Model overeenkomst gezamenlijke verwerkingsverantwoordelijken onderwijs1 Partijen:

Model overeenkomst gezamenlijke verwerkingsverantwoordelijken onderwijs1



Partijen:



  1. Het bevoegd gezag van <naam + rechtsvorm onderwijsinstelling>, geregistreerd onder BRIN-nummer <brin> bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, gevestigd en kantoorhoudende aan <adres>, te <plaats>, te dezen rechtsgeldig vertegenwoordigd door <functie + naam>, hierna te noemen: “Onderwijsinstelling”;

en



  1. <Naam en rechtsvorm organisatie>, gevestigd aan <adres> te <plaats>, en rechtsgeldig vertegenwoordigd door <functie en naam>, hierna te noemen:

<Naam organisatie 1>”;

en



  1. <Naam en rechtsvorm organisatie>, gevestigd aan <adres> te <plaats>, en rechtsgeldig vertegenwoordigd door <functie en naam>, hierna te noemen:

<Naam organisatie 2>”;



hierna gezamenlijk te noemen: “Partijen” of afzonderlijk “Partij”.



Overwegen het volgende:

  1. Partijen hebben op <datum> een overeenkomst gesloten met betrekking tot <omschrijving overeenkomst> (hierna te noemen: de Hoofdovereenkomst). 2

  2. In het kader van deze Hoofdovereenkomst worden Persoonsgegevens verwerkt en tussen Partijen gedeeld.

  3. Partijen stellen gezamenlijk het doel van middelen van de verwerking(en) vast en zijn daarom aan te merken als gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 Algemene Verordening Gegevensbescherming.



  1. Partijen wensen hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen vast te leggen in deze Overeenkomst Gezamenlijke Verwerkingsverantwoordelijken, zodat de Verwerking van Persoonsgegevens in overeenstemming is met de AVG en andere Toepasselijke wet- en regelgeving.


Komen het volgende overeen:

Artikel 1 Definities

In deze Overeenkomst Gezamenlijke Verwerkingsverantwoordelijken (hierna: Overeenkomst) hebben de met hoofdletter geschreven begrippen de in dit artikel opgenomen betekenis. Indien een met hoofdletter geschreven begrip in deze Overeenkomst niet in dit artikel is opgenomen wordt aan dit begrip de betekenis van de definitie uit artikel 4 AVG toegekend.
In deze Overeenkomst wordt verstaan onder:

    1. AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).


    2. Betrokkenen: de geïdentificeerde of identificeerbare natuurlijke personen van wie persoonsgegevens bij de uitvoering van de Overeenkomst en Overeenkomst Gezamenlijke Verwerkingsverantwoordelijken verwerkt worden.



    1. Bijlage(n): bijlage(n) bij deze Overeenkomst Gezamenlijke Verwerkingsverantwoordelijken, die een integraal onderdeel is/zijn van deze Overeenkomst Gezamenlijke Verwerkingsverantwoordelijken.



    1. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins in het kader van de (Hoofd)Overeenkomst verwerkte Persoonsgegevens;



    1. Gezamenlijke Verwerkingsverantwoordelijkheid: twee of meer Verwerkingsverantwoordelijken die gezamenlijk doel en middelen van de Verwerking van Persoonsgegevens bepalen.



    1. Hoofdovereenkomst: de overeenkomst die tussen Partijen is gesloten en op grond waarvan Partijen gezamenlijk Persoonsgegevens verwerken.



    1. Overeenkomst: de onderhavige overeenkomst Gezamenlijke Verwerkingsverantwoordelijken inclusief eventuele Bijlagen.




Artikel 2 Onderwerp van de Overeenkomst

    1. De Overeenkomst vormt een aanvulling op de Hoofdovereenkomst en vervangt eventuele eerder gemaakte afspraken tussen Partijen ten aanzien van de Verwerking van Persoonsgegevens. Bij tegenstrijdigheid tussen de bepalingen uit de Overeenkomst en de Hoofdovereenkomst, prevaleren de bepalingen uit deze Overeenkomst.


