Verwerkersovereenkomst in het kader van registratie IN Amsterdam tussen Gemeente Haarlem
Verwerkersovereenkomst in het kader van registratie IN Amsterdam tussen Gemeente Haarlem
en
Gemeente Amsterdam
Bijlage bij Hoofdovereenkomst ‘Samenwerkingsovereenkomst IN Amsterdam’
d.d. datum tekening samenwerkingsovereenkomst
Verwerkersovereenkomst van de gemeente Amsterdam bij de Samenwerkingsovereenkomst IN Amsterdam (voorheen Expatcenter Amsterdam) conform de Algemene Verordening Gegevensbescherming (hierna de AVG)
De gemeente Haarlem gevestigd te Xxxxx Xxxxx 0 0000 XX Xxxxxxx, te dezer zake rechtsgeldig vertegenwoordigd door X. xxx xxx Xxxx, Afdelingsmanager KCC en Toezichthouder BRP.
En
De gemeente Amsterdam, gevestigd Xxxxxx 0 xx Xxxxxxxxx, verder te noemen Verwerker, ten deze rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxxx, directeur van Economische Zaken van de gemeente Amsterdam,
Hierna gezamenlijk te noemen: Partijen.
Overwegende dat:
• Verwerkingsverantwoordelijke met Verwerker op datum tekening samenwerkingsovereenkomst een Samenwerkingsovereenkomst met betrekking tot samenwerking tussen partijen in het kader van IN Amsterdam heeft gesloten, hierna: de Hoofdovereenkomst;
• Verwerker in het kader van de uitvoering van de Hoofdovereenkomst persoonsgegevens in de zin van artikel 4, onder 1, van de Algemene Verordening Gegevensbescherming (AVG) (EU 2016/679) verwerkt;
• het college van Burgemeester en Wethouders van de gemeente Amsterdam en/of de Burgemeester Verwerkingsverantwoordelijke is of zijn voor de verwerking van persoonsgegevens;
• de Manager KCC is namens Verwerkingsverantwoordelijke belast is met het beheer van de binnen de afdeling KCC, processtroom Administratie en Burgerzaken van de gemeente Haarlem verwerkte persoonsgegevens;
• Partijen ter voldoening aan de AVG (in aanvulling op de Hoofdovereenkomst beschreven afspraken) in deze Verwerkersovereenkomst afspraken over het verwerken van de persoonsgegevens door Xxxxxxxxx xxxxxx vast te leggen;
• Partijen overeenkomen om bij het verwerken van deze persoonsgegevens de hierna volgende bepalingen in acht te nemen:
KOMEN OVEREEN:
Artikel 1. Definities
1.1 Autoriteit persoonsgegevens: de Autoriteit als bedoeld in artikel 51 van de AVG.
1.2 Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
1.3 Verwerker: degene die ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.4 Bijlagen: aanhangsels bij deze overeenkomst, die onlosmakelijk deel uitmaken van deze overeenkomst.
1.5 Datalek: Een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4, onder 12, van de AVG. Een inbreuk in verband met persoonsgegevens is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.6 Derden: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om persoonsgegevens te verwerken.
1.7 Hoofdovereenkomst: de overeenkomst, waarin afspraken over de door Verwerker als opdrachtnemer te verrichten dienstverlening zijn gemaakt.
1.8 Normen en standaarden: de door Verwerkingsverantwoordelijke vastgestelde normen en standaarden ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door Verwerker zullen worden gevolgd als vastgelegd in de Hoofdovereenkomst of in een bijlage bij deze Verwerkersovereenkomst.
1.9 Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.
1.10 TPM: third party mededeling: een verklaring die afgegeven wordt door een onafhankelijke auditpartij over de kwaliteit van de ICT dienstverlening en beheersing van de organisatie.
1.11 Verwerkingsverantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
1.12 Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.
