OVEREENKOMST GEGEVENSVERWERKING TUSSEN AFZONDERLIJK VERWERKINGSVERANTWOORDELIJKEN
OVEREENKOMST GEGEVENSVERWERKING TUSSEN AFZONDERLIJK VERWERKINGSVERANTWOORDELIJKEN
DE ONDERGETEKENDEN:
1. Partij [•], gevestigd te [Plaats], te dezen rechtsgeldig vertegenwoordigd door [Naam], [functie], hierna te noemen “[•]”, en
2. Partij [•], gevestigd te [Plaats], te dezen rechtsgeldig vertegenwoordigd door [Naam], [functie], hierna te noemen “[•]”
hierna individueel ook aangeduid als "Partij" en gezamenlijk als "Partijen";
OVERWEGENDE DAT:
a) Partijen op [datum] een overeenkomst hebben gesloten voor samenwerking/ dienst- verlening op het gebied van [•], hierna te noemen: de Samenwerkingsovereenkomst/ Dienstverleningsovereenkomst, waarbij in het kader van de uitvoering hiervan Per- soonsgegevens worden uitgewisseld;
b) Partijen ieder ten aanzien van de eigen dienstverlening als afzonderlijk Verwerkings- verantwoordelijke kwalificeren;
c) Partijen afspraken xxxxxx vast te leggen ten aanzien van het verwerken van Per- soonsgegevens in het kader van de uitvoering van de Samenwerkingsovereenkomst/ Dienstverleningsovereenkomst.
VERKLAREN ALS VOLGT TE ZIJN OVEREENGEKOMEN:
Artikel 1. Definities
1.1 De hierna en hiervoor in deze Overeenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:
a) Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).
b) Cliënt: de Betrokkene die gebruik maakt van de diensten geleverd door één of beide partijen.
c) Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezon- den, opgeslagen of anderszins verwerkte gegevens (zie artikel 4 onder 12 AVG).
d) Overeenkomst: deze overeenkomst inzake de verwerking van Persoonsgegevens, in- clusief overwegingen en bijlagen, alsmede enige wijziging, vervanging, update of an- dere versie daarvan;
e) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4, onder 1 van de AVG.
f) Samenwerkingsovereenkomst/Dienstverleningsovereenkomst: de Samenwerkings- overeenkomst of Dienstverleningsovereenkomst zoals bedoeld onder overweging a).
g) Uitwisseling: de Verwerking waarbij Persoonsgegevens worden uitgewisseld tussen Partijen in het kader van de Samenwerkingsovereenkomst.
h) Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoorde- lijke persoonsgegevens verwerkt (art. 4 onder 8. AVG).
i) Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot per- soonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via ge- automatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (artikel 4 onder 2. AVG).
j) Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een over- heidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met ande- ren, het doel van en de middelen voor de verwerking van persoonsgegevens vast- stelt (art. 4 onder 7. AVG).
k) Toepasselijk Recht: de toepasselijke wet- of regelgeving, daaronder begrepen enige richtsnoeren, beleidsregels, instructies of aanbevelingen van enige overheidsinstan- tie, van toepassing op de verwerking van de persoonsgegevens, daaronder begrepen enige wijzigingen, vervangingen, updates of andere latere versies daarvan.
1.2 De in onderhavige Overeenkomst genoemde begrippen worden geïnterpreteerd over- eenkomstig de AVG.
Artikel 2. Onderwerp
2.1 Deze Overeenkomst bevat de afspraken tussen Partijen over de Verwerking, in het bij- zonder de Uitwisseling van Persoonsgegevens in het kader van de Samenwerkingsover- eenkomst/ Dienstverleningsovereenkomst. In Bijlage 1 is een tabel opgenomen waarin de diensten, de aard van de verwerking, de te verwerken persoonsgegevens, de catego- rieën betrokkenen, het doel van de verwerking(en) en de partij die daarvoor Verwer- kingsverantwoordelijke is beschreven zijn.
2.2 Deze Overeenkomst maakt onverbrekelijk deel uit van de Samenwerkingsovereen- komst/ Dienstverleningsovereenkomst. Alle rechten en verplichtingen uit de Samenwer- kingsovereenkomst/ Dienstverleningsovereenkomst zijn daarom ook van toepassing op deze Overeenkomst.
2.3 Voor zover het bepaalde in de Overeenkomst strijdig is met het bepaalde in de Samen- werkingsovereenkomst/ Dienstverleningsovereenkomst, prevaleert het bepaalde in de- ze Overeenkomst.
