Afspraken voor de verwerking van persoonsgegevens
Afspraken voor de verwerking van persoonsgegevens
Afspraken t.b.v. verwerking van persoonsgegevens
Partijen
Overwegende dat:
A. partijen per 1 januari 2019 een hoofdovereenkomst hebben gesloten voor het leveren van de maatwerkvoorziening Wmo Begeleiding;
B. dit document een bijlage is van de hoofdovereenkomst tussen de gemeente en de wederpartij;
C. voor de uitvoering van deze hoofdovereenkomst het noodzakelijk is dat beide Partijen als Verwerkersverantwoordelijke persoonsgegevens verwerken, zowel zelfstandig als gezamenlijk;
D. Partijen veel waarde hechten aan het beschermen van de persoonsgegevens die aan hen worden toevertrouwd;
E. Partijen daarom in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) hun afspraken over de verwerking van Persoonsgegevens wensen vast te leggen in dit document. Deze afspraken zijn van toepassing op alle vormen van verwerking van Persoonsgegevens die Partijen uitvoeren in het kader van de hoofdovereenkomst;
F. Partijen gezamenlijk het doel en de middelen van de verwerking bepalen. Partijen maken in dit document tussen twee verwerkersverantwoordelijken afspraken over de (gezamenlijke) verwerking van persoonsgegevens in het kader van de uitvoering van de diensten.
Komen het volgende overeen:
Artikel 1 Definities
a. Autoriteit persoonsgegevens (AP): toezichthoudende autoriteit op de naleving van de AVG;
b. AVG: Algemene Verordening Gegevensbescherming, Verordening (EU)2016/679 van het Europese Parlement en de Raad van 27 april 2016. Betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
c. Betrokkene: geïdentificeerde of identificeerbare natuurlijke persoon van wie gegevens worden verwerkt;
d. Datalek: inbreuk in verband met persoonsgegevens, een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
e. Derde: een natuurlijkpersoon, rechtspersoon of een overheidsinstantie niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker of de (natuurlijke) personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke en / of verwerker gemachtigd zijn om de persoonsgegevens te verwerken;
f. Diensten: alle diensten die partijen leveren aan elkaar en voor of aan derden;
g. Hoofdovereenkomst: overeenkomst maatwerkvoorziening Wmo Begeleiding 2019 Open House, gemeenten Altena, Drimmelen, Geertruidenberg en Oosterhout.
h. Melding: melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende partij en/ of aan de betrokkene Zoals omschreven in artikel 34 AVG
i. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene");
j. Register: verwerkingsregister waarin verwerkingsactiviteiten worden geregistreerd;
k. Subverwerker: derde-partij die in opdracht van de gemeente of de wederpartij verwerkt voor een van deze partijen;
l. Verwerking: een bewerking of een geheel van bewerkingen van persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
m. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;.
Artikel 2 Doeleinden van verwerking
2.1 Partijen hechten grote waarde aan het beschermen van persoonsgegevens en zullen bij de Verwerking van Persoonsgegevens telkens handelen in overeenstemming met actuele wet- en regelgeving.
2.2 Partijen verwerken persoonsgegevens onder de voorwaarden van de afspraken in dit document. Verwerking vindt uitsluitend plaats in het kader van de in bijlage 1 genoemde doelen, plus die doeleinden die daarmee redelijkerwijs samenhangen of doelen die met latere instemming worden bepaald.
2.3 Ook vermeldt bijlage 1 welke soorten persoonsgegevens worden verwerkt en van welke categorieën van personen deze gegevens afkomstig zijn. Partijen zullen de persoonsgegevens niet voor enig ander doel verwerken dan zoals is vastgesteld. Partijen zullen elkaar op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet al in deze overeenkomst zijn genoemd. Partijen mogen de persoonsgegevens gebruiken voor kwaliteitsdoeleinden, zoals het enquêteren van de betrokkenen of het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van haar dienstverlening.
2.4 Gegevens die de gemeente verwerkt en door de wederpartij zijn verstrekt, blijven eigendom van de wederpartij en/of de betreffende betrokkene.
