Bijlage 1: AVG SAMENWERKINGSOVEREENKOMST

Bijlage 1: AVG SAMENWERKINGSOVEREENKOMST

De betrokken partijen:

1. De VvE, als genoemd in bijbehorende beheerovereenkomst, alsmede vastgelegd in het splitsingsreglement. Hierna te noemen: ‘’VvE”

en

2. De beheerder PandGarant gevestigd en kantoorhoudende te Groningen, Professor Xxxx Xxxx Xxxxxxxxxxxxx 0, 0000XX, in deze rechtsgeldig vertegenwoordigd door Xxxx Xxx, directeur.

hierna te noemen: “Beheerder”;

in overweging nemende dat:

X. xx Xxxxxxxxx en de VvE een overeenkomst zijn aangegaan, waarbij de Beheerder een professionele ondernemer is die diensten op het gebied van beheer aanbiedt aan de VvE en waarvoor de VvE een bepaalde vergoeding aan de Beheerder betaalt (hierna: “Beheerovereenkomst”);

X. xx Xxxxxxxxx in het kader van de Beheerovereenkomst zal handelen conform de norm van een redelijk handelend en redelijk vakbekwaam beheerder, waarbij de Beheerder tevens zo goed als mogelijk zich zal vergewissen van relevante wettelijke veranderingen;

C. in het kader van de relevante wettelijke veranderingen, de Beheerder (bij deze) de VvE wijst op het op 25 mei 2018 in werking treden van de Algemene Verordening Gegevensbescherming (hierna: “AVG”), en de Uitvoeringswet algemene verordening gegevensbescherming (hierna: “Uitvoeringswet AVG”);

X. xx Xxxxxxxxx en de VvE hun rechten en plichten die over en weer voortvloeien uit de AVG en de Uitvoeringswet AVG – voor zover mogelijk – willen vastleggen middels deze overeenkomst (hierna: “Overeenkomst”);

X. xx Xxxxxxxxx en de VvE samen het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen, zodat zij gezamenlijke verwerkingsverantwoordelijken zijn;

X. xx Xxxxxxxxx en de VvE middels de Overeenkomst op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG willen vaststellen, met name met betrekking tot de uitoefening van de rechten van de betrokkenen en hun respectieve verplichtingen om de informatie te verstrekken zoals bedoeld in artikel 13 en 14 AVG, te meer nu daarover in de Uitvoeringswet AVG geen, althans onvoldoende regels zijn vastgelegd;

G. de Overeenkomst tevens regelt welke rol de Xxxxxxxxx en de VvE vervullen ten aanzien van hun gezamenlijke verwerkingsverantwoordelijkheden en wat hun respectieve verhouding met de betrokkenen is;

zijn het volgende overeengekomen:

Artikel 1. Definities

▪ Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

▪ Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens. Denk daarbij aan verzamelen, structureren, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, afschermen, wissen en vernietigen.

▪ Beperken van de verwerking: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken.

▪ Betrokkene: degene van wie de Persoonsgegevens worden verwerkt.

▪ Profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijk persoon worden geëvalueerd.

▪ Pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt.

▪ Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

▪ Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

▪ Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

▪ Ontvanger: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.

▪ Derde: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

▪ Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

▪ Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

▪ Gegevens over gezondheid: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijk persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

▪ Onderneming: een natuurlijk persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen.

▪ Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie (Autoriteit Persoonsgegevens).

Artikel 2. Totstandkoming, duur, beëindiging en toepassing van de Overeenkomst

1.1 De Overeenkomst vloeit voort uit de Beheerovereenkomst die de Beheerder en de VvE met elkaar zijn aangegaan. De Overeenkomst is onlosmakelijk verbonden met de Beheerovereenkomst en eventuele overige voorwaarden die in de Beheerovereenkomst van toepassing zijn verklaard.

1.2 De Overeenkomst wordt aangegaan voor onbepaalde tijd en kan niet worden opgezegd.

1.3 De Overeenkomst eindigt zodra de Beheerder - na beëindiging van de Beheerovereenkomst - de Persoonsgegevens aan de VvE heeft verstrekt overeenkomstig artikel 9 van de Overeenkomst.

1.4 Zowel tijdens de looptijd als na beëindiging van de Beheerovereenkomst blijft de VvE onverminderd verplicht om op eerste verzoek van de Beheerder volledige medewerking te verlenen die nodig is om als Beheerder aan de AVG en de Uitvoeringswet AVG te kunnen (blijven) voldoen.

1.5 De Beheerder en de VvE zullen de lopende verplichtingen ten aanzien van Persoonsgegevens blijven nakomen, indien daarvan na beëindiging van de Overeenkomst nog sprake is.

1.6 De Overeenkomst is van toepassing op de verwerking van persoonsgegevens in het kader van de uitvoering van de Beheerovereenkomst.

Artikel 3. Rolverdeling/taken

3.1 De Beheerder en de VvE dragen er beide zorg voor dat Persoonsgegevens ten aanzien van de betrokkene op een rechtmatige, behoorlijke en transparante wijze worden verwerkt.

3.2 In het als bijlage 1 bijgevoegde verwerkingsregister is bepaald welke Persoonsgegevens door de Beheerder worden verwerkt, voor welke doeleinden die Verwerking is bestemd en wie waarvoor verantwoordelijk is.

3.3 De VvE staat in directe verhouding tot de Betrokkene, aangezien de Betrokkene - in beginsel - uitsluitend eigenaars of gebruikers zijn van appartementsrechten binnen de VvE.

3.4 De Beheerder staat (via de VvE) in een indirecte verhouding tot de Betrokkene, op grond van de Beheerovereenkomst die de VvE op basis van een besluit van de vergadering van eigenaars met de Beheerder is aangegaan.

3.5 De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE.

3.6 De Beheerder en de VvE zijn ieder afzonderlijk van elkaar gehouden de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens na te leven en overeenkomstig te handelen.

3.7 De Beheerder stelt met instemming van de VvE, de middelen van verwerking vast, zodat de VvE zeggenschap houdt over de middelen van de verwerking.

3.8 Het is de Beheerder en de VvE niet toegestaan zonder instemming van de ander, een persoon of een Onderneming opdracht te verstrekken voor het verwerken van Persoonsgegevens.

3.9 Wanneer de Beheerder en/of de VvE een verzoek ontvangt van een Betrokkene aangaande het uitoefenen van zijn rechten, zullen de Beheerder en de VvE voor dat deel waarvoor zij verantwoordelijk zijn, ervoor zorgen dat de Betrokkene zijn rechten die voortvloeien uit de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens effectief kan uitoefenen.

Artikel 4. Verkrijgen en gebruiken Persoonsgegevens

4.1 De Beheerder en de VvE dienen passende maatregelen te nemen zodat de Betrokkene de informatie en communicatie in verband met de Verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal ontvangt.

4.2 De VvE is verantwoordelijk voor de juistheid van de Persoonsgegevens die zij aan de Beheerder verstrekt.

4.3 De Beheerder en de VvE zullen ieder voor dat deel waarvoor zij verantwoordelijk zijn (zie bijlage 1), de Betrokkene waarvan de Persoonsgegevens afkomstig zijn, correct moeten informeren.

4.4 Als de Persoonsgegevens bij de Betrokkene worden verzameld, dient aan de Betrokkene bij de verkrijging van de Persoonsgegevens reeds de volgende informatie te worden verstrekt, te weten:

a. identiteit en contactgegevens van de Beheerder/de VvE;

b. het doel waarvoor de Persoonsgegevens zijn bestemd en de rechtsgrond voor de Verwerking;

c. als de rechtsgrond voor de Verwerking, de gerechtvaardigde belangen van de Beheerder, de VvE of een Derde (zoals een lid van de VvE) betreft, de onderbouwing van die gerechtvaardigde belangen;

d. indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;

e. indien van toepassing, de ontvangers of categorieën van ontvangers van de Persoonsgegevens;

f. voor welke periode de Persoonsgegevens worden opgeslagen, dan wel welke criteria daarvoor worden gehanteerd;

g. dat de Betrokkene recht heeft de Beheerder of de VvE te verzoeken om inzage van, rectificatie of wissing van Persoonsgegevens of beperking van de Verwerking, alsmede het recht tegen de Verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;

h. indien voor de Verwerking toestemming is verleend door de Betrokkene, hij het recht heeft de toestemming op elk moment in te trekken;

i. de Betrokkene het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens;

j. dat de verstrekking van Persoonsgegevens is gebaseerd op de Beheerovereenkomst, tenzij de verstrekking is gebaseerd op een wettelijke verplichting, waarbij die wettelijke verplichting alsdan moet worden vermeld;

k. of de betrokkene verplicht is de Persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn als hij dat niet doet.

4.5 Als de Persoonsgegevens niet van de Betrokkene zijn verkregen, dan dient alsnog de volgende informatie aan de Betrokkene te worden verschaft, te weten:

a. identiteit en contactgegevens van de Beheerder/de VvE;

b. het doel waarvoor de Persoonsgegevens zijn bestemd en de rechtsgrond voor de Verwerking;

c. de betrokken categorieën van Persoonsgegevens;

d. indien van toepassing, de ontvangers of categorieën van ontvangers van de Persoonsgegevens;

e. indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;

f. voor welke periode de Persoonsgegevens worden opgeslagen, dan wel welke criteria daarvoor worden gehanteerd;

g. als de rechtsgrond voor de Verwerking, de gerechtvaardigde belangen van de Beheerder, de VvE of een Derde (zoals een lid van de VvE) betreft, de onderbouwing van die gerechtvaardigde belangen;

h. dat de Betrokkene recht heeft de Beheerder of de VvE te verzoeken om inzage van, rectificatie of wissing van Persoonsgegevens of beperking van de Verwerking, alsmede het recht tegen de Verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;

i. indien voor de Verwerking toestemming is verleend door de Betrokkene, hij het recht heeft de toestemming op elk moment in te trekken;

x. xx Xxxxxxxxxx het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens;

k. de bron waar de Beheerder of de VvE de Persoonsgegevens van heeft verkregen.

4.6 Indien artikel 4.5 van toepassing is, dan dient de informatie zoals daarin beschreven, aan de betrokkene te worden verstrekt:

a. uiterlijk binnen één maand na de verkrijging van de Persoonsgegevens, of zoveel eerder als mogelijk; of

b. uiterlijk op het eerste moment van contact met de betrokkene, ingeval de Persoonsgegevens daarvoor worden gebruikt; of

c. uiterlijk op het moment waarop de Persoonsgegevens voor het eerst aan een andere ontvanger worden verstrekt, ingeval de Persoonsgegevens daarvoor worden gebruikt.

4.7 De Beheerder en de VvE behoeven niet aan de informatieverstrekking zoals bepaald in artikel 4.4 en 4.5 te voldoen, als de Betrokkene reeds over die informatie beschikt.

4.8 Indien de Beheerder of de VvE voornemens is Persoonsgegevens te gebruiken voor een ander doel dan waarvoor die zijn verkregen, dan moet degene die dat wenst, de Betrokkene te informeren over dat doel, met inachtneming van hetgeen in artikel 4.4 en 4.5 in de Overeenkomst is bepaald.

4.9 Persoonsgegevens worden - met instemming van de VvE - opgenomen in een gegevensbestand. Deze gegevens worden alleen gebruikt voor de uitvoering van de Beheerovereenkomst.

Artikel 5. Datalekken

5.1 Indien bij de Beheerder of de VvE een datalek heeft plaatsgevonden waarbij het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient de partij waarbij het datalek heeft plaatsgevonden dit binnen 24 uur bij de ander te melden, alsook binnen 72 uur te melden bij de Autoriteit Persoonsgegevens via haar meldloket.

5.2 Als niet duidelijk is of het datalek bij de Beheerder dan wel bij de VvE heeft plaatsgevonden, dan maakt degene onder wiens verantwoording de betreffende Persoonsgegevens vallen melding van het datalek bij de Autoriteit Persoonsgegevens.

5.3 De Beheerder en de VvE verlenen elkaar alle informatie en medewerking die is vereist indien sprake is van een datalek en houden elkaar volledig op de hoogte over de voortgang na de melding van het datalek.

5.4 De kosten om het Datalek op te (laten) lossen komen voor de partij waar het datalek heeft plaatsgevonden, dan wel indien daarover onduidelijkheid bestaat, voor de partij onder wiens verantwoording de betreffende Persoonsgegevens vallen (zie bijlage 1).

Artikel 6. Procedure rechten betrokkenen

6.1 Indien een Betrokkene een verzoek wil indienen aangaande de uitoefening van één of meerdere van zijn rechten op basis van de AVG, de uitvoeringswet AVG, dan wel overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, dient dit verzoek te worden gericht aan de VvE.

6.2 De VvE zendt dit verzoek binnen redelijke termijn, doch uiterlijk binnen 14 dagen door aan de Beheerder, waarna de Beheerder met de VvE in overleg treedt over de wijze waarop dat verzoek zal worden afgehandeld.

6.3 Indien de Beheerder en de VvE het niet eens zijn over de afhandeling van een verzoek, dan bepaalt degene onder wiens verantwoording de betreffende Persoonsgegevens vallen (zie bijlage 1).

Artikel 7. Kosten

7.1 De Beheerder is gerechtigd een redelijke vergoeding van de VvE te vorderen aangaande werkzaamheden die de Beheerder dient te verrichten in het kader van de Overeenkomst, terwijl die werkzaamheden geen onderdeel uitmaken van de taken waarvoor de VvE aan de Beheerder een beheervergoeding betaalt op basis van de Beheerovereenkomst.