1.13 Verwerken/verwerking van persoonsgegevens: een verwerking of een geheel van verwerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Artikel 2. Onderwerp en duur van deze overeenkomst
2.1 Deze Verwerkersovereenkomst is een onlosmakelijk onderdeel van de Hoofdovereenkomst. Ingevolge de Xxxxxxxxxxxxxxxxx verricht Verwerker de navolgende dienstverlening:
a) De behandeling en beantwoording van vragen van internationaal talent dat zich wil vestigen in de gemeente Haarlem inzake de vestiging in de gemeente Haarlem (gemeentelijke functie), de 30% aanvraag (Belastingdienst functie), verblijfsrechtelijke kwesties (IND functie) en de administratieve taken die hiermee gepaard gaan. Onder de administratieve taken in het kader van de behandeling van formele aanvragen worden onder meer verstaan de inschrijving in de Basis Registratie Personen, de afgifte van het burger service nummer, en de afgifte van het verblijfsdocument.
b) Het bijhouden van een digitale desk waartoe internationaal talent zich kan wenden voor algemene informatie met betrekking tot vestiging (xxx.xxxxxxxxxxx.xxx, xxx.xxxxxxxxxx.xxx/xx/xxxxx);
c) De coördinatie en de planning van het klantenproces;
d) Het bijhouden in het klantencontact-systeem waarin wordt geadministreerd het aantal internationale talenten dat IN Amsterdam bezoekt, de reden van hun bezoek en de gemeente waarin zij hebben gevestigd en het ieder kwartaal geanonimiseerd genereren en toezenden van overzichten van deze gegevens (managementinformatie) naar de gemeente Haarlem;
e) Het verzorgen van het secretariaat en voorzitterschap van de Stuurgroep en van de Operationele groep. E.e.a. zoals nader omschreven in de Hoofdovereenkomst: Samenwerkingsovereenkomst IN Amsterdam d.d. datum tekening samenwerkingsovereenkomst.
2.2 Deze Verwerkersovereenkomst heeft als doel dat Partijen voldoen aan de verplichtingen die voortvloeien uit de AVG, waaronder de verplichting van Verwerkingsverantwoordelijke om zorg te dragen dat Verwerker voldoende garanties biedt met betrekking tot het toepassen van passende technische- en organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van betrokkenen is gewaarborgd.
2.3 Deze Verwerkersovereenkomst gaat in op het moment van ondertekening. Pas nadat Xxxxxxxxx naar het oordeel van Verwerkingsverantwoordelijke genoegzaam heeft aangetoond, dat hij heeft voldaan aan de verplichtingen als omschreven in de artikelen
3.12 tot en met 3.14 van deze Verwerkersovereenkomst (vernietigen/ overdragen van persoonsgegevens aan Verwerkingsverantwoordelijke), eindigt deze Verwerkersovereenkomst.
2.4 Verplichtingen die naar hun aard bestemd zijn om ook na de beëindiging van deze Verwerkersovereenkomst voort te duren, blijven gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, aansprakelijkheid, boete en toepasselijk recht.
2.5 De navolgende Bijlagen maken onlosmakelijk deel uit van deze Verwerkersovereenkomst:
Bijlage I Omschrijving van te verwerken persoonsgegevens (dataset) en de werkzaamheden van de verwerker.
Bijlage II De door Verwerker te implementeren technische beveiligingsnormen en standaarden van Verwerkingsverantwoordelijke en de te nemen organisatorische maatregelen.
Bijlage III Inlichtingen om (mogelijke) Datalekken te beoordelen. Bijlage IV Register (indien van toepassing).
Artikel 3. Verplichtingen Verwerker
3.1 Verwerker is verplicht te voldoen aan de verplichtingen zoals deze zijn neergelegd in de AVG. Meer specifiek verbindt Verwerker zich om alle persoonsgegevens die hij in het kader van de te verzorgen dienstverlening voor Verwerkingsverantwoordelijke verwerkt, zoals nader omschreven in Bijlage I, behoorlijk en zorgvuldig te verwerken. Het is Verwerker niet toegestaan om andere dan de in Bijlage I omschreven handelingen met persoonsgegevens uit te voeren. Verwerker is tevens verplicht om het register van verwerkingsactiviteiten als bedoeld in artikel 30, tweede lid, van de AVG bij te houden.
