1. Deze Verwerkersovereenkomst treedt in werking op de datum, waarop Partijen deze ondertekenen.

    2. Deze Verwerkersovereenkomst geldt voor zolang de Verwerker werkzaamheden uitvoert voor Verantwoordelijke in het kader van deze overeenkomst.

    3. Na beëindiging van deze Verwerkersovereenkomst blijven de lopende verplichtingen voortduren voor Verwerker, zoals het melden van Datalekken waarbij Persoonsgegevens van Verantwoordelijke betrokken zijn en de plicht tot geheimhouding.


  1. Verwerken Persoonsgegevens

    1. Verwerker verwerkt alleen Persoonsgegevens in opdracht van Verantwoordelijke. Verwerker volgt instructies van Verantwoordelijke als het gaat om de verwerking op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Verantwoordelijke Verwerker daarvan tevoren schriftelijk toestemming of opdracht voor geeft.

    2. In Bijlage 1 wordt opgenomen welke Persoonsgegevens Verwerker precies verwerkt en voor welke verwerkingsdoeleinden.

    3. Xxxxxxxxx houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

    4. Verwerker mag zonder voorafgaande schriftelijke toestemming van Verantwoordelijke geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

    5. Wanneer Xxxxxxxxx met toestemming van Verantwoordelijke andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.

    6. Wanneer Verantwoordelijke een verzoek van een Betrokkene ontvangt voor het uitoefenen van zijn of haar rechten, dan werkt Xxxxxxxxx daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

    7. Voor zover niet anders is bepaald in deze Verwerkersovereenkomst, neemt Verwerker geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens. De zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst komt nooit bij Verwerker te berusten.

    8. Indien Verwerker op grond van een wettelijke verplichting gegevens moet verstrekken, verifieert Verwerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, voorafgaand aan de verstrekking, Verantwoordelijke ter zake.


  1. Beveiliging Persoonsgegevens

    1. Verwerker zorgt ervoor dat de Persoonsgegevens voldoende worden beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen, neemt Verwerker passende technische en organisatorische maatregelen.

    2. Deze maatregelen zijn afgestemd op het risico van de Verwerking. Een overzicht van deze maatregelen en het beleid daarop wordt opgenomen in Bijlage 2.

    3. Wanneer Partijen vinden dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over de wijziging daarvan. De kosten gemoeid met het wijzigen van de beveiligingsmaatregelen komen voor rekening van degene die de kosten maakt.


  1. Subverwerkers

    1. Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan een Subverwerker, na voorafgaande schriftelijke toestemming van Verantwoordelijke in Bijlage 1. Verantwoordelijke zal de toestemming in redelijkheid niet onthouden. Verwerker blijft voor Verantwoordelijke altijd het aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.

    2. Verwerker legt aan de Subverwerker dezelfde verplichtingen op als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker.

    3. Verwerker is volledig aansprakelijk jegens Verantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.


  1. Geheimhouding

6.1 Verwerker houdt de verstrekte Persoonsgegevens geheim, behalve als dit op basis van een wettelijke verplichting niet kan.

6.2 Verwerker zorgt dat zijn/haar personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)contracten op te nemen.


  1. Datalekken

    1. In geval van een ontdekking van een mogelijk Datalek informeert Verwerker Verantwoordelijke hierover binnen een termijn van 48 uur overeenkomstig Bijlage 3, zodat Verantwoordelijke indien nodig een melding van het Datalek bij de Toezichthouder kan doen. De Verwerker zal niet op eigen initiatief melding van het Datalek doen bij de Toezichthouder.

    2. Verwerker houdt Verantwoordelijke op de hoogte van nieuwe ontwikkelingen rondom het Datalek, ook zal Verwerker de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen aan Verantwoordelijke.

    3. De Verwerker mag de Betrokkenen niet informeren over het Datalek. Deze verantwoordelijkheid ligt bij Verantwoordelijke.

    4. Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene waar het Datalek plaatsvond.


  1. Aansprakelijkheid

    1. Als Verwerker de verplichtingen uit deze Verwerkersovereenkomst niet nakomt, kan Verantwoordelijke Verwerker daarvoor aansprakelijk stellen.

    2. Verwerker is aansprakelijk voor alle directe schade die Verantwoordelijke lijdt door het niet nakomen van de wet en de bepalingen uit deze Verwerkersovereenkomst, voor zover dit is ontstaan door de werkzaamheden van Verwerker. Aansprakelijkheid voor indirecte schade, zoals gederfde winst, is uitgesloten.