    1. De Overeenkomst is een gezamenlijke verwerkingsverantwoordelijken-overeenkomst waarin de verantwoordelijkheden van iedere Partij in het kader van de Verwerking(en) van Persoonsgegevens zijn beschreven in Bijlage A t/m D. Partijen zijn Gezamenlijke Verwerkingsverantwoordelijken voor de in Bijlage A genoemde Verwerking(en).



    1. De bepalingen uit de Overeenkomst gelden voor alle Verwerking(en) die plaatsvinden ter uitvoering van de Hoofdovereenkomst. Partijen brengen elkaar onverwijld op de hoogte indien één van de Partijen reden heeft om aan te nemen dat hij niet langer aan de Overeenkomst kan voldoen.



Artikel 3 Verwerken persoonsgegevens

    1. Partijen verwerken Persoonsgegevens alleen op de wijze zoals Partijen dit bij deze Overeenkomst overeenkomen en verwerken Persoonsgegevens niet op een andere manier, tenzij Partijen dit gezamenlijk schriftelijk overeenkomen.



    1. In Bijlage A wordt opgenomen welke Persoonsgegevens Partijen precies verwerken, voor welke verwerkingsdoeleinden, op welke grondslag.



    1. Partijen houden zich bij het verwerken van Persoonsgegevens aan de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens en gegevens worden verwerkt op een behoorlijke, zorgvuldige en transparante wijze.



    1. In Bijlage D is opgenomen welke Partij(en) verantwoordelijk is (of zijn) voor welke te treffen technische en organisatorische maatregelen ter beveiliging van de Persoonsgegevens;



    1. Partijen mogen zonder voorafgaande schriftelijke toestemming van elkaar geen derde personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.



    1. Wanneer Partijen met toestemming van elkaar derde personen of organisaties inschakelen, moeten die minimaal voldoen aan de eisen die zijn opgenomen in deze Overeenkomst. Dit moet zijn vastgelegd in een schriftelijke overeenkomst tussen Partijen en de betreffende perso(o)n(en) of organisatie(s).



    1. Partijen zullen ieder zelfstandig verantwoordelijk zijn voor het bijhouden van de Verwerking(en) in een passend register van verwerkingsactiviteiten.





Artikel 4 Rechten van Betrokkenen

    1. Partijen dienen op duidelijke en eenvoudige wijze aan Betrokkenen te communiceren welke gezamenlijke verwerkingsverantwoordelijken er zijn en hoe de verantwoordelijkheden conform deze Overeenkomst zijn verdeeld. De informatie voor Betrokkenen hierover is vastgelegd in Bijlage B, waarin ook staat beschreven op welke wijze deze informatie aan Xxxxxxxxxxx wordt verstrekt.



    1. Wanneer een Partij een verzoek van een Betrokkene ontvangt ten aanzien van het uitoefenen van zijn Rechten, zal deze Partij:

    1. voor het deel waarvoor hij verantwoordelijk is, zorgen dat de Betrokkene zijn Rechten effectief kan uitoefenen;

    2. medewerking verlenen aan de andere Partij om aan het verzoek te kunnen voldoen; en

    3. het verzoek voor wat betreft het deel waarvoor de andere Partij verantwoordelijk is, onverwijld aan de andere Partij doorsturen.


Artikel 5 Doorgifte van Persoonsgegevens

    1. Persoonsgegevens mogen enkel worden doorgegeven aan landen binnen de EER.



    1. Persoonsgegevens worden niet aan derde landen of internationale organisaties doorgegeven, tenzij sprake is van een passend beschermingsniveau én beide Partijen hiervoor specifieke schriftelijke toestemming hebben verleend. Deze specifieke schriftelijke toestemming is slechts verleend indien dit is opgenomen in Bijlage A. Partijen zijn uitsluitend gerechtigd tot deze in Bijlage A gespecificeerde doorgiften aan derde landen of internationale organisaties, tenzij een op een Partij van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling deze Partij tot Verwerking verplicht. In dat geval stelt deze Partij de andere Partij voorafgaand aan de Verwerking schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.