3.2 Verwerker verbindt zich om alle organisatorische maatregelen te nemen die Verwerkingsverantwoordelijke van een professioneel Verwerker van persoonsgegevens mag verwachten, waaronder de maatregelen zoals omschreven in Bijlage II.
3.3 Verwerker verwerkt de persoonsgegevens slechts in opdracht en ten behoeve van Verwerkingsverantwoordelijke. De verwerking geschiedt in overeenstemming met de instructies en aanwijzingen van Verwerkingsverantwoordelijke en in overeenstemming met de toepasselijke wet- en regelgeving.
3.4 Verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens die aan Verwerker zijn verstrekt of hem ter beschikking gekomen, komt niet bij Verwerker te rusten.
3.5 Verwerker is verplicht volledige medewerking te verlenen aan een door de Verwerkingsverantwoordelijke uit te voeren gegevensbeschermingseffectbeoordeling.
Datalekken
3.6 Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk - uiterlijk binnen 24 uur - na het ontdekken van een (mogelijk) Datalek op de hoogte door het telefonisch informeren én het sturen van een emailbericht
In de melding vermeldt Verwerker:
• naam van organisatie en contactpersoon,
• telefoonnummer,
• dag en tijdstip waarop een (mogelijk) Datalek is geconstateerd,
• het organisatieonderdeel (inclusief contactpersoon) van de gemeente voor wie de persoonsgegevens verwerkt worden,
• de aard van de inbreuk en de betrokken persoonsgegevens,
• de mogelijke gevolgen en
• de maatregelen die (kunnen) worden genomen.
Binnen 24 uur wordt ook een SMS-bericht verzonden aan de Functionaris voor de Gegevensbescherming (FG) van de gemeente Haarlem met vermelding van e-mail en contactgegevens van de melder of wordt telefonisch contact opgenomen met de FG.
3.7 Verwerker zal het doen van meldingen aan de toezichthouder overlaten aan de Verwerkingsverantwoordelijke. Het is Verwerker niet toegestaan om namens Verwerkingsverantwoordelijke een melding bij de Autoriteit persoonsgegevens te doen van een Datalek.
3.8 Verwerker stelt Verwerkingsverantwoordelijke in staat om aan de wettelijke verplichtingen inzake de melding van een Datalek bij de Autoriteit persoonsgegevens te voldoen. Meer specifiek rusten op Verwerker ingeval van een mogelijk Datalek de navolgende verplichtingen:
a) Verwerker legt alle benodigde gegevens voor de beoordeling van het (mogelijke) Datalek aan Verwerkingsverantwoordelijke over. Daarbij verschaft verwerker in ieder geval de informatie aan de Verwerkingsverantwoordelijke zoals omschreven in bijlage III;
b) Verwerker houdt Verwerkingsverantwoordelijke op de hoogte van de voortgang van het intern onderzoek en de ontwikkelingen rondom het (mogelijke) Datalek;
c) Verwerker verleent de volledige medewerking indien Verwerkingsverantwoordelijke zelf onderzoek naar het (mogelijke) Datalek uitvoert;
d) Verwerker stelt Verwerkingsverantwoordelijke op de hoogte van de maatregelen die hij treft om de gevolgen van het (mogelijke) Datalek te beperken en om een herhaling te voorkomen;
e) Verwerker verleent alle medewerking zodat Verwerkingsverantwoordelijke in staat is om, waar van toepassing, Betrokkene(n) in kennis te stellen;
f) Verwerker volgt de instructies van Verwerkingsverantwoordelijke op;
g) Verwerker voldoet aan de bindende aanwijzing van Autoriteit persoonsgegevens, ook indien deze aan Verwerkingsverantwoordelijke wordt gegeven.
3.9 Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van (mogelijke) Datalekken en zal Verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan. Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van de materiële wijzigingen in het plan van aanpak.
3.10 Verwerker houdt een gedetailleerd logboek bij van (mogelijke) Datalekken, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie als bedoeld in bijlage III is opgenomen, en geeft daar op eerste verzoek van Verwerkingsverantwoordelijke inzage in.