7.2 Voor zover kosten worden gemaakt voor het oplossen van schendingen van de AVG, de uitvoeringswet AVG, dan wel overige wet- en regelgeving, dan zijn de daarmee verband houdende kosten voor de partij onder wiens verantwoording de betreffende Persoonsgegevens vallen (zie bijlage 1).

Artikel 8. Aansprakelijkheid

8.1 De Beheerder en de VvE verklaren dat zij zich bij het verrichten van werkzaamheden waarbij sprake is van Verwerking van Persoonsgegevens, althans waarop de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens van toepassing is, zullen conformeren aan deze regeling.

8.2 Indien de Beheerder of de VvE in strijd met het in dit artikel bedoelde gebod handelt, zal zij de ander vrijwaren voor alle eventuele boetes en/of andere sancties die worden opgelegd door een daartoe bevoegd orgaan in verband met enige vermeende of geconstateerde overtreding van de andere partij van de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, alsmede voor schade die een direct dan wel indirect gevolg hiervan is.

Artikel 9. Teruggave Persoonsgegevens na beëindiging Overeenkomst

9.1 Ingeval van beëindiging van de Beheerovereenkomst, zal de Beheerder binnen een termijn van 6 weken na het einde van de Overeenkomst de haar ter beschikking gestelde Persoonsgegevens in zodanige staat brengen dat deze eenvoudig kunnen worden overgedragen aan het bestuur van de VvE, ongeacht de reden van beëindiging.

9.2 Ingeval de Beheerder zelf is aangewezen als bestuur van de VvE, dan wel ingeval een bestuur ontbreekt, is de Beheerder gerechtigd de Persoonsgegevens onder zich te houden tot het moment dat de VvE een (nieuw) bestuur heeft benoemd, waarna de Persoonsgegevens alsnog binnen de termijn zoals beschreven in artikel 9.1 Overeenkomst aan het (nieuwe) bestuur zal worden verstrekt.

9.3 Ingeval artikel 9.2 Overeenkomst van toepassing is en de VvE niet binnen 6 maanden na beëindiging van de Beheerovereenkomst een (nieuw) bestuur heeft benoemd, is de Beheerder gerechtigd de door haar daadwerkelijk gemaakte kosten van de VvE te vorderen aangaande werkzaamheden die de Beheerder dient te verrichten voor het bewaren van de Persoonsgegevens en het blijven voldoen aan de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

9.4 De Overeenkomst eindigt op het moment dat de Beheerder de Persoonsgegevens aan het (nieuwe) bestuur heeft verstrekt.

Artikel 10. Bewaartermijn en vernietiging Persoonsgegevens

10.1 De Beheerder zal de Persoonsgegevens vernietigen nadat deze zijn verstrekt aan het bestuur van de VvE, dan wel indien de wettelijke bewaartermijn is verstreken, dan wel indien de Beheerder in redelijkheid kan oordelen dat het bewaren van de gegevens geen wezenlijk doel meer rechtvaardigt.

Artikel 11. Toepasselijk recht

11.1 Op de Overeenkomst tussen de Beheerder en de VvE is Nederlands recht van toepassing.

Artikel 12. Wijzigingen en/of aanpassen Overeenkomst

12.1 De Beheerder behoudt zich het recht voor de Overeenkomst aan te vullen en te wijzigen; die zal na kennisgeving de VvE binden, tenzij de nieuwe Overeenkomst binnen 30 dagen na toezending aan de VvE schriftelijk wordt verworpen, waarbij het recht op verwerpen niet bestaat indien de wijziging een gevolg is van een nieuwe regel of wet van overheidswege.

Artikel 13. Inschakelen Verwerker

13.1 De Beheerder kan een Verwerker inschakelen voor het verwerken van persoonsgegevens namens de Beheerder. De identiteit van de Verwerker zal aan de VvE bekendgemaakt worden.

13.2 Op het moment dat de Beheerder een Verwerker inschakelt om ten behoeve van de Beheerder en de VvE verwerkingsactiviteiten te verrichten, worden aan de Verwerker bij een separate overeenkomst, dan wel door middel van algemene voorwaarden, verplichtingen inzake gegevensbescherming opgelegd die voor een Verwerker zullen gelden.

Artikel 14. Slotbepaling

14.1 Voor zover (een) bepaling(en) in de Overeenkomst in rechte word(t)(en) vernietigd, dan wel nietig word(t)(en) verklaard, dan wel anderszins niet als rechtsgeldig wordt beoordeeld, laat dit de overige bepalingen in de Overeenkomst onverlet en blijven de in stand gelaten bepalingen dus onverminderd gelden.

Namens PandGarant, Sake Tel, Directie Getekend op 25 mei 2018 te Groningen