Nl

Overeenkomst voor gegevensbescherming

Ingangsdatum :

DPO Medewerkers Xxxxx Xxxxxxxxxxx 000/0 X - 0000 Xxxxxxx-Xxxxxx

DPA

Tussen: x

Hierna te noemen: De verwerkingsverantwoordelijke.

Nl

DPOASSOCIATES bv, X.Xxxxxxxxxxx 000/0, X-0000 Xxxxxxx-Xxxxxx, XXX:0781552160 Hier vertegenwoordigd door: Xxxxx Xxxxxx, Extern adviseur.

Hierna te noemen: De verwerker.

1. Overwegende dat:

Persoonsgegevens worden doorgegeven met het oog op de identificatie van de gebruiker, met name door middel van gegevens zoals namen, identificatienummers, locatiegegevens, een online identificatie of een of meer elementen die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

Persoonsgegevens die versleuteld zijn, vallen ook onder de toepassing van de AVG-wetgeving. Alleen gegevens die zodanig anoniem zijn gemaakt dat de persoon op wie ze betrekking hebben niet meer identificeerbaar is, zijn geen persoonsgegevens. De verwerker heeft toegang tot persoonsgegevens bij de uitvoering van deze diensten. De voor de verwerking verantwoordelijke wijst het doel van en de middelen voor de verwerking van die persoonsgegevens aan. Verwerker is bereid deze verwerking uit te voeren en is tevens bereid te voldoen aan verplichtingen met betrekking tot beveiliging en andere aspecten van de Wet bescherming persoonsgegevens, voor zover dit binnen haar macht ligt.

2. Als volgt overeengekomen: Artikel 1. Doel van de verwerking

1. De verwerker verbindt zich ertoe om namens de verwerkingsverantwoordelijke persoonsgegevens te verwerken onder de voorwaarden van deze verwerkersovereenkomst. Verwerking vindt uitsluitend plaats in het kader van de uitvoering van de overeenkomst, meer bepaald in het kader van de activiteit waarvoor deze verwerkersovereenkomst is opgesteld.

2. Verwerker zal de persoonsgegevens niet verwerken voor enig ander doel dan zoals bepaald door verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal verwerker informeren over de verwerkingsdoeleinden voor zover deze niet reeds in de verwerkersovereenkomst zijn vermeld.

1.1. De verwerker neemt geen zelfstandige beslissingen over de verwerking van de persoonsgegevens voor andere doeleinden, waaronder het verstrekken daarvan aan derden en de duur van de opslag van gegevens. De controle over persoonsgegevens of andere overeenkomsten tussen partijen, alsmede over de gegevens die verwerker in dat kader verwerkt, berust bij de verwerkingsverantwoordelijke. De persoonsgegevens die

namens de verwerkingsverantwoordelijke moeten worden verwerkt, blijven eigendom van de verwerkingsverantwoordelijke en/of de betrokkenen.

1.2. De verwerkingsverantwoordelijke garandeert dat de verwerking van persoonsgegevens als bedoeld in deze verwerkersovereenkomst niet onrechtmatig is.

Artikel 2. Verplichtingen van de verwerker

1.1. De verwerker staat in voor de naleving van de toepasselijke wet- en regelgeving op het gebied van de bescherming van persoonsgegevens zoals vastgelegd in de AVG.

1.2. Verwerker zal verwerkingsverantwoordelijke op eerste verzoek informeren over de maatregelen die hij heeft genomen met betrekking tot zijn verplichtingen uit hoofde van deze verwerkersovereenkomst en de AVG.

1.3. De verplichtingen van de verwerker gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van de verwerker, inclusief maar niet beperkt tot werknemers.

1.4. De verwerker verwerkt de persoonsgegevens op een behoorlijke en zorgvuldige wijze en zal geen back-ups van de persoonsgegevens maken.

1.5. De verwerking van gegevens door de verwerker zal nooit inhouden dat de databases van de verwerker worden verrijkt met de gegevens uit de datasets van de controller. De combinatie van gegevens afkomstig van de verwerkingsverantwoordelijke door verwerker is niet toegestaan.

1.6. Verwerker vrijwaart verwerkingsverantwoordelijke voor alle aanspraken en procedures van derden, waaronder expliciet toezichthoudende autoriteiten zoals de AVG en betrokkenen, op basis van of voortvloeiend uit een schending van de privacywet en/of deze verwerkersovereenkomst.