Gegevens ter beschikking stellen van Verwerkingsverantwoordelijke
3.11 Verwerker stelt op schriftelijk verzoek van Verwerkingsverantwoordelijke aan hem onmiddellijk alle persoonsgegevens ter hand die in het kader van deze Verwerkersovereenkomst worden verwerkt. Hieronder worden mede begrepen kopieën en verwerkingen van persoonsgegevens. Een dergelijk verzoek kan door Verwerkingsverantwoordelijke worden gedaan gedurende de looptijd van de Verwerkersovereenkomst en op het moment dat de Hoofdovereenkomst wordt beëindigd. De Verwerkingsverantwoordelijke kan zo nodig eisen stellen aan de wijze van beschikbaarstelling van de persoonsgegevens, waaronder begrepen de eisen aan het bestandsformaat.
3.12 Verwerker zal te allen tijde bij de hiervoor beschreven overdracht van persoonsgegevens waarborgen dat er geen sprake is van verlies van functionaliteit of (delen van de persoonsgegevens). De overdracht vindt verder op een zodanige wijze plaats dat de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van Verwerker wordt belemmerd. Verwerker is gehouden de na overdracht achtergebleven kopieën te vernietigen.
3.13 Van de overdracht en de gevraagde vernietiging wordt door Xxxxxxxxx een verslag gemaakt. Verwerkingsverantwoordelijke kan van de vernietiging een bewijs verlangen. De kosten van overdracht en vernietiging komen voor rekening van Verwerkingsverantwoordelijke.
3.14 Het is Verwerker niet toegestaan persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij dit geschiedt op schriftelijk verzoek van Verwerkingsverantwoordelijke of met diens schriftelijke toestemming. Verwerker is in dat geval verplicht schriftelijk te bevestigen dat een verstrekking heeft plaatsgevonden, waarbij hij de verstrekte persoonsgegevens, de Betrokkene(n), de Ontvanger(s) en het moment van verstrekking dient te beschrijven.
Artikel 4. Rechten van Betrokkenen
4.1 Verwerker stelt Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG en meer in het bijzonder de rechten van Betrokkenen.
4.2 Verwerker zal daartoe op verzoek van Verwerkingsverantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen zeven werkdagen nadat het verzoek is gedaan aan Verwerkingsverantwoordelijke schriftelijk alle informatie verstrekken die Verwerkingsverantwoordelijke nodig heeft om te kunnen voldoen aan de in artikelen 12 tot en met 14 van de AVG vervatte mededelingsplicht.
4.3 Verwerker zal tevens op verzoek van Verwerkingsverantwoordelijke persoonsgegevens rectificeren, wissen of overgaan tot een beperking van de verwerking daarvan. Verwerker zal aan dit verzoek voldoen binnen vijf werkdagen nadat het verzoek door Verwerkingsverantwoordelijke is gedaan.
Artikel 5. Geheimhoudingsplicht
5.1 Personen in dienst van, dan wel werkzaam ten behoeve van Verwerker, evenals Xxxxxxxxx zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis hebben kunnen nemen, tenzij een wettelijk voorschrift tot verstrekking verplicht. De medewerkers van Verwerker en van eventuele subverwerkers die door Verwerker worden ingeschakeld - die uit de aard van hun functie over de persoonsgegevens kunnen beschikken - tekenen hiertoe een geheimhoudingsverklaring.
Artikel 6. Beveiligingsmaatregelen
6.1 Verwerker neemt alle passende technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens die voor Verwerkingsverantwoordelijke worden verwerkt te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. Voor “passende technische en organisatorische maatregen” en “een passend beveiligingsniveau” handelt Verwerker minimaal conform het richtsnoer/de beleidsregels “beveiliging van de persoonsgegevens” van de Autoriteit Persoonsgegevens (1 maart 2013) en de Baseline Informatievoorziening Gemeenten. Verwerker is voorts gehouden tot naleving van de beveiligingsnormen en standaarden van Verwerkingsverantwoordelijke, zoals beschreven in Bijlage II. Verwerker neemt steeds alle maatregelen die Verwerkingsverantwoordelijke van een professioneel handelend Verwerker van persoonsgegevens mag verwachten en zal de benodigde maatregelen treffen naar aanleiding van de plan-do-check-act-cyclus.
