Verwerkersovereenkomst

Verwerkersovereenkomst

Partijen:

A (Verwerkingsverantwoordelijke)

Naam (product): Xxxxxxxxxx.xx Rechtsgeldig vertegenwoordigd door: Xxxx Xxxxxxxx

Contactgegevens xxxxxxxxxxxx@xxxxx.xxx, 06-22539343

B (Verwerker)

Naam:

Rechtsgeldig vertegenwoordigd door:

Contactgegevens:

Algemene omschrijving:

Partij A beschikt als Verwerkingsverantwoordelijke over zeer summiere persoonsgegevens. Het onderwerp van de verwerking is Xxxxxxxxxx.xxx.

Het doel van de verwerking is het gebruik maken van het product. De categorieën betrokkenen over wie de gegevens gaan zijn:

- Leerlingen in het het PO, VO, MBO, HBO, VAVO, SBO en SO

- Leerkrachten in het PO, VO, MBO, HBO, VAVO, SBO en SO

De soort persoonsgegevens die worden opgeslagen zijn:

- Voornaam van xxxxxxxxx

De duur van de verwerking begint op moment van registratie door gebruiker.

Deze eindigt op het moment dat het account wordt verwijderd of uiterlijk op 31 december 2122.

Overeengekomen punten:

Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De Verwerker zal zich in ieder geval houden aan de volgende punten:

1. De verwerking vindt uitsluitend plaats op vrijwillige basis van de gebruiker. Door registratie en gebruik van het product gaat men akkoord met onderstaande voorwaarden betreffende de AVG-wetgeving.

2. De Verwerkersverantwoordelijke zal de persoonsgegevens niet voor eigen of andermans doeleinden gebruiken, anders dan ten bate van product.

3. Personen van Verwerkersverantwoordelijke, in dienst van of werkzaam voor de Verwerker die in aanraking komen met de betreffende gegevens hebben en houden een geheimhoudingsplicht.

4. Verwerkersverantwoordelijke heeft passende technische en organisatorische maatregelen genomen zodat de verwerking aan de vereisten van de AVG voldoen en de bescherming van de rechten van de betrokkenen zijn gewaarborgd.

5. De Verwerkersverantwoordelijke deelt gegevens niet.

6. De Verwerkersverantwoordelijke helpt om te voldoen aan de plichten van Verwerker als betrokkenen/gebruikers hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). De Verwerker brengt hier redelijke kosten voor in rekening: € 100,- per uur voor alleen directe uren, wanneer dit via de Verwerker wordt gedaan.

7. De Verwerkersverantwoordelijke helpt mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat Verwerker mogelijke datalekken direct, en in ieder geval binnen 24 uur, meldt aan Verwerkersverantwoordelijke en meewerkt aan onderzoek/analyse. De Verwerkersverantwoordelijke meldt het datalek bij de overheidsinstanties.

8. Zowel Verwerker als Verwerkingsverantwoordelijke helpen mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment.

9. De Verwerker werkt mee aan audits door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke ingeschakelde derde partij. Verwerker stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen

10. Na afloop van de verwerkingsdiensten verwijdert de Verwerkersverantwoordelijke de gegevens tenzij men wettelijk verplicht is deze te bewaren. Dit gebeurt zo snel mogelijk maar in ieder geval binnen vier weken na afloop van de Verwerkingsdiensten of de termijn van de bewaarplicht. Het verzoek van de afloop van de verwerkingsdiensten komt vanuit de gebruiker.

11. De Verwerkersverantwoordelijke zal de persoonsgegevens alleen verwerken in landen binnen de Europese Economische Ruimte, of landen waarvoor een adequaatheidsbesluit bestaat.

Overzicht beveiligingsmaatregelen

De verwerker past de volgende beveiligingsmaatregelen toe:

- SSL-certificaat op geheel domein

- Versleuteld opslaan van wachtwoorden zonder terughaalmogelijkheid

- Beveiliging van database is afdoende

- Er worden niet meer gegevens gevraagd dan nodig

- Beveilingslekken of ongewenste toegang wordt zo veel mogelijk beperkt Aldus getekend:

Verwerkingsverantwoordelijke:

Naam: Xxxx Xxxxxxxx
Plaats, Datum: Giessenburg, april 2022 Verwerker:
Naam:
Plaats, Datum:

Achtergrondinformatie bij template

Dit template is opgesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens, om te voldoen aan de AVG / GDPR. Een verwerkersovereenkomst moet gesloten worden tussen alle opdrachtgevers en leveranciers die persoonsgegevens uitwisselen.

Aan dit template hebben bijgedragen: Xxxxxxxx xxx Xxxxxxxx en Xxxxx Xxxxxxx van xxx.xxxxxxxxxxxx.xx en Xxxx Xxxxxxx (xxxxx://xxxxxxxxxxxxxxxxxx.xx).

De Autoriteit Persoonsgegeven is de leidende toezichthouder voor GDPR in Nederland. Deze heeft het volgende gepubliceerd over de verwerkersovereenkomst. Hier is dit template op gebaseerd.

Bron: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxx-xxxxxx-xxxxxxxx- privacywetgeving/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst- staan-6344

Voor achtergrondinformatie, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxx-xxx-xx-00-xxxxxxx/ Voor meer informatie over melden datalekken, zie:

xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx/ Voor meer informatie over rechten van betrokkenen, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxx-xxx-xxxxxxxxxxx/

Citaat:

Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

U moet de volgende onderwerpen vastleggen:

Algemene beschrijving

Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als Verwerkingsverantwoordelijke

Instructies verwerking

De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht

Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging

De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Subverwerkers

De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

Privacyrechten

De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen

De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Gegevens verwijderen

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits

De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).