KLANT] – Opdrachtnemer (medeverantwoordelijke)

Verwerkersovereenkomst


[KLANT] – Opdrachtnemer (medeverantwoordelijke)


Shape1


Partijen:



[Naam klant + rechtsvorm], gevestigd [postcode] te [plaats] op de [straat en huisnummer], hierna te noemen: “verwerker”, “u” of “uw” te deze rechtsgeldig vertegenwoordigd door [naam], in diens hoedanigheid van [functie];



En



[Naam opdrachtnemer + rechtsvorm], gevestigd Nederland [postcode], te [plaats] op de [straat en huisnummer], hierna te noemen “verwerkingsverantwoordelijke”, “wij”, “ons” of “onze” te deze rechtsgeldig vertegenwoordigd door [naam], in diens hoedanigheid van [functie];



Hierna gezamenlijk aangeduid als “Partijen”



Overwegingen:



  1. Partijen zijn op [datum] de opdracht met [naam/kenmerk] aangegaan vanwege het verrichten van de volgende diensten door verwerker: [invullen, bijvoorbeeld het verrichten van de boekhouding of het uitvoeren van betalingen]

  2. Partijen zijn - vanwege het uitvoeren van deze overeenkomst én met betrekking tot de persoonsgegevens die partijen hierbij zullen verwerken - aan te merken als “verwerkingsverantwoordelijke” en “verwerker” in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG). In deze overeenkomst leggen partijen de wederzijdse rechten en verplichtingen vast, mede met het oog op het bepaalde in de AVG), in het bijzonder art 28 lid 3 AVG.






Partijen komen het volgende overeen:


Art 1     Definities


In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. Veelal wordt in de opsomming hieronder verwezen naar de wettelijke omschrijving van het begrip, maar waar mogelijk worden de begrippen verduidelijkt met niet-limitatieve voorbeelden. Voor meer voorbeelden kunt U de website van de Autoriteit Persoonsgegevens raadplegen.



  1. AVG: De Algemene Verordening Gegevensbescherming.

  2. Betrokkene: Degene op wie een persoonsgegeven betrekking heeft;

  3. Datalek: “Een inbreuk in verband met persoonsgegevens”, zoals bedoeld in art 4 lid 12 AVG die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

  4. Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

  5. Meldplicht datalekken: de verplichting tot het melden van datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan de betrokkene(n), op basis van art 33 AVG.

  6. Medewerkers: personen die werkzaam zijn bij of voor de verwerker, in dienstbetrekking dan wel tijdelijk ingehuurd;

  7. Onderliggende opdracht: de opdracht zoals hierboven bedoeld in de overwegingen onder a);

  8. Overeenkomst: deze verwerkersovereenkomst;

  9. Persoonsgegevens: persoonsgegevens in de zin van art. 4.1 AVG. Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;

  10. Verwerken/verwerking: “verwerking” in de zin van art. 4.2 AVG. Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;


Art. 2    Toepasselijkheid en looptijd


  1. Deze overeenkomst is van toepassing op iedere verwerking die door u als verwerker wordt gedaan op basis van de onderliggende opdracht, gegeven door ons als verantwoordelijke.

  2. Deze overeenkomst treedt in werking op de datum waarop de onderliggende opdracht van kracht wordt en eindigt op hetzelfde moment als de onderliggende opdracht. Het is niet mogelijk deze overeenkomst los van de onderliggende opdracht tussentijds op te zeggen.

  3. Artikel 6 van deze overeenkomst blijft gelden, ook nadat de overeenkomst is beëindigd.


Art. 3 Verwerking



  1. U verwerkt de persoonsgegevens uitsluitend op de manier die wij met u hebben afgesproken in de onderliggende opdracht. Dit verwerken doet u niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze onderliggende opdracht. De verwerking vindt plaats volgens onze instructies, tenzij u op grond van de wet- of regelgeving verplicht bent om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een ongebruikelijke transactie moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme of WWFT).