    1. Partijen kunnen slechts toestemming verlenen voor een doorgifte van Persoonsgegevens aan derde landen of internationale organisaties indien, ofwel:

    1. Een adequaatheidsbesluit overeenkomstig artikel 45 lid 3 AVG is genomen ten aanzien van het betreffende derde land of de betreffende internationale organisatie; ofwel

    2. Passende waarborgen overeenkomstig artikel 46 AVG met inbegrip van bindende voorschriften zoals bedoeld in artikel 47 AVG, zijn getroffen ten aanzien van het betreffende derde land of de betreffende internationale organisatie; ofwel

    3. Aan één van de specifieke voorwaarden uit artikel 49 lid 1 AVG is voldaan ten aanzien van het betreffende derde land of de betreffende internationale organisatie.



Artikel 6 Vertrouwelijkheid van persoonsgegevens

    1. Alle Persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zodanig te worden behandeld.



    1. Partijen dragen zorg dat alleen medewerkers die vanuit hun functie, taak of rol de Persoonsgegevens nodig hebben, over de Persoonsgegevens kunnen beschikken. Deze functionarissen zijn opgenomen in Bijlage A.



    1. Partijen houden alle Persoonsgegevens geheim en maken deze op geen enkele wijze verder intern of extern bekend, behalve voor zover:

    1. Bekendmaking en/of verstrekking van de Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst of Overeenkomst noodzakelijk is;

    2. Enig Unierechtelijke of lidstaatrechtelijke bepaling of daarop gebaseerde rechterlijke uitspraak een Partij tot bekendmaking en/of verstrekking van die Persoonsgegevens verplicht, waarbij deze Partij eerst de andere Partij(en) hiervan op de hoogte stelt;

    3. Bekendmaking en/of verstrekking van die Persoonsgegevens geschiedt met voorafgaande schriftelijke toestemming van de andere Partij(en).

Artikel 7 Datalek

    1. Partijen informeren elkaar zonder onredelijke vertraging en uiterlijk binnen 24 uur na kennisneming, over een Datalek of een redelijk vermoeden van een Datalek volgens de procedure die is opgenomen in Bijlage C. Partijen verstrekken elkaar daarbij de informatie die is vermeld in het meest recente formulier datalekken van de Autoriteit Persoonsgegevens (te vinden bij het Meldloket datalekken Autoriteit Persoonsgegevens).



    1. Partijen houden elkaar op de hoogte van nieuwe informatie rondom het Datalek. Ook zullen Partijen de getroffen maatregelen om de gevolgen van het Datalek te beperken en het Datalek te beëindigen en om een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen met elkaar.



    1. Partijen zijn en blijven ieder zelfstandig verantwoordelijk voor het melden van een Inbreuk aan de Toezichthoudende autoriteit en/of Betrokkenen, indien de inbreuk onder haar verantwoordelijkheid heeft plaatsgevonden.


    2. Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.



    1. Partijen hebben adequaat beleid en adequate procedures ingericht om Datalekken in een zo vroeg mogelijk stadium te detecteren, de andere Partij hierover uiterlijk binnen 24 uur te informeren, hierop adequaat en onmiddellijk te reageren, (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige Verwerking te voorkomen of te beperken en herhaling hiervan te voorkomen.



Artikel 8 Aansprakelijkheid

    1. Partijen zijn jegens elkaar enkel aansprakelijk in het geval een Partij toerekenbaar tekortschiet in de nakoming van één harer verplichtingen uit deze Overeenkomst en uitsluitend voor directe schade.


    2. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de schadeveroorzakende Partij(en).



    1. Een Partij die één van haar verplichtingen uit de Overeenkomst toerekenbaar niet nakomt, waardoor de andere Partij(en) door een derde worden aangesproken voor schade, kosten of rente, dan wel een boete of maatregel van de Toezichthoudende Autoriteit krijgen opgelegd, vrijwaart en stelt de andere Partij(en) volledig schadeloos voor de aanspraak van die derde, tenzij deze Partij bewijst dat een en ander is veroorzaakt door opzet of grove schuld van de andere Partij(en).




Artikel 9 Bewaartermijnen

    1. Partijen dragen na verloop van de bewaartermijn zoals vastgelegd in Bijlage A zorg voor vernietiging van het deel van de Persoonsgegevens waarvoor zij verantwoordelijk zijn.