Artikel 3. Overdracht van persoonsgegevens

3.1. De verwerker kan persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.

4. Indien de Verwerker een overdracht van Gegevens buiten België wenst uit te voeren en deze overdracht niet gepland was op het moment dat de opdracht werd toevertrouwd, moet de verwerkingsverantwoordelijke telefonisch en per e-mail op de hoogte worden gebracht van de redenen voor de overdracht en de locatie van de overdracht. Het Bureau heeft het recht om binnen 72 uur na kennisgeving bezwaar te maken. In geen geval mag de Verwerker de Gegevens overdragen buiten de Europese Unie of naar een land zonder een passend beschermingsniveau

.

Artikel 4. Verdeling van de verantwoordelijkheid

4.1. De toegestane verwerkingen worden uitgevoerd in een semi-geautomatiseerde omgeving onder controle van de verwerker.

4.2. De verwerker is verantwoordelijk voor de verwerking van de persoonsgegevens onder deze overeenkomst, in overeenstemming met de instructies van de verwerkingsverantwoordelijke, ongeacht de wettelijke verantwoordelijkheid.

4.3. De verwerkingsverantwoordelijke is verantwoordelijk voor de eigen verwerking van persoonsgegevens waarbij de verwerker niet betrokken is.

Artikel 5. Het inschakelen van derden of onderaannemers (Subverwerkers)

5.1 In het kader van de overeenkomst mag verwerker geen gebruik maken van een derde, zonder voorafgaande toestemming van de verwerkingsverantwoordelijke, aan wie de toestemming aan nadere voorwaarden kan worden onderworpen.

5.2 Verwerker draagt er in ieder geval zorg voor dat deze derden schriftelijk dezelfde verplichtingen op zich nemen als tussen verwerkingsverantwoordelijke en verwerker zijn overeengekomen. De verwerker is verantwoordelijk voor de correcte nakoming van deze verplichtingen door deze derden en is aansprakelijk voor alle schade in geval van fouten van deze derden alsof hij de fout(en) zelf had begaan. De verwerkingsverantwoordelijke heeft het recht om de overeenkomsten die hierbij betrokken kunnen zijn, in te zien. De verwerker vrijwaart de verwerkingsverantwoordelijke voor dergelijke aanspraken.

Artikel 6 . Bewaartermijnen

6.1. De voor de verwerking verantwoordelijke stelt de verwerker in kennis van de termijnen die van toepassing zijn op de verwerking van persoonsgegevens door de verwerker.

6.2. Verwerker zal de persoonsgegevens niet langer bewaren en/of verwerken dan noodzakelijk is voor de doeleinden van deze verwerkersovereenkomst.

Artikel 7. Meldplicht

7.1. In geval van een inbreuk op de beveiliging en/of een datalek zal de verwerker de verwerkingsverantwoordelijke onmiddellijk, maar uiterlijk 24 uur na ontdekking van het lek, op de hoogte stellen, op basis waarvan de verwerkingsverantwoordelijke beoordeelt of hij de betrokkene(n) en/of de toezichthoudende autoriteit al dan niet zal informeren. De verwerker garandeert dat de verstrekte informatie volledig, juist en nauwkeurig is. De meldingsplicht geldt ongeacht de impact van de inbreuk.

7.2. Indien vereist door wet- en/of regelgeving, zal de verwerker meewerken aan het informeren van de relevante autoriteiten en/of betrokkenen.

7.3. De meldingsplicht omvat in ieder geval het melden van het feit dat er sprake is van een inbreuk en:

* Wat de (vermeende) oorzaak van de inbreuk is.

* Wat het (nog bekende en/of verwachte) gevolg is.

* Wat de (voorgestelde) oplossing is.

* Xxxxx rechten de betrokkene heeft.

* Contactgegevens voor de opvolging van de melding.

* Wie op de hoogte is gebracht (zoals de betrokkene, de verantwoordelijke persoon , toezichthoudende autoriteit).

* Welke maatregelen zijn er al genomen.