Artikel 3 Verplichtingen Partijen
3.1 Ten aanzien van de in artikel 2 genoemde verwerkingen zorgen Partijen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de Algemene Verordening Gegevensbescherming.
3.2 De ene Partij zal de andere Partij, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen om aan haar verplichtingen uit dit document te voldoen.
3.3 De verplichtingen van Partijen uit deze overeenkomst / addendum gelden ook voor derde en sub verwerkers.
3.4 De ene Partij zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan andere Partij ten behoeve van het uitvoeren van data protection impact assessment (DPIA’s).
Artikel 4 Doorgifte van persoonsgegevens
Partijen mogen de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is alleen toegestaan na instemming van de andere partij.
Artikel 5 Verdeling van verantwoordelijkheid
De toegestane verwerkingen zullen door medewerkers van Partijen worden uitgevoerd binnen een geautomatiseerde omgeving.
5.1 Partijen zijn alleen verantwoordelijk voor de eigen verwerking van persoonsgegevens onder de hoofdovereenkomst of voor de verwerking van door hun aangestelde verwerkers en sub verwerkers. Partijen zijn niet verantwoordelijk voor overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling en verwerking van de persoonsgegevens door de andere Partij, verwerkingen door de andere Partij ingeschakelde derden en/of voor andere doeleinden.
5.2 Partijen garanderen dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in dit document niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
5.3 Partijen verwerken de persoonsgegevens niet verder dan de vooraf vastgestelde doelbinding (te vinden in bijlage 1) en verwerken de persoonsgegevens niet intensiever dan noodzakelijk.
Artikel 6 Inschakelen van derden/ verwerkers
6.1 Partijen mogen in het kader van de afspraken in dit document gebruik maken van derden (subverwerkers) onder voorwaarde dat deze vooraf worden gemeld aan de andere Partij. Partijen mogen bezwaar maken als het gebruik van een specifieke gemelde derde onaanvaardbaar voor haar is. Een overzicht van de sub verwerkers is terug te vinden in bijlage 1. De partij die een sub verwerker aanstelt, draagt zorg voor de actualisering van de lijst.
6.2 Partijen zorgen er in ieder geval voor dat deze derden schriftelijk ten minste dezelfde plichten op zich nemen als tussen Partijen zijn overeengekomen. Partijen hebben het recht de mogelijk hierbij betrokken overeenkomsten in te zien.
6.3 Partijen staan in voor een correcte naleving van de plichten uit deze samenwerkings- overeenkomst door deze derden en zijn bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) hebben begaan.
Artikel 7 Beveiliging persoonsgegevens
7.1 Partijen zullen in overeenstemming met de geldende wettelijke regels de beveiliging van de persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.
7.2 Partijen zullen in overeenstemming met de geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het risico afgestemd beveiligingsniveau te waarborgen. Om hieraan te kunnen voldoen zullen Partijen elkaar informeren over de betrouwbaarheidseisen die op de verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van persoonsgegevens.
7.3 Partijen zullen bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en de verwerkingsdoelen en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.
7.4 Indien Partijen een beoordeling wensen uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de hoofdovereenkomst zullen Partijen alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Ook zullen zij alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving.
Artikel 8 Meldplicht beveiligingsincidenten
8.1 Partijen informeren elkaar direct (binnen 24 uur) nadat een van de Partijen kennis heeft genomen van een beveiligingsincident met betrekking tot de verwerking van persoonsgegevens. De Partij bij wie het incident zich voordoet, is verantwoordelijk voor de afweging omtrent de melding, de daadwerkelijke melding aan de Autoriteit Persoonsgegevens en / of betrokkene(n), het onderzoeken van het beveiligingsincident en het uitvoeren van passende maatregelen.
8.2 Doet een beveiligingsincident zich voor, dan zullen Partijen alle redelijke maatregelen treffen om de gevolgen van het incident te beperken en/of een nieuw incident te voorkomen. Partijen zullen alle medewerking verlenen aan elkaar om het beveiligingsincident te beoordelen en te kunnen voldoen aan de eventuele meldplicht aan de toezichthouder en de eventuele plicht tot het informeren van betrokkenen.