  2. De verwerking vindt plaats onder onze verantwoordelijkheid. U heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de door ons verwerkte persoonsgegevens en het verstrekken van de persoonsgegevens. Wij dragen zorg voor het duidelijk vaststellen van het doel en de middelen van de verwerking van de persoonsgegevens. De zeggenschap over de persoonsgegevens berust nooit bij u. Slechts als u een zelfstandige verplichting mocht hebben op basis van onder andere de voor u geldende beroeps- en gedragsregels met betrekking tot bijvoorbeeld het bewaren van bepaalde Persoonsgegevens, dan leeft u deze verplichtingen na.

  3. U bent verplicht zorg te dragen voor een juiste naleving van de AVG, en de andere wet- en regelgeving op het gebied van privacy. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens als bedoeld in art. 6 AVG. U zorgt ervoor dat u voldoet aan de op u als verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en de afspraken die u heeft gemaakt in deze overeenkomst.

  4. U zorgt ervoor dat alleen uw medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop is opgenomen in art. 3 lid 5. U beperkt de toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze medewerkers nodig hebben voor hun werkzaamheden. U zorgt er bovendien voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de Wbp.

  5. U kunt derden (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze derden over specialistische kennis of middelen beschikken waarover u niet beschikt. Als het inschakelen van derden tot gevolg heeft dat deze persoonsgegevens gaat verwerken dan legt u die derden (schriftelijk) alle verplichtingen uit deze overeenkomst op. Met ondertekening van deze overeenkomst geven wij toestemming voor het inschakelen van de derden die genoemd zijn in de bijlage. Voor het inschakelen van overige derden vraagt u eerst om onze toestemming. Wij kunnen toestemming weigeren maar dit kan in sommige gevallen betekenen dat u de onderliggende opdracht moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan u. Als u derden inschakelt dan zult u deze derden (schriftelijk) alle verplichtingen uit deze overeenkomst opleggen.

  6. Wij kunnen u verzoeken om persoonsgegevens te zoeken, wijzigen of verbeteren als u in het kader van de onderliggende opdracht toegang heeft tot deze persoonsgegevens. Als u (rechtstreeks) verzoeken ontvangt van betrokkene(n) om inzage, wijziging of verbetering van persoonsgegevens, dan zendt u deze verzoeken door naar ons. Wij handelen deze verzoeken zelf af. Natuurlijk kunt u ons behulpzaam zijn als u in het kader van de onderliggende opdracht toegang heeft tot deze persoonsgegevens.


Wij moeten u hierom wel expliciet (en schriftelijk, of per e-mail) verzoeken.

  1. U verwerkt de persoonsgegevens alleen binnen de Europese Economische Ruimte, tenzij u hierover met ons andere afspraken heeft gemaakt. Deze afspraken leggen wij gezamenlijk schriftelijk vast, of per e-mail.

  2. Als u een verzoek krijgt om persoonsgegevens ter beschikking te stellen dan doet u dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt u eerst of u van mening bent dat het verzoek bindend is, of dat u op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt u ons op de hoogte van het verzoek. U probeert dat op zodanig korte termijn te doen, dat het voor ons mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als u ons op de hoogte mag stellen dan overlegt u met ons over de wijze waarop en welke gegevens u ter beschikking stelt.



Art. 4    Beveiligingsmaatregelen



  1. U heeft de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze overeenkomst hoort. U garandeert dat deze maatregelen doeltreffend zijn. Hierbij wordt de stand van de techniek en de kosten van de beveiligingsmaatregelen in acht genomen.

  2. U heeft ons goed geïnformeerd over de beveiligingsmaatregelen die u heeft genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de risico’s van de verwerking.

  3. U informeert ons als een van de beveiligingsmaatregelen substantieel wijzigt.

  4. Als wij de wijze waarop u de beveiligingsmaatregelen naleeft willen laten inspecteren, dan doen wij hiertoe een verzoek aan u. Wij maken hierover gezamenlijk met u afspraken. De kosten van een inspectie zijn voor onze rekening. Wij stellen aan u een kopie van het inspectierapport ter beschikking.