    3. Verwerker is aansprakelijk voor de aan Verantwoordelijke opgelegde bestuurlijke boete door de Toezichthouder, maar alleen als de schade het gevolg is van opzettelijk of bewust roekeloos handelen van Verwerker.

    4. Op de aansprakelijkheidsbepaling, zoals opgenomen in dit artikel 8, zijn eveneens de bepalingen van toepassing uit de hoofdovereenkomst tussen de Verwerker en de Verantwoordelijke, op basis waarvan Verwerker zijn dienstverlening verricht

    5. De aansprakelijkheid van Verwerker is beperkt tot datgene wat de aansprakelijkheidsverzekering uitkeert.


  1. Teruggave Persoonsgegevens

    1. Na het beëindigen van deze Verwerkersovereenkomst geeft Verwerker de Persoonsgegevens terug aan Verantwoordelijke als dit mogelijk is.

    2. De overgebleven Persoonsgegevens vernietigt Verwerker na verstrijken van de wettelijke bewaartermijn en/of op verzoek van Verantwoordelijke. Hierbij valt bijvoorbeeld te denken aan Persoonsgegevens die om belastingtechnische redenen bewaard moeten blijven.



  1. Slotbepalingen

    1. Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer Partijen dit samen schriftelijk afspreken.


Verantwoordelijke Verwerker

…………………………………………………………………….. (handtekening) (handtekening)

…….…………….. - …….…………….. - …….…………….. (datum) - - (datum)


Contactpersoon X. xxx xxx Xxxx

Contactpersoon Functie Directeur




Bijlagen: 1. Overzicht met bewerkingen van Persoonsgegevens en bewerkingsdoelen.

2. Overzicht van de beveiligingsnormen die de Verantwoordelijke aan de Verwerker oplegt.

3. Proces rondom het melden van Datalekken en de te verstrekken informatie.


Bijlage 1: Overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen

Het onderstaande schema geeft een volledig overzicht van de Persoonsgegevens die verwerkt worden. Dit maakt het makkelijker om aan te kunnen tonen waar, door wie en voor welk doel de Persoonsgegevens worden verwerkt.

Beschrijving verwerkingsactiviteiten door Verwerker:

  • Verzamelen

  • Vastleggen

  • Ordenen

  • Bewaren

  • Bijwerken

  • Wijzigen

  • Opvragen

  • Raadplegen

  • Gebruiken

  • Doorzenden

  • Verspreiden

  • Beschikbaar stellen

  • Met elkaar in verband brengen

  • Vernietigen

Verwerkingsdoelen: Het leveren en onderhouden van producten en diensten

Verantwoordelijke: STATUTAIRE NAAM], statutair gevestigd in [PLAATS],

Verwerker: Leertouwer b.v.

Subverwerkers: _________________

Verwerkte Persoonsgegevens:

  • NAW-gegevens

  • Contactgegevens

  • Identificatiegegevens

  • Financiële bijzonderheden

  • Persoonlijke kenmerken

  • Fysieke gegevens

  • Woningkenmerken

  • Opleiding en vorming

  • Beroep en betrekking


Locatie verwerkingen: Leertouwer b.v.

Bewaartermijn: Wettelijk en volgens Verwerkersovereenkomst


Bijlage 2: Overzicht van de beveiligingsnormen die de Verantwoordelijke aan de Verwerker oplegt

De onderstaande maatregelen zijn beveiligingsmaatregelen die Verwerker heeft toepast.


Beveiligingsmaatregelen

  • Up-to-date virusscanner op elke laptop en pc.

  • Accurate beveiliging medewerkerstelefoon .

  • Bitlocker toegangsmechanisme .

  • Unieke inlogcode en wachtwoord per medewerker voor toegang tot het bedrijfsnetwerk.

  • Versleutelde e-mail.

  • Geen onbeveiligde externe harde schijven.

  • Geen onbeveiligde back-ups maken.

  • Clean desk policy.

  • Zorgvuldig gebruik van USB-sticks.

  • Informatieveiligheidsbeleid.

  • Alle medewerkers hebben geheimhoudingsverplichting

  • Fysieke beveiliging.



Bijlage 3: Proces rondom het melden van Datalekken


Omschrijf hier uw proces rondom het melden van Datalekken.


Heeft u geen proces? Vul dan in ieder geval onderstaande gegevens in.



Waar melden wij het beveiligingsincident?

Wanneer wij een beveiligingsincident hebben ontdekt, nemen wij direct contact op met contactpersoon

Via telefoonnummer: (000) 000 00 00 of via xxxxxxxxxx@xxxxxxxxxx.xx




Document Metadata

Filed: January 10th, 2022