6.2 Verwerkingsverantwoordelijke behoudt zich het recht voor om de Informatie- beveiligingsdienst voor gemeenten (IBD) dan wel een andere derden in te schakelen voor ondersteuning en advisering met betrekking tot in het kader van audits aangetroffen bevindingen. Verwerker stemt hiermee in.
Artikel 7. Inschakeling subverwerkers
7.1 Verwerker is slechts gerechtigd de verwerking van persoonsgegevens geheel of ten dele uit te besteden aan de subverwerkers na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
7.2 Verwerkingsverantwoordelijke kan aan de toestemming voorwaarden verbinden die dienen ter naleving van de verplichtingen uit deze Verwerkersovereenkomst. Verwerker dient in ieder geval contractueel verzekerd te hebben dat de subverwerker gehouden is
aan de verplichtingen die deze Verwerkersovereenkomst aan Verwerker oplegt. Verwerkingsverantwoordelijke dient in staat te worden gesteld toe te zien op de naleving van de afspraken van de subverwerker met Verwerker. Verwerker garandeert dat deze subverwerker schriftelijk minimaal dezelfde plichten heeft als tussen de Verwerkingsverantwoordelijke en de Verwerker zijn overeengekomen en zal de Verwerkingsverantwoordelijke inzage verschaffen in de overeenkomsten met deze derden, waarin deze verplichten zijn opgenomen.
7.3 Verwerker blijft, bij inschakeling van subverwerkers, te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit de Hoofdovereenkomst en deze Verwerkersovereenkomst. Wanneer de subverwerker zijn verplichtingen niet nakomt, blijft Verwerker ten aanzien van Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen door de subverwerker.
7.4 De Verwerker houdt een actueel register bij van de door hem ingeschakelde subverwerkers en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van deze subverwerkers zijn opgenomen, alsmede eventuele door de Verwerkingsverantwoordelijke gestelde aanvullende voorwaarden. Dit register zal als bijlage IV aan deze verwerkingsovereenkomst worden toegevoegd.
Artikel 8. Doorgifte
8.1 Verwerker is gehouden de persoonsgegevens te verwerken in landen binnen de EU. Het is Verwerker verboden de persoonsgegevens door te geven, waaronder ter beschikking stellen, aan organisaties die gevestigd zijn buiten de Europese Unie en Internationale Organisaties, tenzij op uitdrukkelijke instructie van de Verwerkingsverantwoordelijke.
8.2 Indien Verwerker op grond van een in Nederland en/of in de Europese Unie (EU) geldende wettelijke verplichting gegevens aan enige derde dient te verstrekken, zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker onmiddellijk, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren, tenzij de wet dit verbiedt om gewichtige redenen van algemeen belang.
Artikel 9. Audit op verwerking van persoonsgegevens
9.1 Verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te doen controleren door middel van een audit. Verwerker is verplicht Verwerkingsverantwoordelijke of de - in opdracht van Verwerkingsverantwoordelijke - controlerende instantie toe te laten en alle medewerking te verlenen, waaronder het verlenen van de verlangde informatie, zodat de controle daadwerkelijk uitgevoerd kan worden. De met de audit gemoeide kosten zijn voor rekening van Verwerker indien er niet conform de verwerkersovereenkomst blijkt te zijn gewerkt, en/of er fouten worden gevonden in de bevindingen, die toegerekend moeten worden aan Verwerker. In ieder ander geval zullen de kosten van de audit worden gedragen door Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Verwerker.
9.2 Verwerker garandeert de aanbevelingen die voortvloeien uit een audit binnen de daartoe door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Artikel 10. Wijziging overeenkomst
10.1 Verwerkingsverantwoordelijke en Verwerker treden met elkaar in overleg over wijzigingen in deze Verwerkersovereenkomst als een wijziging in regelgeving, een wijziging in de uitleg van de regelgeving of overige urgente redenen die van directe invloed zijn op de verwerking van de persoonsgegevens van Betrokkenen daartoe aanleiding geven.
10.2 Wijziging van deze Verwerkersovereenkomst kan slechts als beide partijen een daartoe opgesteld document ondertekenen en deze als bijlage opnemen bij deze Verwerkersovereenkomst.
Artikel 11. Aansprakelijkheid en boetebepaling
11.1 Indien Verwerker tekortschiet in de nakoming van de verplichtingen uit deze overeenkomst kan Verwerkingsverantwoordelijke hem in gebreke stellen. Ingebrekestelling geschiedt schriftelijk, waarbij aan Verwerker een redelijke termijn wordt gegund om alsnog zijn verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim. Verwerker is onmiddellijk in verzuim als de nakoming van desbetreffende verplichting anders dan door overmacht zoals gedefinieerd in de Hoofdovereenkomst binnen de overeengekomen termijn reeds blijvend onmogelijk is.
11.2 Verwerker is aansprakelijk voor alle schade of nadeel voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de AVG gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde, onverminderd de aanspraken op grond van wettelijke regels. Verwerker is aansprakelijk voor schade of nadeel voor zover ontstaan door zijn werkzaamheid, daaronder begrepen ontstane inbreuken op de persoonlijke levenssfeer van Betrokkenen. De aansprakelijkheid van Verwerker is, tenzij sprake is van opzet of bewuste roekeloosheid, beperkt tot het in de Hoofdovereenkomst overeengekomen bedrag.
11.3. Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen, in verband met het handelen van Verwerker in strijd met de Verwerkersovereenkomst, de AVG en/of andere regelgeving waarin eisen aan het verwerken van persoonsgegevens worden gesteld. Verwerker zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van de gemeente vergoeden.
11.4 Indien Verwerker enige in deze Verwerkersovereenkomst neergelegde verplichtingen niet of niet-tijdig nakomt en de Autoriteit Persoonsgegevens Verwerkingsverantwoordelijke dientengevolge een bestuurlijke boete oplegt, is Verwerker aansprakelijk en zal Verwerkingsverantwoordelijke een contractuele boete ter hoogte van hetzelfde bedrag opleggen aan Verwerker. Deze boete is zonder rechterlijke tussenkomst, ingebrekestelling of aanmaning direct opeisbaar. Deze boete is niet vatbaar voor verrekening. Oplegging van deze boete laat alle andere rechten of vorderingen van Verwerkingsverantwoordelijke (inclusief o.a. het recht op nakoming, schadevergoeding) onverlet.
11.5 Indien Verwerker enige in artikel 5 (Geheimhoudingsplicht) of artikel 7 (inschakeling subverwerkers) van deze Verwerkersovereenkomst genoemde verplichting niet of niet- tijdig nakomt, is Xxxxxxxxx een boete verschuldigd van € 25.000,- per gebeurtenis. De boete is zonder rechterlijke tussenkomst, ingebrekestelling of aanmaning direct opeisbaar. De boete is niet vatbaar voor verrekening. De boete laat alle andere rechten of vorderingen, waaronder, doch niet uitsluitend, de vordering van Verwerkingsverantwoordelijke tot nakoming en het recht op schadevergoeding onverlet.
Artikel 12. Toepasselijk recht
12.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Partijen zullen trachten geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst eerst minnelijk op te lossen. Indien het geschil niet minnelijk wordt opgelost, wordt het geschil voorgelegd aan de bevoegde rechter te Amsterdam.
Aldus in tweevoud opgesteld en getekend op datum:
Namens Verwerkingsverantwoordelijke:
X. xxx xxx Xxxx,
Afdelingsmanager KCC van de gemeente Haarlem,
Namens Verwerker:
de xxxx X. Xxxxxx,
directeur Economische Zaken van de gemeente Amsterdam,
Bijlagen
I Omschrijving van te verwerken persoonsgegevens (dataset) en de werkzaamheden van de Verwerker.