Artikel 8. Technische en organisatorische beveiliging

8.1.Verwerker neemt passende en toereikende technische en organisatorische maatregelen met betrekking tot de uit te voeren verwerking van persoonsgegevens om deze gegevens adequaat te beveiligen en te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik of verwerking (zoals ongeoorloofde toegang, aantasting, wijziging of verstrekking van de persoonsgegevens).

8.2.Verwerker heeft in ieder geval de volgende maatregelen genomen:

* Logische toegangscontrole, met behulp van wachtwoorden,

* fysieke maatregelen voor toegangsbeveiliging,

* automatische registratie van alle acties met betrekking tot de persoonsgegevens,

* versleuteling van digitale bestanden die persoonsgegevens bevatten,

* een brandwerende en inbraakwerende kluis voor het opslaan van fysieke persoonsgegevens,

* organisatorische maatregelen voor toegangsbeveiliging,

• het beveiligen van netwerkverbindingen via onder andere Secure Socket Layer (SSL) technologie of vergelijkbare technologie,

• doelgebonden toegangsbeperkingen,

• controle op de verleende bevoegdheden.

8.3 In aanvulling op het bepaalde in artikel 8.2. zal verwerker verwerkingsverantwoordelijke bijstaan bij het nemen van passende technische en organisatorische maatregelen.

Artikel 9. Het afhandelen van verzoeken van betrokkenen

9.1.Indien een betrokkene een verzoek tot inzage, correctie, aanvulling, wijziging of afscherming aan verwerker stuurt, zal verwerker dit verzoek in behandeling nemen indien het verzoek gericht is op de verwerking met betrekking tot de doeleinden van verwerker. In alle andere gevallen zal de verwerker het verzoek doorsturen naar de verwerkingsverantwoordelijke die het verzoek verder zal verwerken. De verwerker kan de betrokkene hierover informeren.

9.2. Indien een betrokkene een verzoek tot inzage stuurt naar verwerkingsverantwoordelijke, zal verwerker, indien verwerkingsverantwoordelijke daarom verzoekt, medewerking verlenen voor zover dit mogelijk en redelijk is.

Artikel 10. Controle en audit

10.1. Verwerkingsverantwoordelijke heeft het recht om minimaal één keer per jaar zelfstandig audits uit te (laten) voeren, dan wel te laten uitvoeren door een onafhankelijke derde die gebonden is aan geheimhouding teneinde de naleving van alle punten van deze verwerkersovereenkomst en alles wat daarmee samenhangt te controleren.

10.2.Deze audit kan in ieder geval plaatsvinden in geval van een concreet vermoeden van misbruik van persoonsgegevens door de verwerker.

10.3. Verwerker zal aan de audit meewerken en alle redelijkerwijs voor de audit relevante informatie zo spoedig mogelijk beschikbaar stellen.

10.4. De bevindingen die voortvloeien uit de uitgevoerde audit zullen door de partijen in onderling overleg worden beoordeeld en als gevolg daarvan worden beoordeeld of deze door een van de partijen of door beide partijen gezamenlijk zullen worden uitgevoerd.

10.5. De kosten van de audit komen voor rekening van verwerker indien blijkt dat werkzaamheden niet conform de verwerkersovereenkomst zijn uitgevoerd en/of er fouten in de bevindingen worden geconstateerd, die aan verwerker moeten worden toegerekend. In alle andere gevallen worden de kosten van de audit gedragen door de verantwoordelijke persoon.

Artikel 11. Verzekering en aansprakelijkheid

11.1. Verwerker heeft zijn aansprakelijkheid voortvloeiend uit of in verband met deze verwerkersovereenkomst en de overeenkomst adequaat verzekerd en zal die aansprakelijkheid verzekerd houden door middel van een beroepsaansprakelijkheidsverzekering gedurende de looptijd van die verzekeringen en gedurende ten minste 1 jaar na het einde daarvan door middel van een beroepsaansprakelijkheidsverzekering.

11.2. Op eerste verzoek van verwerkingsverantwoordelijke kan verwerker een kopie van de verzekeringspolis en verzekeringsvoorwaarden aan verwerkingsverantwoordelijke verstrekken.

11.3. De verwerker verklaart dat hij de verzekeringspremies tijdig heeft betaald en zal betalen en dat hij de verzekeraar tijdig op de hoogte stelt van elke claim van de verwerkingsverantwoordelijke of van elke omstandigheid die aanleiding zou kunnen geven tot het doen gelden van een claim.