8.3 De meldplicht aan de toezichthouder omvat in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast bevat de meldplicht:
• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
• de maatregelen die de betreffende Partij heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
8.4 Als een beveiligingsincident leidt tot een meldplicht of een informatieplicht, zal de melding of de informatievertrekking in overleg worden verricht. De kosten die daarmee gepaard gaan komen voor rekening van de Partij aan wie het beveiligingsincident toe te rekenen is. Bij onduidelijkheid over de toerekenbaarheid maken Partijen in goed overleg afspraken over de verdeling van deze kosten.
Artikel 9 Afhandeling verzoeken van betrokkenen
Een betrokkene kan een verzoek tot uitoefening van zijn/haar wettelijke rechten richten aan een van de Partijen. Partijen zullen het verzoek van de betrokkene in onderling overleg afhandelen. De door betrokkene aangesproken Partij blijft in dat geval wel eindverantwoordelijk voor de afhandeling en aanspreekpunt voor de Betrokkene.
Artikel 10 Geheimhouding en vertrouwelijkheid
10.1 Op alle persoonsgegevens die Partijen ontvangen en/of zelf verzamelen in het kader van de hoofdovereenkomst, rust een geheimhoudingsplicht. Partijen zullen deze informatie bovendien niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
10.2 Deze geheimhoudingsplicht is niet van toepassing voor zover:
a) De andere Partij uitdrukkelijke toestemming heeft gegeven om de informatie voor een bepaald doel aan derden te leveren;
b) Als het verstrekken van de informatie aan derden logischerwijs noodzakelijk is in verband met de aard van de verstrekte opdracht en de uitvoering van deze samenwerkings-overeenkomst, of;
c) Als er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 11 Controle en audits
11.1 Partijen hebben het recht om op eigen kosten audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden. De audit dient ter controle van naleving van de beveiligingseisen, naleving van de algemene regels rond verwerking van persoonsgegevens, naleving van alle punten uit de overeenkomst, en alles dat daar direct verband mee houdt.
11.2 Deze audit mag eenmaal per jaar plaatsvinden. Daarnaast mag de audit plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
11.3 Partijen zullen aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
11.4 De bevindingen uit de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
11.5 De kosten voor de aanpassingen komen in beginsel voor eigen rekening. De kosten komen voor rekening van de andere Partij indien de aanpassingen het gevolg zijn van een tekortkoming van de andere Partij bij de nakoming van de beveiligingseisen uit de overeenkomst.
11.6 De kosten van de audit komen voor rekening voor de Partij die de audit laat uitvoeren. De kosten komen voor rekening van de Partij waarbij de audit wordt toegepast indien deze Partij niet conform de Verwerkersovereenkomst blijkt te hebben gewerkt, en/of er fouten worden gevonden, die toegerekend moeten worden aan deze Partij.
11.7 In geval van onderzoek voor de AP of een andere bevoegde autoriteit zullen Partijen alle redelijke medewerking verlenen en elkaar zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de verdeling van de kosten.
Artikel 12 Aansprakelijkheid
12.1 De Partij die toerekenbaar tekortschiet in de nakoming van zijn verplichtingen, is tegenover de andere Partij aansprakelijk voor de door deze geleden en/of te lijden schade.
12.2 De aansprakelijkheid voor schade, uit welke hoofde dan ook, is beperkt tot viermaal de hoogte van de vergoeding per gebeurtenis, waarbij de aansprakelijkheid nooit meer bedraagt dan €5.000.000,-.
Artikel 13 Wijzigingen
13.1 Deze afspraken gelden voor de duur zoals bepaald in de Hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
Verplichtingen met een duurkarakter blijven tussen Partijen in stand, waaronder de geheimhoudingsverplichting in artikel 10 en de aansprakelijkheid in artikel 12.
13.2 Bij wijziging in de diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging in de overeenkomst. De wijzigingen in de tekst van deze overeenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordiging van Partijen worden overeengekomen.
13.3 Wijzigingen in de Bijlage behorend bij dit document kunnen door Partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.
Artikel 14 Toepasselijk recht en geschillenbeslechting
14.1 De overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
14.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de overeenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de gemeente gevestigd is.