II De technische beveiligingsnormen en standaards van Verwerkingsverantwoordelijke, en de te nemen organisatorische maatregelen
III Inlichtingen om (mogelijke) Datelekken te beoordelen IV Lijst van subverwerkers (indien van toepassing)
Bijlage I:
Omschrijving van te verwerken persoonsgegevens (dataset) en de werkzaamheden van de Verwerker (als bedoeld in artikel 3.1 van de Verwerkersovereenkomst)
1. De werkzaamheden van Verwerker (de verleende diensten en de bijbehorende verwerking).
Inhoudelijke werkzaamheden die namens de Verwerkingsverantwoordelijke gemeente door Verwerker worden uitgevoerd:
• Vaststellen of sprake is van een natuurlijk persoon;
• Beoordelen brondocumenten (geboorteaktes e.d.);
• Burger Service Nummer (BSN) afgeven, indien dit schriftelijk is overeengekomen met de Verwerkingsverantwoordelijke gemeente;
e.e.a. zoals nader omschreven en voortvloeit uit de Samenwerkingsovereenkomst IN Amsterdam .
2. Omschrijving van de werkzaamheden van de derden (subverwerkers) als deze er zijn, als bedoeld in artikel 8 van de Verwerkersovereenkomst.
Lijstje opnemen met werkzaamheden die veel voorkomen zoals:
• IND (Immigratie- en NaturalisatieDienst)
- raadpleeg- en invoerfunctie SuperOffice i.v.m. soepele en servicegerichte afgifte van het verblijfsdocument door IN Amsterdam. IND geeft aan of verblijfsdocument is afgegeven.
• Externe deskundigen/wetenschappers.
- In voorkomende gevallen worden brondocumenten bij twijfel door een externe deskundige beoordeeld. Dit gebeurt incidenteel, bij brondocumenten van mensen uit risicolanden in m.n. Afrika.
• Bosworx:
- hosting SuperOffice Web IN Amsterdam;
- dagelijks technisch beheer, alsmede het verhelpen van incidenten en updates
t.b.v. de continuïteit van SuperOffice Web voor IN Amsterdam.
• Forward Business Solutions Operationele ondersteuning (beheer en nazorg);
- Functioneel beheer (het invoeren van door IN Amsterdam gewenste wijzigingen), gebruikersondersteuning en technische coördinatie;
De diensten van de overeenkomst d.d. 7 februari 2017 worden door Forward Business Solutions Support BV in samenwerking met c-tse en Studio Novo uitgevoerd. Alle regie, coördinatie en communicatie verloopt via FWBS.
3. Categorieën personen/betrokkenen en soorten persoonsgegevens
Personen/ betrokkenen Internationaal talent / internationale talenten: hoogopgeleide kennismigranten, wetenschappelijke onderzoekers, buitenlandse startende innovatieve ondernemers en internationale studenten die zich oriënteren op de Nederlandse arbeidsmarkt en die met hun kennis, ervaring en netwerken de economische positie versterken van de gemeente Haarlem, de gemeente Amsterdam en van de Metropoolregio Amsterdam, in deze overeenkomst ook de betrokkene van wie persoonsgegevens worden verwerkt
Categorie persoonsgegevens
- Basisregistratie Personen (BRP)gegevens
- Burger Service Nummer (BSN)
- Vreemdelingennummer (V-nummer)
- Brondocumenten (geboorteaktes, trouwaktes e.d.)
- Kopie ID
- Nationaliteit
Er is bij de verwerkte gegevens sprake van gegevens van gevoelige aard als bedoeld in de beleidsregels datalekken van de AP:
- BSN
- Gegevens die kunnen worden misbruikt voor (identiteits)fraude. Het gaat hierbij om kopieën van identiteitsbewijzen en om het Burgerservicenummer (BSN).
Er is sprake van de verwerking van gegevens over kwetsbare groepen, namelijk:
- minderjarigen; kinderen van internationale talenten.
