Verwerkersovereenkomst DataverseNL
Verwerkersovereenkomst DataverseNL
Partijen
1. [Naam Verwerkingsverantwoordelijke], gevestigd aan de/het [ADRES] te [PLAATS], Kamer van Koophandel nummer [KvK-nummer] en rechtsgeldig vertegenwoordigd door [VERTEGENWOORDIGER] (hierna:
‘Verwerkingsverantwoordelijke’);
en
2. Koninklijke Nederlandse Akademie van Wetenschappen, gevestigd aan de Xxxxxxxxxxxxxxxxx 00 xx Xxxxxxxxx, Kamer van Koophandel nummer 54667089, handelend ten behoeve van DANS en rechtsgeldig vertegenwoordigd door H.P.A. Xxxx (hierna: ‘Verwerker’);
Hierna gezamenlijk aangeduid als ‘Partijen’,
In aanmerking nemende dat
A) Verwerker met Verwerkingsverantwoordelijke een overeenkomst heeft gesloten met betrekking tot het verlenen van diensten ten behoeve van Verwerkingsverantwoordelijke, bestaande uit de back-office diensten inzake DataverseNL, met als ingangsdatum [DATUM], vastgelegd in de
‘Samenwerkingsovereenkomst DataverseNL’ (hierna: de Xxxxxxxxxxxxxxxxx).
B) Verwerker bij het uitvoeren van de werkzaamheden voortvloeiende uit de Hoofdovereenkomst Persoonsgegevens zal verwerken, zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna ook “AVG”);
C) Partijen nadere afspraken wensen te maken over de wijze waarop de Persoonsgegevens verwerkt zullen mogen worden en welke maatregelen Verwerker zal nemen ten behoeve van het beschermen van deze Persoonsgegevens, mede gelet op de verplichtingen van beide partijen voortvloeiende uit de Algemene Verordening Gegevensbescherming;
D)Partijen de gemaakte afspraken, mede gelet op het vereiste uit artikel 28 Algemene Verordening Gegevensbescherming, in deze overeenkomst
schriftelijk wensen vast te leggen (hierna: de “Verwerkersovereenkomst”).
Komen het volgende overeen:
Artikel 1 Definities
a. Autoriteit Persoonsgegevens: een onafhankelijke organisatie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van Persoonsgegevens en adviseert over nieuwe regelgeving;
b. AVG: Algemene Verordening Gegevensbescherming (Verordening (EU) 2017/679 van het Europees Parlement en de Raad van 27 april 2016;
c. Betrokkene: natuurlijk persoon op wie een Persoonsgegeven betrekking heeft als bedoeld in artikel 4 onder 1 AVG;
d. Datalek: inbreuk op de beveiliging als bedoeld in artikel 33 AVG;
e. Derde: ieder, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om de Persoonsgegevens te verwerken, als bedoeld in artikel 4 onder 10 AVG;
f. Hoofdovereenkomst: de overeenkomst zoals omschreven onder overweging A;
g. Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens als bedoeld in artikel 4 onder 12 AVG;
h. Opdracht: de Opdracht die is omschreven in artikel 2 lid 3 van deze Verwerkersovereenkomst en die wordt uitgevoerd door de Verwerker in opdracht van de Verwerkingsverantwoordelijke;
i. Persoonsgegeven(s): alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, als bedoeld in artikel 4 onder 1 AVG;
j. Sub-Verwerker: degene die in opdracht van de Verwerker Persoonsgegevens verwerkt ten behoeve van de Opdracht voor de Verwerkingsverantwoordelijke;
k. Verwerking: een verwerking of een geheel van verwerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, als bedoeld in artikel 4 onder 2 AVG;
l. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen als bedoeld in artikel 4 onder 8 AVG (als opgenomen onder partijen sub 2);
m. Verwerkersovereenkomst: de onderhavige overeenkomst, behorende bij de Hoofdovereenkomst;
n. Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt, als bedoeld in artikel 4 onder 7 AVG (als opgenomen onder partijen sub 1).
Artikel 2 Algemeen
1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens te verwerken.
2 De bepalingen uit deze Verwerkersovereenkomst gelden voor alle verwerkingen die plaatsvinden ter uitvoering van de Hoofdovereenkomst.
3 Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
4 Verwerking van Persoonsgegevens door Verwerker zal uitsluitend plaatsvinden voor zover noodzakelijk en in het kader van de uit te voeren Opdracht volgend uit de Hoofdovereenkomst.
5 Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke verleent Verwerker aan Derden, waaronder groepsmaatschappijen waartoe Verwerker behoort, zoals dochter- of zustermaatschappijen, geen toegang tot de Persoonsgegevens.
6 a. In Bijlage A dienen de volgende onderdelen te zijn opgenomen en omschreven:
- De Persoonsgegevens die verwerkt mogen worden ten behoeve van de uitvoering van de Opdracht;
- De bewaartermijn van de Persoonsgegevens;
- Welke Verwerkingen zijn toegestaan;
- Overzicht met de categorie(ën) Betrokkenen;
- Beschrijving van de beveiligingsmaatregelen die de Verwerker in ieder geval zal toepassen;
- Overzicht met de ontvanger(s) van Persoonsgegevens.
b. De risicocategorieën dienen in Bijlage A per soort Persoonsgegeven te zijn omschreven.
c. Indien binnen de (hoofd)Opdracht sprake is van meerdere (deel)Opdrachten dienen per (deel)Opdracht de gegevens genoemd in sub a van dit artikel te worden opgenomen in Bijlage A.
7 Voor de uitvoering van de Opdracht kunnen uitsluitend de Persoonsgegevens worden verwerkt, die voor het door Verwerkingsverantwoordelijke vastgestelde doel noodzakelijk zijn. Verwerkingsverantwoordelijke bepaalt welke gegevens dat zijn en draagt zorg dat de betreffende Persoonsgegevens juist, toereikend en niet bovenmatig zijn conform artikel 5 AVG.
8 De verwerkingen van Persoonsgegevens vallen overeenkomstig artikel 3 AVG niet buiten de territoriale werkingssfeer van de AVG.
9 Indien Verwerker in strijd met de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Verwerker voor die Verwerkingen als Verwerkingsverantwoordelijke beschouwd.
Artikel 3 Informatieplicht
1 Verwerker informeert Verwerkingsverantwoordelijke over toekomstige wijzigingen in de uitvoering van de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met de Verwerker. Hieronder wordt mede begrepen de inschakeling van Sub- Verwerkers.
2 Verwerker informeert Verwerkingsverantwoordelijke onverwijld over vragen of klachten van Xxxxxxxxxx(n).
3 Verwerker zal Verwerkingsverantwoordelijke informeren indien deze een instructie van Verwerkingsverantwoordelijke heeft ontvangen die strijdig is met de AVG of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
4 Verwerker brengt Verwerkingsverantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet aan de Verwerkersovereenkomst kan voldoen.
Artikel 4 Verplichtingen voor de Verwerker
1 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is:
a. Voor de uitvoering van deze Verwerkersovereenkomst of
b. Om een op hem rustende wettelijke verplichting na te komen.
2 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker verschaft toegang aan haar medewerkers voor zover dat noodzakelijk is ter uitvoering van deze Verwerkersovereenkomst en de Hoofdovereenkomst.
3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens Verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers en ingeschakelde derden, in de ruimste zin van het woord.
4 Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van Derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden
verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen.
5 Verwerker houdt een register bij van Verwerkingen.
6 Verwerker dient zijn medewerking te verlenen aan de functionaris voor de gegevensbescherming, aangewezen door de Verwerkingsverantwoordelijke (als bedoeld in 37 AVG) op het moment dat deze die nodig heeft bij het vervullen van zijn functie.
Artikel 5 Verplichtingen voor de Verwerkingsverantwoordelijke
1 Verwerkingsverantwoordelijke ziet toe op een rechtmatige grondslag voor de Verwerking van Persoonsgegevens, als bedoeld in artikel 6 van de AVG.
Artikel 6 Inzet van Sub-Verwerkers
1 Verwerkingsverantwoordelijke geeft Xxxxxxxxx toestemming voor het inzetten van Sub-Verwerkers, Verwerker licht de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake toevoeging of vervanging van Sub-verwerkers.
2 Verwerker dient dezelfde afspraken met Sub-Verwerkers te maken als de afspraken die tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen in de Verwerkersovereenkomst.
Xxxxxxxxx stelt een schriftelijke overeenkomst op met de desbetreffende Sub- Verwerker met minimaal de volgende verplichtingen voor Sub-Verwerker:
a) Te handelen overeenkomstig deze Verwerkersovereenkomst; en
b) Alle instructies van de Verwerker en Verwerkingsverantwoordelijke betreffende Verwerking van Persoonsgegevens zonder enige vertraging volledig op te volgen en uit te voeren; en
c) Persoonsgegevens uitsluitend te Verwerken overeenkomstig de instructies van Verwerker; en
d) Geen enkele derde partij toegang te verschaffen tot Persoonsgegevens, ook niet aan enige Sub-Verwerkers van Sub-Verwerkers, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke; en
e) Om Verwerker en Verwerkingsverantwoordelijke in de gelegenheid te stellen efficiënt en tijdig en overeenkomstig de eisen die de AVG daaraan stelt, te kunnen handelen in het geval van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens zoals bedoeld in de AVG.
3 Verwerkingsverantwoordelijke ontvangt op verzoek een overzicht van Verwerker inzake de ingeschakelde Sub-Verwerkers.
Artikel 7 Beveiliging
1 Verwerker neemt passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking zoals, maar niet beperkt tot:
a. Beschadiging of verlies van Persoonsgegevens;
b. Onbevoegde wijziging van Persoonsgegevens;
c. Ontvreemding van Persoonsgegevens;
d. Kennisneming van Persoonsgegevens door onbevoegden.
2 Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen.
3 Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikel voldoet aan de beveiligingseisen op grond van de AVG.
4 Verwerker verstrekt Verwerkingsverantwoordelijke desgevraagd schriftelijke informatie met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens.
5 Verwerker informeert de Verwerkingsverantwoordelijke als één of meerdere van de beveiligingsmaatregelen substantieel wijzigt.
6 Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 AVG of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 AVG kan worden gebruikt als element om aan te tonen dat de in dit artikel bedoelde vereisten worden nageleefd.
Artikel 8 Meldplicht Datalekken
1 In het geval van een Datalek, zal Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 48 uur na kennisneming informeren door contact op te nemen met de in Bijlage B opgenomen contactpersoon van Verwerkingsverantwoordelijke.
2 Verwerker zal de hiervoor genoemde melding, voorzien van de informatie die is opgenomen in Bijlage B.
3 De Verwerker neemt maatregelen om (verdere) onbevoegde kennisneming, wijziging en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen.
4 Verwerker zal op verzoek van Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij het informeren van de bevoegde autoriteiten en Betrokkene(n).
5 Verwerker maakt schriftelijke afspraken met Sub-Verwerker(s) inzake de meldingsplicht van mogelijke Datalekken aan Verwerker, welke de Verwerker en de Verwerkingsverantwoordelijke in staat stellen verplichtingen, in het geval van een Datalek zoals beschreven in lid 1 van dit artikel, na te leven.
a. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Sub-Verwerker de Verwerker uiterlijk binnen 18 uur na de eerste ontdekking zal informeren over een Datalek zoals beschreven in lid 1 van dit artikel door contact op te nemen met de in Bijlage B opgenomen contactpersoon van Verwerker.
b. In deze afspraken moet in ieder geval worden opgenomen dat de Sub-Verwerker op verzoek van de Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
6 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
Artikel 9 Verplichtingen inzake Betrokkene(n)
1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan haar wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG.
2 In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek onverwijld doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de Betrokkene daarvan op de hoogte stellen.
3 Als Verwerker de Opdracht in het kader van de Hoofdovereenkomst rechtstreeks aanbiedt aan eindgebruikers van wie Persoonsgegevens worden verwerkt, dan is Verwerker verplicht om op een makkelijk toegankelijke en permanent beschikbare manier de eindgebruiker te informeren over het volgende:
a. De naam en het adres van de Verwerker;
b. De doeleinden waarvoor Verwerker de Persoonsgegevens verwerkt;
c. De categorieën Persoonsgegevens die de Verwerker verwerkt;
d. De Derden aan wie de Persoonsgegevens toegankelijk worden gemaakt;
x. Xx xxxxxx waarnaar de Persoonsgegevens worden overgedragen;
f. De rechten die betrokkene(n) op grond van de AVG toekomen;
De Verwerker zal de Verwerkingsverantwoordelijke laten weten waar deze informatie gepubliceerd is.
Artikel 10 Audit
1 Verwerker voert assessments uit om te evalueren of de beveiligingsmaatregelen uit artikel 7 van de Verwerkersovereenkomst voldoen. Indien de Verwerkingsverantwoordelijke daar om verzoekt, zal Verwerker een rapport van dit assessment ter beschikking stellen, tenzij een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor Verwerkingsverantwoordelijke.
2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien van de organisatie van Verwerker, om vast te stellen of Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet.
a. De frequentie van het onderzoek is maximaal één keer per jaar.
b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek.
3 De kosten van de audit op verzoek komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat de overige rechten van
Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverlet.
4 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst en de Verwerkersovereenkomst voldoet, zal de Verwerker voor eigen rekening alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij alsnog voldoet.
Artikel 11 Internationaal verkeer
1 Verwerker garandeert dat iedere Verwerking van Persoonsgegevens, welke door of namens Verwerker met inbegrip van de door haar ingeschakelde Sub- Verwerker(s) wordt verricht in verband met het uitvoeren van de Hoofdovereenkomst, binnen de Europese Economische Ruimte (EER) plaats zal vinden.
2 Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is het Verwerker niet toegestaan Persoonsgegevens door te geven naar of op te slaan in een land buiten de EER.
3 Indien Verwerker Persoonsgegevens toegankelijk wil maken vanuit een niet- EER land dient hier voorafgaande schriftelijke toestemming voor te worden gevraagd aan de Verwerkingsverantwoordelijke, ook in het geval dat het land een passend beschermingsniveau heeft.
4 Aan de toestemming kan de Verwerkingsverantwoordelijke voorwaarden verbinden.
5 Verwerker let er op dat, gelet op de omstandigheden van toepassing op de overdracht van de Persoonsgegevens of welke informatie dan ook, de bedoelde landen, gelegen buiten de EER, afdoende bescherming bieden.
6 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden, waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de gegevensverwerking plaatsvindt.
Artikel 12 Opsporingsverzoeken
1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren.
2 Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke in acht nemen (waaronder de instructie om de behandeling van het verzoek of het bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking te verlenen.
3 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen genoemd in leden 1 en 2 van dit artikel, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
a. Juridisch laten toetsen in hoeverre (i) Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en (ii) het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
b. Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijke hierover te informeren of haar instructies op te volgen;
c. Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen;
d. Indien sprake is van doorgifte naar een land buiten de EER: de mogelijkheden onderzoeken om te voldoen aan de artikelen 44 tot en met 46 AVG;
e. Verwerkingsverantwoordelijke onverwijld informeren zodra dit is toegestaan.
4 In dit artikel wordt onder ‘wettelijk’ niet alleen Nederlandse, maar ook
buitenlandse wet- en regelgeving verstaan.
Artikel 13 Geheimhouding
1 Alle Persoonsgegevens die in het kader van de Verwerkersovereenkomst en/of de Hoofdovereenkomst worden verwerkt zijn vertrouwelijke gegevens.
2 Verwerker zal alle (Persoons)gegevens waarvan hij het vertrouwelijk karakter kent of redelijkerwijs kan vermoeden en die hem in het kader van de uitvoering van de Hoofdovereenkomst en/of Verwerkersovereenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder intern of extern bekendmaken en/of aan Derden verstrekken, behalve voor zover:
a. Bekendmaking en/of verstrekking van die gegevens in het kader van de uitvoering van de Hoofdovereenkomst noodzakelijk is;
b. Enig dwingendrechtelijk Nederlands wettelijk voorschrift of Nederlandse rechtelijke uitspraak Verwerker tot bekendmaking en/of verstrekking van die gegevens of informatie verplicht, waarbij Verwerker eerst de Verwerkingsverantwoordelijke hiervan op de hoogte zal stellen;
c. Bekendmaking en/of verstrekking van die gegevens geschiedt met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke; dan wel
d. Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van Verwerker.
3 Verwerker zal de voor hem werkzame personen (waaronder werknemers) alsmede Sub-Verwerkers die betrokken zijn bij de verwerking van
vertrouwelijke gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke gegevens.
4 De Verwerker stelt alle gegevens die hij in het kader van de uitvoering van de Onderliggende en/of Verwerkersovereenkomst onder zich heeft, inclusief eventueel daarvan gemaakte kopieën, op eerste verzoek aan de Verwerkingsverantwoordelijke ter beschikking.
5 Na beëindiging van de Hoofdovereenkomst en/of Verwerkersovereenkomst blijft dit artikel en de hierin besproken geheimhouding van kracht.
Artikel 14 Aansprakelijkheid
1 Verwerker is verantwoordelijk voor de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-
)verantwoordelijkheid van Verwerkingsverantwoordelijke.
2 Verwerker is aansprakelijk voor alle schade die Verwerkingsverantwoordelijke lijdt als gevolg van een toerekenbare tekortkoming dan wel door schuld of opzet van Verwerker, of door haar ingeschakelde Sub-Verwerkers of anderen ter zake van verplichtingen uit de Hoofdovereenkomst, de Verwerkersovereenkomst, AVG of andere toepasselijke regelgeving inclusief regelgeving betreffende de verwerking van Persoonsgegevens.
3 Indien Partijen toerekenbaar tekortschieten in de nakoming van hun verplichtingen uit deze Verwerkersovereenkomst kunnen zij elkaar in gebreke stellen, tenzij nakoming blijvend onmogelijk is. Voorafgaand aan de ingebrekestelling komen Partijen onderling met elkaar een termijn overeen waarbinnen de geconstateerde tekortkoming kan worden hersteld. Blijft nakoming binnen deze overeengekomen termijn alsnog uit of komen Partijen onderling niet tot een wederzijds acceptabele termijn, dan kunnen Partijen elkaar in gebreke stellen. De ingebrekestelling geschiedt schriftelijk, waarbij aan de andere partij een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is de partij in verzuim.
4 Partijen zijn aansprakelijk voor schade voortvloeiende uit het niet nakomen van of in strijd handelen met de bij of krachtens de AVG gegeven voorschriften en/of het niet nakomen van of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde, onverminderd de aanspraken op grond van wettelijke regels.
5 Indien de Autoriteit Persoonsgegevens of andere toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan één der Partijen en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het door de andere partij niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken, dan kan eerstgenoemde partij alle kosten voor deze maatregel of boete verhalen op de partij aan wie de oorzaak voor het opleggen van de maatregel of boete te wijten is. Tevens heeft deze partij het recht om de Onderliggende overeenkomst met
onmiddellijke ingang te ontbinden zonder dat de andere partij aanspraak kan maken op enige vorm van schadevergoeding.
6 Mede gelet op het algemeen belang van ontsluiting van onderzoeksgegevens gerichte karakter van de diensten van Verwerker is de maximale schadevergoeding waartoe Verwerker is gehouden, mocht aansprakelijkheid krachtens dit artikel worden aangenomen, beperkt tot driemaal het recentste jaarlijkse bedrag aan backoffice kosten voor de dienst DataverseNL samen met de storagekosten van het betreffende jaar per gebeurtenis en per jaar.
Artikel 15 (Intellectuele) eigendomsrechten en zeggenschap
1 Alle (intellectuele) eigendomsrechten op gegevens, data, informatie en enig ander materiaal of content die de Verwerkingsverantwoordelijke invoert, verstuurt, plaatst of anderszins verwerkt met behulp van de Verwerker blijven te allen tijde berusten bij Verwerkingsverantwoordelijke, dan wel hun respectievelijke licentiegever(s).
2 Verwerker heeft geen zelfstandige zeggenschap over bovengenoemde informatie die door hem wordt verwerkt. De zeggenschap berust bij Verwerkingsverantwoordelijke.
Artikel 16 Wijziging
1 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft, treden partijen op verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen deze Verwerkersovereenkomst.
2 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van deze Verwerkersovereenkomst.
3 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke en/of Verwerker niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot de Verwerking van Persoonsgegevens.
Artikel 17 Duur en beëindiging
1 Deze Verwerkersovereenkomst treedt in werking op dezelfde datum als die van de Hoofdovereenkomst en eindigt ook gelijktijdig als de Hoofdovereenkomst.
2 Het is niet mogelijk om de Verwerkersovereenkomst separaat van de Hoofdovereenkomst op te zeggen.
3 Verwerkingsverantwoordelijke en Verwerker zijn gerechtigd de Verwerkersovereenkomst en daarmee de Hoofdovereenkomst op te zeggen indien de Verwerker niet voldoet of niet langer kan voldoen aan de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens. Bij de opzegging wordt een redelijke opzegtermijn in acht genomen.
4 Bij beëindiging van de Hoofdovereenkomst en Verwerkersovereenkomst, om welke reden ook, zal Verwerker ervoor zorgdragen dat naar keuze van Verwerkingsverantwoordelijke:
a. Alle of een door Verwerkingsverantwoordelijke bepaald gedeelte haar in het kader van de Opdracht ter beschikking gestelde Persoonsgegevens worden vernietigd op alle locaties,
b. Alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van de Opdracht ter beschikking gestelde Persoonsgegevens aan een opvolgend Verwerker ter beschikking worden gesteld, dan wel
c. Wordt Verwerkingsverantwoordelijke in de gelegenheid gesteld om de Persoonsgegevens of een door Verwerkingsverantwoordelijke bepaald gedeelte van de Persoonsgegevens aan de Opdracht te onttrekken.
5 Verwerkingsverantwoordelijke draagt de kosten voor vernietiging en/of beschikbaarheidsstelling en/of onttrekking van Persoonsgegevens, welke zijn verdisconteerd in het tarief voor deelname aan DataverseNL. Verwerkingsverantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging.
6 Verwerker zal bij beëindiging van de Hoofdovereenkomst en Verwerkersovereenkomst de (ook in geval van lid 4, aanhef en onder b van dit artikel beschreven) dataportabiliteit waarborgen op zodanige wijze dat de (bijgewerkte) (Persoons)gegevens aan Verwerkingsverantwoordelijke worden verstrekt en dat er geen sprake is van verlies van functionaliteit of (delen van) de (bijgewerkte) (Persoons)gegevens, tenzij dat in redelijkheid niet verlangd kan worden van Verwerker.
Artikel 18 Toepasselijk recht en geschillenbeslechting
1 Bij tegenspraak tussen bepalingen uit deze Verwerkersovereenkomst en de Hoofdovereenkomst, prevaleren de bepalingen uit deze Verwerkersovereenkomst.
2 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
3 Algemene leveringsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van Verwerkersverantwoordelijke en Verwerker zijn niet van toepassing op deze Verwerkersovereenkomst.
4 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met deze Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke is gevestigd.
Aldus overeengekomen en in tweevoud ondertekend,
[Verwerkingsverantwoordelijke], rechtsgeldig vertegenwoordigd door
Koninklijke Nederlandse Akademie van Wetenschappen, rechtsgeldig vertegenwoordigd door
[VERTEGENWOORDIGER] [VERTEGENWOORDIGER]
Datum: Datum:
Bijlage A: Specificatie Persoonsgegevens Bijlage B: Meldingsplicht Datalekken
Bijlage A: specificatie persoonsgegevens
OPDRACHT
Naam opdracht |
DataverseNL |
Omschrijving van de opdracht |
Beheer van de data repository van DataverseNL |
TE VERWERKEN PERSOONSGEGEVENS
De volgende Persoonsgegevens met vermelde risicoklasse verwerkt Verwerker namens Verwerkingsverantwoordelijke. Deze Persoonsgegevens worden door Verwerker niet langer bewaard dan noodzakelijk is voor de uitvoering van de Onderliggende Overeenkomst of om een op hem rustende wettelijke verplichting na te komen. Voor Persoonsgegevens die worden verwerkt ten behoeve van de juiste uitvoering van de Opdracht gelden de hieronder aangegeven bewaartermijnen.
Persoonsgegevens | Risicoklasse (Normaal/Hoog) | Bewaartermijn
|
Naam (plus initialen, academische titels), affiliatie en emailadres gebruikers DataverseNL | Normaal
| Zolang als gebruiker geregistreerd is en gebruikmaakt van DataverseNL |
Onderzoeksdata inhoudende alle mogelijke persoonsgegevens, inclusief bijzondere persoonsgegevens, gepseudonimiseerd of versleuteld (geëncrypt), waarvan het sleutelbestand of de sleutel niet bij de Verwerker wordt ondergebracht | Xxxxxxx
| Xxxxxx als de onderzoeksdata namens de Verwerkingsverantwoordelijke, in DataverseNL zijn opgenomen.
|
OMSCHRIJVING VAN DE (GROEPEN) MEDEWERKERS DIE TOEGANG HEBBEN TOT PERSOONSGEGEVENS
Beschrijving van de (groep) medewerkers die toegang hebben tot welke Persoonsgegevens en vermeld welke verwerkingen zij ten aanzien van deze Persoonsgegevens mogen uitvoeren.
(Groep) Medewerkers | Persoonsgegevens | Type verwerking |
Medewerkers IT-Support DANS | Alle hierboven omschreven | Opslag en zonodig toekennen van rechten |
Medewerkers DANS Service DataverseNL | Alle hierboven omschreven | Opslag en zonodig toekennen van rechten |
ICT-Service KNAW | Alle hierboven omschreven | Opslag en zonodig toekennen van rechten |
BETROKKENEN
Opsomming van de groep(en) mensen waarvan Persoonsgegevens worden verwerkt. |
Wetenschappelijke onderzoekers en data managers van Nederlandse universiteiten en van andere deelnemende onderzoeksinstituten die gebruikmaken van DataverseNL |
Onderzoekssubjecten |
GETROFFEN BEVEILIGINGSMAATREGELINGEN
Omschrijving van de beveiligingsmaatregelingen die de Verwerker in ieder geval zal toepassen. |
De data is opgeslagen in een beveiligd datacenter. De data wordt op twee locaties bewaard. De servers zijn beschermd met een firewall en er geldt een strikt toegangsbeleid tot de servers, data en back-up. |
Omschrijving van de certificaten en geldigheidsduur waarover Verwerker beschikt. |
Het Xxxxxxxxxx Xxxxxx valt onder SURFCumulus van SURF. Vancis is gecertificeerd met onder andere ISO9001 en ISO27001 certificeringen. xxxxx://xxxxxx.xx/xxxx-xxxxxx/xxxxxxxxxxxxxxx/ |
ONTVANGERS
Opsomming van de groep(en) mensen aan wie de Persoonsgegevens worden verstrekt. |
Naam en affiliatie gebruikers DataverseNL: worden kenbaar gemaakt aan de gebruikers van DataverseNL |