11.4. Verwerker is aansprakelijk voor alle schade die verwerkingsverantwoordelijke lijdt als gevolg van enige toerekenbare tekortkoming in de nakoming van de verwerkersovereenkomst alsmede wegens een onrechtmatige daad van verwerker of enig ander handelen of nalaten van verwerker dat schade of nadeel toebrengt aan verwerkingsverantwoordelijke en vrijwaart verwerkingsverantwoordelijke voor alle aanspraken van derden ter zake.

Artikel 12. Duur en beëindiging

12.1.Deze verwerkersovereenkomst is tot stand gekomen tijdens de uitvoering van de hoofdovereenkomst

12.2. De verwerkersovereenkomst kan tussentijds niet worden opgezegd.

12.3. Deze verwerkersovereenkomst kan slechts schriftelijk worden gewijzigd of aangevuld door een door beide partijen opgesteld en ondertekend document door de bevoegde personen of diens gemachtigde vertegenwoordigers.

12.4.Verwerker zal alle medewerking verlenen aan het aanpassen van deze overeenkomst om deze geschikt te maken voor eventuele nieuwe privacywetgeving.

12.5. In geval van beëindiging, ontbinding of beëindiging van deze verwerkersovereenkomst, op verzoek, op welke grond of wijze dan ook, zal verwerker op eigen initiatief alle persoonsgegevens aan verwerkingsverantwoordelijke ter beschikking stellen op de wijze en in het formaat dat verwerkingsverantwoordelijke wenst, de verwerking van de persoonsgegevens onmiddellijk staken, alle documenten waarin de persoonsgegevens zijn vastgelegd ter beschikking stellen aan verwerkingsverantwoordelijke, en alle elektronisch opgeslagen persoonsgegevens permanent van de gegevensdrager verwijderen of, voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker bevestigt op eerste verzoek van verwerkingsverantwoordelijke schriftelijk aan verwerkingsverantwoordelijke dat verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.

12.6. Indien en voor zover verwerker aantoont dat dit noodzakelijk is in verband met de geldigheid van een eventuele wettelijke bewaartermijn of om aan verwerkingsverantwoordelijke te bewijzen dat hij aan zijn verplichtingen heeft voldaan, is verwerker, in afwijking van het bepaalde in artikel 11.5., gerechtigd een kopie te bewaren van de gegevens die betrekking hebben op de nakoming van zijn verplichtingen jegens verwerkingsverantwoordelijke voor die bewaartermijn en de periode waarover deze heeft voldaan dat moet bewijs hebben. Na het verstrijken van de hiervoor genoemde termijnen zal verwerker alsnog de betreffende gegevens vernietigen en de verwerkingsverantwoordelijke daarvan het bewijs leveren.

Artikel 13 Sanctiebepaling

13.1. Bij overtreding van deze verwerkersovereenkomst verbeurt verwerker een boete per overtreding en per dag dat de overtreding voortduurt aan verwerkingsverantwoordelijke. Onverminderd het recht van de verwerkingsverantwoordelijke om (volledige) schadevergoeding te vorderen. Het totale bedrag van de schadevergoedingen kan nooit hoger zijn dan de totale waarde van de Overeenkomst.

Artikel 14. Toepasselijk recht en geschillenbeslechting

14.1. Deze Overeenkomst zal worden geïnterpreteerd in overeenstemming met de Belgische wetgeving, zonder uitvoering te geven aan de collisieregels. Alle geschillen die ontstaan in verband met deze Verplichting zullen uitsluitend worden voorgelegd aan de rechtbanken van Brugge.

14.2. Logs, uitgevoerde metingen, auditrapporten en dergelijke door verwerkingsverantwoordelijke gelden als verplicht bewijs, tenzij door verwerker tegenbewijs moet worden geleverd.

Artikel 15. Persoonsgegevens

15.1 Wij verwerken uw contactgegevens (naam, e-mailadres) met het oog op het verstrekken van onze AVG

diensten.

Aldus overeengekomen;

De verwerkingsverantwoordelijke: De processor:

• Namens: Namens: DPO Associates bv

• Naam: Naam: Xxxxx Xxxxxx

• Functie: Functie: Manager / Externe adviseur

• Datum en plaats: Datum en plaats:

• Handtekening: Handtekening: