Contract

Aan dit model verwerkersovereenkomst kunt u geen rechten ontlenen. U kunt het model aanpassen zodat het beter past bij uw situatie. Raadpleeg bij bijzonderheden of twijfel een privacyjurist van DAS voor de Sport of de Juridische helpdesk van stichting AVG (onder de ‘help’ knop binnen het stappenplan AVG voor sportverenigingen) of een privacyjurist die verbonden is aan de eigen vereniging.



VERWERKERSOVEREENKOMST


Ondergetekenden:


  1. <NAAM SPORTVERENIGING>

kantoorhoudende te <ADRES>,

ingeschreven in het handelsregister bij de Kamer van Koophandel onder nummer <KVK-NUMMER> te dezen rechtsgeldig vertegenwoordigd door:

<NAAM ONDERGETEKENDE A>,

hierna te noemen: Vereniging’;


en


  1. <BEDRIJFSNAAM>

kantoorhoudende te <ADRES>,

ingeschreven in het handelsregister bij de Kamer van Koophandel onder nummer <KVK-NUMMER> te dezen rechtsgeldig vertegenwoordigd door:

<NAAM ONDERGETEKENDE B>,

hierna te noemen: Verwerker;

Beiden hierna gezamenlijk aan te duiden als ‘Partijen’ en afzonderlijk als ‘Partij’.


In overweging nemende dat:

  1. De Vereniging en Verwerker zijn op <DATUM INGANG OVEREENKOMST> een overeenkomst aangegaan waarbij <CONCRETE OMSCHRIJVING VAN DE DOOR VERWERKER IN OPDRACHT VAN DE VERENIGING TE LEVEREN PRODUCTEN/DIENSTEN), hierna te noemen: “de Overeenkomst”;

  2. Ten behoeve van de Overeenkomst, verwerkt Verwerker in opdracht van de Vereniging persoonsgegevens (hierna te noemen: “Persoonsgegevens”);

  3. Partijen hebben afspraken gemaakt over de wijze waarop Verwerker dient om te gaan met de Persoonsgegevens, welke afspraken in deze overeenkomst zijn opgetekend, waarbij Partijen ten aanzien van de gebruikte begrippen hebben aangesloten bij de Algemene Wet Gegevensbescherming.


Komen het navolgende overeen:


  1. Onderwerp en opdracht

    1. Deze afspraken in deze Overeenkomst zijn van toepassing op de verwerking van Persoonsgegevens in het kader van de Overeenkomst. Partijen komen overeen dat Xxxxxxxxx geen vergoeding ontvangt voor de uitvoering van de verplichtingen die voorvloeien uit deze overeenkomst.

    2. De Vereniging geeft Xxxxxxxxx opdracht en instructies om Persoonsgegevens te verwerken namens de Vereniging. De instructies van de Vereniging kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst, Overeenkomst en schriftelijk (of per e-mail) aangevuld worden.


  1. Verwerking

    1. De Vereniging heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens.

    2. Verwerker garandeert dat zij de Vereniging voorafgaand aan het sluiten van deze overeenkomst toereikend geïnformeerd heeft over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen zoals omschreven in de Overeenkomst.

    3. De Vereniging en Verwerker verstrekken elkaar over en weer alle benodigde informatie om een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken. Indien de Verwerker van mening is dat een verwerkingsinstructie van de Vereniging een inbreuk oplevert op de AVG, dan stelt zij de Vereniging hiervan onmiddellijk in kennis.

    4. De Verwerker houdt een administratie/register bij van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van de Vereniging verricht.


  1. Subverwerkers

    1. Verwerker is niet bevoegd om de Persoonsgegevens op enige wijze door subverwerkers te laten verwerken, tenzij uitdrukkelijk schriftelijk anders is overeengekomen.

    2. De Vereniging geeft toestemming dat Verwerker de subverwerkers inschakelt van wie de identiteit en vestigingsgegevens zijn opgenomen in Bijlage 2.

    3. In het geval de Vereniging geen toestemming geeft voor de inschakeling van een subverwerker, dan is het de Verwerker toegestaan om binnen een redelijke termijn een alternatief te bieden om de relevante dienst voort te zetten. Indien dat alternatief redelijkerwijs niet acceptabel is voor de Vereniging, of indien de Verwerker geen alternatief biedt, dan is het haar toegestaan om die relevante dienst op te zeggen, die niet zonder het inschakelen of de vervanging van de beoogde andere subverwerker kan worden verleend.

    4. Verwerker is gehouden de verplichtingen die op haar rusten op grond van deze verwerkersovereenkomst op haar rusten, één-op-één door te leggen aan de subverwerker.

    5. Xxxxxxxxx is verantwoordelijk en aansprakelijk voor de door haar ingeschakelde subverwerkers in de nakoming van diens verplichtingen ten aanzien van de Verwerking van Persoonsgegevens voortvloeiende uit de Overeenkomst.


  1. Gebruik Persoonsgegevens

    1. Verwerker verplicht zich om de van de Vereniging verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan ter uitvoering van haar verplichtingen uit hoofde van de Overeenkomst.

    2. Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens mogen worden verwerkt door de Verwerker, is uiteengezet in Bijlage 2 bij deze verwerkersovereenkomst.

    3. Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een derden, niet zijnde een subverwerker, tenzij deze uitwisseling plaatsvindt in opdracht van de Vereniging of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaande de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Vereniging over deze vertrekking - indien wettelijk toegestaan - onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.


  1. Geheimhouding

    1. Verwerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker verklaart dat met een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.

    2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover de Vereniging uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een derde noodzakelijk is ter uitvoering van de Overeenkomst, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.


  1. Technische en organisatorische maatregelen (beveiliging)

    1. Verwerker zal, voor eigen rekening en risico, net als de Vereniging, zorgdragen voor passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. Evenals voorkomen dat onjuiste gegevens worden opgeslagen en het minimaliseren van het risico op fouten evenals het voorkomen van discriminerende gevolgen (bijvoorbeeld bij profilering).

    2. De in dit artikel bedoelde maatregelen omvatten in ieder geval maar niet uitsluitend:

      1. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de verwerkersovereenkomst worden verwerkt, zoals bijvoorbeeld middels het instellen en regelmatig wijzigen van wachtwoorden;

      2. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking, zoals bijvoorbeeld door het regelmatig maken van back-ups, het versleutelen van bestanden, het gebruik van anti-virussoftware en zorgvuldige omgang met datadragers;

      3. maatregelen om actief zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Vereniging;

      4. een passend informatiebeveiligingsbeleid en incidentenprotocol voor de Verwerking van de Persoonsgegevens;

      5. het zo spoedig als redelijkerwijs mogelijk pseudonimiseren van de Persoonsgegevens.

    3. Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.

    4. De Verwerker stelt de Vereniging in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van datalekken. Naast rapportages door de Verwerker kan dat aan de hand van bijvoorbeeld een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.

    5. In aanvulling op artikel 6 lid 4 heeft de Vereniging te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke auditor. De Vereniging wordt schriftelijk geïnformeerd over de uitkomsten van de audit.

  2. Datalekken

    1. Verwerker heeft een passend beleid voor de adequate omgang met datalekken, welk beleid bekend is gemaakt bij een ieder die betrokken is bij de Verwerking van de Persoonsgegevens bij Verwerker.

    2. Indien Verwerker of de door haar ingeschakelde subverwerkers een datalek vaststelt, dan zal deze de andere Partij onverwijld, en in ieder geval binnen 36 uur, (zowel telefonisch als per email) informeren.

    3. Verwerker zal voorts, op het eerste verzoek van de Vereniging, alle inlichtingen verschaffen die de Vereniging noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de informatie aan de Vereniging zoals omschreven in Bijlage 3.

    4. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkenen zoals bedoeld in artikel 34 lid 1 AVG.

    5. Verwerker stelt bij een datalek de Vereniging in staat om passende vervolgstappen te (laten) nemen ten aanzien van het datalek. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken.

    6. Over incidenten met betrekking tot de beveiliging, anders dan een datalek, die vallen buiten het bereik van artikel 1 sub d, informeert de Verwerker de Vereniging conform de afspraken zoals neergelegd in Bijlage 3.


  1. Procedure rechten betrokkenen

    1. Een klacht of verzoek van een betrokkenen met betrekking tot de verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld (binnen 24 uur) doorgestuurd naar de Vereniging, die verantwoordelijk is voor de afhandeling van het verzoek.

    2. Verwerker verleent de Vereniging volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG die zien op de rechten van betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens.

    3. In het geval dat een betrokkene een verzoek tot inzage richt aan de Vereniging zal Verwerker, indien de Vereniging dit verlangt, binnen 14 dagen medewerking verlenen voor zover mogelijk en voor zover dit redelijk is.


  1. Verwerking buiten de Europese Economische Ruimte

    1. Verwerker verklaart en garandeert dat alle Persoonsgegevens, door haar en door haar subverwerkers, binnen de Europese Economische Ruimte (verder: EER) worden verwerkt.

    2. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt.


  1. Bewaartermijnen en vernietiging Persoonsgegevens

    1. Verwerker is op grond van artikel 28 lid 3 sub g AVG verplicht om bij de beëindiging van de verwerkersovereenkomst de in opdracht van de Vereniging verwerkte Persoonsgegevens te vernietigen of deze aan de Vereniging terug te bezorgen, en bestaande kopieën te verwijderen, tenzij opslag van de Persoonsgegevens in het kader van (wettelijke) verplichten bewaard moeten worden. de Vereniging kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.

    2. Verwerker zal de Vereniging schriftelijk bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft plaatsgevonden.

    3. Verwerker zal alle subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de verwerkersovereenkomst en zal waarborgen dat alle subverwerkers de Persoonsgegevens (laten) vernietigen.

    4. Bij beëindiging van de verwerkersovereenkomst blijven de verplichtingen voor de Verwerker die voortvloeien uit deze verwerkersovereenkomst onverminderd van kracht zo lang de Verwerker Persoonsgegevens tot zijn beschikking heeft.


  1. Kennisgevingen

    1. Alle kennisgevingen of andere mededelingen die door Verwerker worden gedaan ter uitvoering van de verwerkersovereenkomst, geschieden schriftelijk en kunnen worden verzonden, naar de navolgende adressen of op die adressen zoals de aangewezen partij de andere partijen heeft aangegeven.


Aan: Aan de Vereniging:

<NAAM SPORTVERENIGING>

<ADRES SPORTVERENIGING>

<E-MAILADRES SPORTVERENIGING>,


Met een kopie aan:



  1. Tegenstrijdigheid en wijziging Verwerkersovereenkomst

    1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepalingen van deze verwerkersovereenkomst leidend zijn, tenzij anders overeengekomen.

    2. Bij wijzigingen in het product en/of de (aanvullende) diensten die de Verwerker aan de Vereniging verleent die van significante invloed zijn op de verwerking van de Persoonsgegevens wordt, alvorens de Vereniging de keuze hiertoe aanvaardt, de Vereniging in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen op de Verwerking van Persoonsgegevens door de Verwerker. Onder “significante invloed” wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) subverwerker.

    3. Wijzigingen in de artikelen en bijlagen van de verwerkersovereenkomst zijn slechts bindend en kunnen uitsluitend tussen Partijen worden overeengekomen middels een door beide Partijen getekend addendum bij deze verwerkersovereenkomst.

    4. In het geval enige bepaling van deze verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling evenals met de geest van deze Verwerkersovereenkomst.


  1. Aansprakelijkheid

    1. Verwerker is aansprakelijk voor alle directe en/of indirecte schade die de Vereniging lijdt door het niet nakomen van de wet en de bepalingen uit deze verwerkersovereenkomst, voor zover dit is ontstaan door enig handelen of nalaten van Verwerker.

    2. Indien Verwerker de verplichtingen in deze verwerkersovereenkomst niet nakomt, is Verwerker aan de Vereniging, zonder dat daartoe een nadere ingebrekestelling noodzakelijk is, een direct opeisbare boete verschuldigd van [BEDRAG vb € 10.000,-] voor iedere overtreding en [BEDRAG vb € 1.000,-] voor iedere dag dat de overtreding voortduurt. Daarnaast behoudt de Vereniging het recht om schadevergoeding te vorderen (optioneel).

    3. Verwerker vrijwaart de Vereniging, haar bestuurders en werknemers, tegen alle aanspraken van derden, waaronder, maar niet beperkt tot, bevoegde autoriteiten en betrokkenen in de zin van de AVG, die voortvloeien uit of verband houden met een schending of niet-nakoming door de Verwerker van zijn verplichtingen voorvloeiend uit deze verwerkersovereenkomst en/of wettelijke bepalingen inzake beheer, bevraging, verzameling, gebruik en bescherming van Persoonsgegevens.

    4. Verwerker is verplicht een deugdelijke (beroeps)aansprakelijkheidsverzekering en cybercrime verzekering afsluiten. Op verzoek van de Vereniging zal Verwerker een actueel certificaat van de verzekering doen toekomen.

    5. De schade en/of boete die uit deze bepaling voortvloeit, maakt geen onderdeel uit van een eventueel in de Overeenkomst afgesproken beperking van de aansprakelijkheid en maximalisering van de schadevergoeding.


  1. Duur en beëindiging

    1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de Overeenkomst.

    2. Deze verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst.

    3. Deze verwerkersovereenkomst kan niet tussentijds worden beëindigd.

    4. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.


  1. Toepasselijk recht

    1. Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is Nederlands recht van toepassing.

    2. In geval van een geschil tussen de Partijen betreffende de uitlegging of de toepassing van deze Verwerkersovereenkomst zoeken Partijen naar een oplossing door middel van onderhandelingen.

    3. Geschillen over of in verband met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Vereniging gevestigd is, tenzij dwingende competentieregels dit verhinderen. De procedure vindt plaats in de Nederlandse taal.



Aldus overeengekomen, opgemaakt en in tweevoud ondertekend en op iedere pagina geparafeerd,


De Vereniging <BEDRIJFSNAAM>


in ............................................... in ...............................................


op ............................................... op ...............................................


Handtekening vertegenwoordiger de Vereniging Handtekening vertegenwoordiger <BEDRIJFSNAAM>




.............................................................. ..............................................................

BIJLAGE 1


[Overeenkomst AANHECHTEN]


BIJLAGE 2


<Het onderstaande schema zal ingevuld moeten worden elke keer dat er een Verwerkersovereenkomst wordt gesloten. Het geeft een volledig overzicht van de Persoonsgegevens die verwerkt zullen worden. Dit maakt het makkelijker om aan te kunnen tonen waar, door wie en voor welk doel de Persoonsgegevens worden verwerkt.>


Beschrijving diensten/verwerkingsactiviteiten door Verwerker





Categorieën van persoonsgegevens (algemene omschrijving van de categorieën personen en persoonsgegevens waar de gegevens die verwerkt worden betrekking op hebben.





Aard en doel(en) van de verwerking





Verantwoordelijke





Verwerker





Subverwerkers





Verwerkte Persoonsgegevens





Locatie verwerkingen (incl. binnen/buiten EER)





Bewaartermijn







BIJLAGE 3


INLICHTINGEN OM INCIDENTEN TE BEOORDELEN TER UITWERKING VAN ARTIKEL 7 LID 3 VAN DEZE OVEREENKOMST.


  1. De Verwerker zal alle inlichtingen verschaffen die de Vereniging noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de Vereniging:


    1. wat de (vermeende) oorzaak is van de inbreuk;

    2. wat het (vooralsnog bekende en/of te verwachten) gevolg is;

    3. wat de (voorgestelde) oplossing is;

    4. contactgegevens voor de opvolging van de melding;

    5. aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);

    6. een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;

    7. het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;

    8. de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);

    9. de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde;

    10. of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

    11. wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.



Document Metadata

Filed: April 19th, 2018