    2. Partijen dragen ieder de kosten voor vernietiging, retournering en/of overdracht van de Persoonsgegevens voor het deel waarvoor zij verantwoordelijk zijn.



Artikel 10 Totstandkoming, duur en beëindiging van de overeenkomst

    1. De bepalingen over duur en beëindiging van de Hoofdovereenkomst gelden als bepalingen over duur en beëindiging van de Overeenkomst. Wanneer de Hoofdovereenkomst eindigt, eindigt de Overeenkomst van rechtswege en vice versa.


    1. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Overeenkomst voort te duren, blijven na beëindiging van de Overeenkomst gelden. Tot deze verplichtingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, overdracht, bewaartermijn en vernietiging, en toepasselijk recht.


Artikel 11 Slotbepalingen

    1. Indien één of meer bepalingen van de Overeenkomst niet rechtsgeldig blijken te zijn, blijft de Overeenkomst voor het overige van kracht. Partijen overleggen in dat geval over de bepalingen die niet rechtsgeldig zijn om een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen bepaling.

    2. In alle gevallen waarin deze Overeenkomst niet voorziet beslissen Partijen in onderling overleg.

    3. Afwijkingen, wijzigingen en aanvullingen op deze overeenkomst zijn slechts geldig indien zij schriftelijk door Partijen gezamenlijk zijn overeengekomen.

    4. De Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

    5. Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Overeenkomst, zullen worden voorgelegd aan dezelfde rechter die op grond van de Hoofdovereenkomst bevoegd is.

ALDUS OVEREENGEKOMEN DOOR PARTIJEN:

<Rechtsvorm en naam Onderwijsinstelling>

<Naam organisatie 1 en rechtsvorm>

<Naam organisatie 2 en rechtsvorm>

_____/_____/___________

_____/_____/___________

_____/_____/___________

Datum

Datum

Datum




Naam

Naam

Naam

Functie

Functie

Functie




____________________

____________________

____________________

Handtekening

Handtekening

Handtekening

BIJLAGEN

Bijlage A: Specificatie van de verwerking van Persoonsgegevens en de verdeling van verantwoordelijkheden

In de tabellen A t/m G wordt een korte omschrijving gegeven van de verwerking waarvoor Partijen gezamenlijk verwerkingsverantwoordelijke zijn, de doelen en grondslag van deze verwerking en de betrokkenen. In de daarop volgende tabellen staat aangegeven welke categorieën medewerkers toegang hebben tot de Persoonsgegevens, welke Verwerkers met toestemming van Partijen betrokken zijn bij de Verwerking en naar welke landen Persoonsgegevens met toestemming van Partijen worden doorgegeven.

Alle tabellen worden volledig en door Partijen gezamenlijk ingevuld.

  1. Omschrijving van de Verwerking(en)








  1. Doel(en) van de Verwerking(en)






  1. Grondslag van de Verwerking(en)






  1. Categorie(ën) Betrokkenen bij de Verwerking






  1. Categorie(ën) Persoonsgegevens per Betrokkene die verwerkt worden






  1. Locatie (land of landen) van de verwerkingsactiviteiten






  1. Bewaartermijn(en) van de Persoonsgegevens








  1. Categorieën medewerkers


Categorieën Medewerkers (functierollen/ functiegroepen) die de Persoonsgegevens Verwerken

(Categorie) Persoons-gegevens die door Medewerkers worden verwerkt

Soort Verwerking

Onderwijsinstelling:




<Naam organisatie 1>




<Naam organisatie 2>








  1. Verwerkers

Partijen hebben toestemming gegeven voor de inschakeling van de hierna opgenomen Verwerkers.

Naam verwerker

Vestigings-plaats Verwerker

Land van Verwer-king

Beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt door deze Verwerker

Xxxxxxxxxxxx door Partij:

Datum verwerkers-overeen-komst

<Verwerker 1>






<Verwerker 2>






<Verwerker 3>












  1. Doorgiften

Partijen hebben toestemming gegeven voor de hierna opgenomen doorgiften aan derde landen of internationale organisaties.

Beschrijving doorgifte

Land waarnaar Persoons-gegevens worden doorgegeven

Partij die de Persoons-gegevens doorgeeft

Entiteit die Persoonsgegevens ontvangt + plaats en land van vestiging

Doorgifte mechanisme (als bedoeld in art. 45-49 AVG)


















Bijlage B: Informatie aan de Betrokkenen over de gezamenlijke verwerking van Persoonsgegevens door Partijen



In deze bijlage beschrijven Partijen conform artikel 4 van deze Regeling gezamenlijk de informatie die ze aan Xxxxxxxxxxx verstrekken over de Verwerking van Persoonsgegevens. Daarbij worden Betrokkenen geïnformeerd over de Verwerking en welke Partij verantwoordelijk is voor welk deel van de Verwerking. Ook worden de contactgegevens opgenomen van degenen bij wie Betrokkenen terecht kunnen voor vragen en klachten over de Verwerking van hun Persoonsgegevens.
Deze informatie is in overeenstemming met de gegevens uit Bijlage A.


Tot slot geven Partijen aan op welke wijze zij ieder de informatie aan de Betrokkenen zullen verstrekken.


Informatie aan Betrokkenen

Partijen stellen deze tekst gezamenlijk op.





Wijze van informatieverstrekking door Onderwijsinstelling



Wijze van informatieverstrekking door <Naam organisatie 1>



Wijze van informatieverstrekking door <Naam organisatie 2>









Bijlage C: Contactgegevens en proces bij Datalek



Een Datalek is een Inbreuk in verband met Persoonsgegevens (art. 33 AVG):

  • Inbreuk op vertrouwelijkheid (ongeoorloofde toegang)

  • Inbreuk op beschikbaarheid (gegevens niet meer toegankelijk)

  • Inbreuk op integriteit (ongeoorloofde aanpassing gegevens)

Partijen zijn en blijven ieder zelfstandig verantwoordelijk voor het melden van een Inbreuk aan de Toezichthoudende autoriteit en/of Betrokkenen, indien de inbreuk onder haar verantwoordelijkheid heeft plaatsgevonden.

Bij ontdekking van een (mogelijk) Datalek nemen Partijen altijd onverwijld maar in ieder geval binnen 24 uur contact met elkaar op via de volgende contactpersonen:

Onderwijsinstelling

<Naam organisatie 1>

<NAAM CONTACTPERSOON OF AFDELING>

<NAAM CONTACTPERSOON OF AFDELING>

Telefoon: <TELEFOONNUMMER>

Telefoon: <TELEFOONNUMMER>

E-mail: <E-MAILADRES>

E-mail: <E-MAILADRES>



Bij de melding geven Partijen elkaar direct schriftelijk de gegevens over de Inbreuk in verband met Persoonsgegevens, zoals vermeld op het meldformulier datalekken van de Autoriteit Persoonsgegevens (te vinden via xxx.xxxxxxxxxxxxxxxxxxxxxxxxxx.xx).





Bijlage D: SPECIFICATIE VAN GETROFFEN TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

Partijen treffen de in deze bijlage genoemde technische- en organisatorische beveiligingsmaatregelen treffen.

Technische beveiligingsmaatregelen

Partij

Getroffen technische beveiligingsmaatregel(en)

Onderwijsinstelling


<Naam organisatie 1>


<Naam organisatie 2>




Organisatorische beveiligingsmaatregelen

Partij

Getroffen organisatorische beveiligingsmaatregel(en)

Onderwijsinstelling


<Naam organisatie 1>


<Naam organisatie 2>




1 Dit model is mede gebaseerd op Model gezamenlijk verantwoordelijkenovereenkomst van SURF versie 1.0.

2 Hierbij kan worden gedacht aan een overeenkomst tussen een onderwijsinstelling in het PO/VO en een instelling voor hoger onderwijs in het kader van stages of een samenwerkingsovereenkomst tussen de onderwijsinstelling en een of meer andere partijen, waarbij partijen gezamenlijk een onderzoek uitvoeren.



Model overeenkomst gezamenlijke verwerkingsverantwoordelijken Onderwijs
Versie 1.0 – maart 2021 6


Document Metadata

Filed: April 21st, 2021