Artikel 3. Totstandkoming, duur en beëindiging
3.1 Deze Overeenkomst gaat in op de datum van ondertekening en zal van kracht zijn gedu- rende de duur van de Samenwerkingsovereenkomst/ Dienstverleningsovereenkomst, in- clusief eventuele verlengingen daarvan.
3.2 Beëindiging van de Samenwerkingsovereenkomst/ Dienstverleningsovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat onderhavige Over- eenkomst eveneens op dezelfde grond beëindigd wordt, tenzij Partijen in voorkomend geval anders overeenkomen.
3.3 Geen van beide Partijen kan deze Overeenkomst los van de Samenwerkingsovereen- komst/Dienstverleningsovereenkomst tussentijds opzeggen.
3.4 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Over- eenkomst voort te duren, blijven na beëindiging van deze Overeenkomst gelden. Tot de- ze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffen- de geheimhouding, aansprakelijkheid, geschillenbeslechting en Toepasselijk Recht.
Artikel 4. Verwerking Persoonsgegevens
4.1 In Bijlage 1 is uiteengezet:
a) welke Clientgegevens Partijen zullen verwerken;
b) voor welke verwerkingsdoeleinden zij dit doen;
c) wie voor welk deel verantwoordelijk is;
d) welke rol Partijen daarbij vervullen; en
e) wat hun verhouding tot de Cliënten is.
4.2 Partijen zullen de persoonsgegevens aantoonbaar en op een behoorlijke en zorgvuldige wijze verwerken in overeenstemming met de op hen rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. In het bijzonder staan Partijen ervoor in dat zij gegevens rechtmatig doorgeven aan de andere Partij.
4.3 Partijen zullen passende technische en organisatorische (beveiligings)maatregelen (la- ten) nemen ter bescherming van de Persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking, in overeenstemming met het Toepasselijke Recht.
4.4 Partijen zullen de Persoonsgegevens geheim houden en alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren.
4.5 Partijen zien erop toe dat de medewerkers voor wie zij verantwoordelijk zijn, de uitge- wisselde gegevens uitsluitend inzien als dit noodzakelijk is voor hun werkzaamheden. Indien het gezondheidsgegevens/ medische gegevens betreft, zien Partijen erop toe dat medewerkers, de uitgewisselde gegevens uitsluitend inzien als zij een behandelrelatie hebben met de cliënt, dan wel daarbij op andere wijze rechtstreeks betrokken zijn.
4.6 Een klacht met betrekking tot de Verwerking van Persoonsgegevens onder de Samen- werkingsovereenkomst/ Dienstverleningsovereenkomst die wordt ontvangen door de Partij die ten aanzien van de betreffende Persoonsgegevens niet als Verwerkingsver- antwoordelijke is aan te merken, wordt onverwijld doorgestuurd naar de Verwerkings- verantwoordelijke.
4.7 Een klacht met betrekking tot de Verwerking van Persoonsgegevens die wordt ontvan- gen door één van de Partijen, wordt onverwijld doorgestuurd naar de andere Partij, waarbij afstemming plaats vindt over de verdere afhandeling.
4.8 Indien een Partij op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken waarbij de betreffende Persoonsgegevens van de andere Partij zijn ontvan- gen, verifieert eerstgenoemde Partij de grondslag van het verzoek en de identiteit van de verzoeker. Vervolgens informeert deze Partij voorafgaand aan de verstrekking, de Partij van wie hij de Persoonsgegevens heeft ontvangen. De Persoonsgegevens worden alleen verstrekt indien het niet mogelijk is aan de plicht te voldoen zonder dat er Per- soonsgegevens verstrekt worden.
4.9 Partijen bieden elkaar volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen (zie artikel 5).
Artikel 5. Rechten van Betrokkenen
5.1 De Partij die in het kader van de Samenwerkingsovereenkomst/ Dienstverleningsover- eenkomst voor een Verwerking van Persoonsgegevens van een Cliënt als Verwerkings- verantwoordelijke is aan te merken, garandeert de rechten van de betreffende Cliënt.
5.2 Als het verzoek van de Client (deels) betrekking heeft op Persoonsgegevens waarvan de andere Partij Verwerkersverantwoordelijke is, zal de Partij dit verzoek onverwijld door- sturen naar de contactpersoon van de andere Partij, zoals vastgelegd in Bijlage 2.
Artikel 6. Verstrekken van informatie aan Xxxxxxxx
Partijen zullen in principe ieder voor zich Betrokkenen informeren over de verwerkingen van hun Persoonsgegevens, in ieder geval conform artikel 13 en 14 AVG, waarbij Partijen Betrok- kenen tevens zullen informeren over de onderlinge uitwisseling van de Persoonsgegevens.
Artikel 7. Inschakelen van derden (verwerkers/subverwerkers)
7.1 Wanneer een Partij een andere organisatie inschakelt, zal hij aan deze derde minimaal de verplichtingen opleggen die zijn opgenomen in onderhavige Overeenkomst en rele- vante wet- en regelgeving. Deze Partij zal de afspraken schriftelijk vastleggen en toezien op de naleving daarvan door de betreffende derde.
7.2 De Partij die de derde heeft gecontracteerd, blijft volledig aansprakelijk voor de gevol- gen van het inschakelen van deze derde.
Artikel 8. Inbreuk in verband met Persoonsgegevens (datalek)
8.1 Indien zich een inbreuk in verband met Persoonsgegevens heeft voorgedaan, melden Partijen, dit voor zover nodig conform de AVG en hun eigen procedure:
a) aan de Autoriteit Persoonsgegevens (artikel 33 AVG);
b) aan de Client wiens Persoonsgegevens het betreft (artikel 34 AVG).
8.2 De Partij die een Inbreuk in verband met Persoonsgegevens constateert ten aanzien van Persoonsgegevens waarvan hij niet als Verwerkingsverantwoordelijke is aan te merken, informeert onverwijld de andere Partij over de betreffende inbreuk volgens de in Bijlage 2 opgenomen procedure. Hierbij wordt alle informatie aangeleverd die de andere Partij nodig heeft voor de melding aan de Autoriteit Persoonsgegevens en de melding aan de Client wiens Persoonsgegevens het betreft.
Artikel 9. Aansprakelijkheid
9.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen of voor het handelen van hun ondergeschikten en van andere personen waarvoor de aansprake- lijkheid wordt toegerekend.
9.2 Een Partij is aansprakelijk voor een door de Autoriteit Persoonsgegevens aan de andere Partij opgelegde bestuurlijke boete als deze boete het gevolg is van het onrechtmatig of nalatig handelen van eerstgenoemde Partij.
9.3 Partijen verlenen elkaar vrijwaring voor iedere aanspraak van derden, ter zake van door ondergeschikten of andere aan Partijen gerelateerde personen veroorzaakte schade, dan wel wegens het niet-naleven door Partijen van hun verplichtingen ingevolge de Overeenkomst.
9.4 Elk der Partijen draagt zelf zorg voor een adequate aansprakelijkheidsverzekering voor aan derden toegebrachte schade, veroorzaakt door haar ondergeschikten of anderen voor wie haar aansprakelijkheid wordt toegerekend.
Artikel 10. Slotbepalingen
10.1 De overwegingen maken onderdeel uit van deze Overeenkomst.
10.2 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Over- eenkomst, blijven de overige bepalingen onverkort van kracht.
10.3 In alle gevallen waarin deze Overeenkomst niet voorziet beslissen Partijen in onderling overleg.
10.4 Op deze Overeenkomst is Nederlands recht van toepassing.
10.5 Partijen zullen zich inspannen om conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
10.6 Geschillen over of in verband met deze Overeenkomst worden uitsluitend voorgelegd aan de daartoe in de Samenwerkingsovereenkomst/ Dienstverleningsovereenkomst aangewezen rechtbank of arbiter(s).
ONDERTEKENING
Aldus overeengekomen en ondertekend op [datum] te [plaats]
……………… | ……………… |
Naam: Functie: Datum: | Naam: Functie: Datum: |
Bijlagen
1. Beschrijving van de verwerkingsactiviteiten
2. Procedure bij datalekken
a. Formulier contactgegevens
b. Meldingsformulier (mogelijk) datalek
Bijlage 1 - Beschrijving van de verwerkingsactiviteiten
In het kader van de Dienstverleningsovereenkomst/ Samenwerkingsovereenkomst worden persoonsgegevens verwerkt. In onderstaande tabel is beschreven welke persoonsgegevens bij welke dienst verwerkt worden, van wie deze persoonsgegevens zijn, voor welk doel deze verwerkt wor- den en wie van de Partijen hiervoor de Verwerkingsverantwoordelijke is.
Korte omschrijving diensten | Aard van de verwerking | Te verwerken persoonsgege- vens | Omschrijvingbetrokkenen | Doeleinden van de verwer- king | Verwerkingsverantwoorde- lijke |
Bijv. levering en hosting EPD | Bijv. Verwerking patiënt gegevens, | Bijv. NAW gegevens, medi- sche gegevens, financiële gegevens, etc. | Bijv. Patiënten, familieleden, personeelsleden | Bijv. Verlenen en organise- xxx xxx xxxx, interne be- drijfsvoeringsdoeleinden, etc | |
Levering, onderhoud en hos- ting van verzuimapplicatie | Verwerking verzuimgegevens, planningsgegevens | NAW-gegevens, medische gegevens, gegevens omtrent verzuim, gegevens omtrent aanwezigheid | Personeelsleden | Uitvoering geven aan wette- lijke verplichtingen rondom re-integratie en verzuim, berekening managementin- formatie | |
… | … | … | … | ... |
Bijlage 2 – Procedure bij datalekken
Datalek (Inbreuk in verband met Persoonsgegevens)
Onder een datalek oftewel een inbreuk in verband met Persoonsgegevens wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (zie ook artikel 1.1 van deze Overeenkomst)
Contactgegevens
Om bij inbreuken in verband met persoonsgegevens snel en met de juiste personen contact op te kunnen nemen, worden in deze Overeenkomst in het Formulier Contactgegevens in Bijlage 2a de wederzijdse contactgegevens vastgelegd.. Deze contactpersonen zullen bij Inbreuken in verband met Persoonsgegevens de verdere communicatie binnen de eigen organisatie verzor- gen en aanspreekpunt zijn voor de wederpartij.
Als bij een Partij de contactgegevens wijzigen, mailt deze partij zo spoedig mogelijk een aange- past Formulier Contactgegevens naar de andere Partij.
Melding van datalekken (Inbreuken in verband met Persoonsgegevens)
Als zich een (mogelijk) datalek voordoet bij een Partij, waarvoor de andere Partij de Verwer- kingsverantwoordelijke is, informeert de eerste partij onmiddellijk de Verwerkingsverant- woordelijke Partij volgens onderstaande procedure.
Procedure
1. Vul het meldingsformulier (bijlage 2b) zo compleet mogelijk in en mail dit naar de 1e en 2e contactpersoon van de Verwerkingsverantwoordelijke Partij.
2. Neem telefonisch contact op met de 1e of 2e contactpersoon van de Verwerkingsverant- woordelijke de melding Inbreuk in verband met Persoonsgegevens te bespreken
Communicatie
Indien gecommuniceerd wordt per telefoon bevestigen partijen achteraf schriftelijk de inhoud van het besprokene en de gemaakte afspraken. De contactpersonen controleren minimaal eenmaal per dag hun e-mailbox op binnengekomen e-mailberichten.
Bijlage 2a – Formulier contactgegevens
Contactgegevens Partij 1 | |
Naam organisatie | |
Adres | |
Postcode en plaats | |
Naam 1e contactpersoon | |
E-mailadres 1e contactpersoon | |
Tel. nr. 1e contactpersoon | |
Naam 2e contactpersoon | |
E-mailadres 2e contactpersoon | |
Tel. nr. 2e contactpersoon | |
Contactgegevens Partij 2 | |
Naam organisatie | |
Adres | |
Postcode en plaats | |
Naam 1e contactpersoon | |
E-mailadres 1e contactpersoon | |
Tel. nr. 1e contactpersoon | |
Naam 2e contactpersoon | |
E-mailadres 2e contactpersoon | |
Tel. nr. 2e contactpersoon | |
Bijlage 2b – Meldingsformulier (mogelijk) datalek
Melding (mogelijk) datalek | |
Meldende partij - Naam organisatie | |
- Naam contactpersoon | |
- Functie contactpersoon | |
- Telefoon contactpersoon | |
- E-mail contactpersoon | |
Datum melding | |
(Vermoedelijke) datum datalek | |
Omschrijving datalek | |
Omschrijving (mogelijk) getroffen persoonsgegevens | |
Omschrijving (mogelijk) getroffen betrokkenen | |
Omschrijving (mogelijke) omvang (bijv. aantal getroffen betrokkenen of aantal dos- siers) | |
Geconstateerde/ vermoedelijke ge- volgen van het datalek | |
Omschrijving maatregelen die getrof- fen zijn of getroffen zullen worden om schade te beperken en het datalek op te lossen. | |