Bijlage II: Beschrijving beveiligingsmaatregelen ter uitwerking van artikel 3.2, en artikel 6.1, van deze Verwerkersovereenkomst en de te nemen organisatorische maatregelen.
1. Normenstelsel
a. De informatiebeveiliging vindt plaats volgens de Baseline Informatiebeveiliging Gemeenten.
2. De toereikendheid van de informatiebeveiliging blijkt uit (cumulatief):
a. Verwerker is ISO 27001 gecertificeerd;
b. Verwerker toont zelf aan dat hij aan de eisen uit de Baseline Informatiebeveiliging Gemeenten (BIG) voldoet (door een GAP analyse);
c. Verwerker levert jaarlijks een audit rapport ISAE 3402 type 2 dan wel TPM, waarmee een onafhankelijke externe auditor rapporteert over de opzet, bestaan en werking van beheersmaatregelen;
d. Verwerkingsverantwoordelijke ontvangt jaarlijks dit rapport en heeft een right-to audit om eventueel aanvullend te toetsen; en,
e. De Verwerker hanteert een integriteitscode dan wel een interne gedragscode voor zijn medewerkers waaruit blijkt dat de medewerkers en door de Verwerker ingeschakelde derden de vertrouwelijkheid in acht nemen. (artikel 28 lid 3 in de AVG: verwerker moet bewijsbaar integere medewerkers in dienst hebben).
3. Organisatorische maatregelen
- Vernietiging van persoonsgegevens
- Verwerker vernietigt de digitale persoonsgegevens één jaar na het versturen van het zgn. “vrije bericht” via GemNet met daarin de status van de inschrijving BRP, het verkrijgen van een BSN en/of afgifte van een verblijfsdocument.
Bijlage III: Inlichtingen om (mogelijke) Datalekken te beoordelen te uitwerking van art. 3.7, onder a, van de Verwerkersovereenkomst.
Verwerker zal alle inlichtingen verschaffen die Verwerkingsverantwoordelijke noodzakelijk acht om het (mogelijke) Datalek (hierna: de inbreuk) te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan Verwerkingsverantwoordelijke:
- wat de (vermeende) oorzaak is van de inbreuk;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- contactgegevens voor de opvolging van de melding;
- aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
- het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
- de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
- de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
- of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
- wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de
- gevolgen van de inbreuk te beperken.
Bijlage IV: Omschrijving werkzaamheden ter uitwerking van artikel 7.4, van deze Verwerkersovereenkomst
Verwerker maakt bij de uitvoering van de verwerkersovereenkomst gebruik van de subverwerkers die in deze bijlage zijn vermeld. De Verwerker zal deze bijlage conform artikel 7.4 van deze Verwerkersovereenkomst bijwerken indien er wijzigingen plaatsvinden in de ingeschakelde subverwerkers en deze lijst onverwijld ter beschikking stellen aan de Verwerkingsverantwoordelijke.
Partij 1: | Forward Business Solutions |
Vestigingsplaats: | Heerhugowaard |
Inschrijvingsnummer handelsregister: | KVK 60727632 |
Beschrijving van de werkzaamheden: | - Operationele ondersteuning (beheer en nazorg); - Functioneel beheer (het invoeren van door Expatcenter gewenste wijzigingen), gebruikersondersteuning en technische coördinatie; De diensten van de overeenkomst d.d. 7 februari 2017 worden door Forward Business Solutions Support BV in samenwerking met c- tse en Studio Novo uitgevoerd. Alle regie, coördinatie en communicatie verloopt via FWBS. |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Conform verwerkersovereenkomst |
Partij 2: | Bosworx |
Vestigingsplaats: | Apeldoorn |
Inschrijvingsnummer handelsregister: | KvK 08145227 |
Beschrijving van de werkzaamheden: | - Hosting van SuperOffice Web IN Amsterdam - dagelijks technisch beheer, - alsmede het verhelpen van incidenten en updates t.b.v. de continuïteit van SuperOffice Web voor IN Amsterdam |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Conform verwerkersovereenkomst |