Onderzoeksdata: worden alleen namens de Verwerkingsverantwoordelijke en alleen volgens de geldende privacywetgeving kenbaar gemaakt aan gebruikers van DataverseNL |
SUB-VERWERKERS
De verwerkersverantwoordelijke heeft Verwerker: |
Algemene toestemming gegeven voor het inschakelen van Sub-verwerkers. |
Bijlage B: meldingsplicht datalekken
Lijst van contactpersonen inzake het melden van een datalek
Voor het melden van een Datalek als bedoeld in artikel 8 van de Verwerkersovereenkomst dient contact te worden opgenomen met
Naam organisatie |
Naam contactpersoon |
Functie |
E-mailadres |
Telefoonnummer |
VERWERKINGSVERANTWOORDELIJKE:
VERWERKER:
Naam organisatie | DANS |
Naam contactpersoon | Xxxxxx Xxxxxxxxx |
Functie | Legal Support Officer / Privacy Coördinator |
E-mailadres | |
Telefoonnummer | x00 (0) 0 00000000 |
Informatie die moet worden verstrekt bij een datalek
Als Verwerker de Verwerkingsverantwoordelijke moet informeren op grond van artikel 8 van de Verwerkersovereenkomst, dient onderstaand formulier zo volledig mogelijk te worden ingevuld en te worden verstrekt aan Verwerkingsverantwoordelijke.
GEGEVENS OVER HET DATALEK
Geef een samenvatting van het incident waarbij er een inbreuk op de beveiliging van Persoonsgegevens is geweest: | |||
Van hoeveel personen zijn Persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in) | |||
Minimaal | Maximaal |
| |
Omschrijf de groep mensen van wie Persoonsgegevens zijn betrokken bij de inbreuk: | |||
Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan) | |||
Exact op | (datum) | ||
Tussen | (datum) | en | (datum) |
Nog niet bekend | |||
Wanneer werd de inbreuk ontdekt?
Datum |
Tijdstip |
Wat is de aard van de inbreuk? (U kunt meerdere mogelijkheden aankruisen) |
Lezen (vertrouwelijkheid) |
Kopiëren |
Veranderen (integriteit) |
Verwijderen of vernietigen (beschikbaarheid) |
Diefstal |
Nog niet bekend |
Om welk type Persoonsgegevens gaat het? (U kunt meerder mogelijkheden aankruisen) |
Naam-, adres- en woonplaatsgegevens |
Telefoonnummers |
E-mailadressen of andere adressen voor elektronische communicatie |
Toegangs- of identificatiegegevens |
Financiële gegevens |
Burgerservicenummer (BSN) |
Paspoortkopieën of kopieën van andere legitimatiebewijzen |
Geslacht, geboortedatum en/of leeftijd |
Bijzondere Persoonsgegevens |
Overige gegevens, namelijk: |
Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de Betrokkenen? (U kunt meerder mogelijkheden aankruisen) |
Stigmatisering of uitsluiting |
Schade aan de gezondheid |
Blootstelling aan (identiteits)fraude |
Blootstelling aan spam of phishing |
Andere gevolgen, namelijk: |
VERVOLGACTIES NAAR AANLEIDING VAN HET DATALEK
Omschrijf welke technische en organisatorische maatregelen uw organisatie heeft getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen:
BESCHERMINGSMAATREGELEN
Waren de persoonsgegevens op het moment van het ontdekken van het datalek versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk voor onbevoegden? |
Ja |
Nee |
Deels, namelijk: |
Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij de vorige vraag gekozen heeft voor optie ‘Ja’ of optie ‘Deels, namelijk’. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.) |
Xxxxx xxx xxxxxxxxxxxx: |
INTERNATIONALE ASPECTEN
Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties) |
Ja |
Nee |
Nog niet bekend |