Art. 5    Datalekken en andere beveiligingsincidenten



  1. Als sprake is van een datalek dan stelt u ons daarvan zonder onredelijke vertraging op de hoogte. U streeft ernaar dit te doen binnen 48 uur nadat u dit datalek heeft ontdekt of daarover door uw sub-verwerkers bent geïnformeerd. U voorziet ons daarbij van de informatie die wij redelijkerwijs nodig hebben om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de meldplicht datalekken. Ook van de door u naar aanleiding van het datalek genomen maatregelen houdt u ons op de hoogte.

  2. De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is onze verantwoordelijkheid.



 






Art. 6    Geheimhoudingsplicht



  1. U houdt de persoonsgegevens geheim en maakt geen persoonsgegevens in enige vorm openbaar aan een werknemer of derde partij zonder voorafgaande schriftelijke toestemming. Medewerkers en eventuele sub-verwerkers die toestemming hebben van de persoonsgegevens kennis te nemen worden ook verplicht tot geheimhouding. U neemt in ieder geval met betrekking tot de aan partijen toevertrouwde persoonsgegevens geheimhouding in acht zoals deze voor u geldt op basis van beroeps-en gedragsregels.

  2. U verschaft alleen werknemers toegang tot de persoonsgegevens voor zover dit noodzakelijk is om de verwerking uit te voeren. Werknemers die toegang hebben tot de persoonsgegevens respecteren de vertrouwelijkheid en de beveiliging van persoonsgegevens en u verzekert ons dat de ingeschakelde werknemer deze geheimhouding in stand houdt.

  3. U stelt ons op de hoogte van ieder verzoek van een ander dan de betrokkenen tot kennisneming, verstrekking of ander vorm van opvragen en mededeling van de persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht tenzij de wet dat verbiedt. Xxxxxxxxx van betrokkenen geeft u door aan ons of u verwijst betrokkenen door naar ons.



Art. 7    Aansprakelijkheid



  1. Wij staan er voor in dat de verwerking van persoonsgegevens op basis van deze overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).

  2. Wij zijn niet aansprakelijk voor schade die het gevolg is van het door u niet naleven van de AVG, of andere wet- of regelgeving. U vrijwaart ons voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die wij moeten maken in de juridische procedure, zoals bijvoorbeeld griffierechten en kosten voor een advocaat, en eventuele boetes die aan ons worden opgelegd.

  3. De in de onderliggende opdracht en in de daarbij behorende algemene voorwaarden overeengekomen beperking van onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze overeenkomst en/of de onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.



Art. 8    Overdraagbaarheid overeenkomst



  1. Het is voor u en ons, behalve als wij gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze overeenkomst en de rechten en de plichten die samenhangen met deze overeenkomst over te dragen aan een ander.



 



Art. 9    Beëindiging en teruggave/vernietiging persoonsgegevens



  1. Als de onderliggende opdracht wordt beëindigd dan draagt u de door ons aan u verstrekte persoonsgegevens onverwijld aan ons terug over of – als wij u daarom verzoeken – vernietigt u de persoonsgegevens, tenzij u verplicht bent de persoonsgegevens te bewaren op grond van wet- of (beroeps)regelgeving.

  2. De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de onderliggende opdracht zijn voor uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens.



Art. 10  Aanvullingen en wijzigingen overeenkomst



  1. Aanvullingen en wijzigingen op deze overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” wordt mede verstaan wijzigingen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.



Art. 11  Slotbepalingen



  1. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze overeenkomst.

  2. Deze overeenkomst is hoger in rang dan andere door ons met u gesloten overeenkomsten. Als u algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze overeenkomst. De bepalingen uit deze overeenkomst gaan boven de bepalingen in onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

  3. Als één of meerdere bepalingen in deze overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze overeenkomst. Wij treden dan met u in overleg om gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.

  4. Mededelingen in het kader van deze overeenkomst zullen door u en ons worden gedaan aan onderstaande medewerkers:



[naam]



[werkzaam bij: ]



[contactgegevens]





[naam]



[werkzaam bij: ]



[contactgegevens]



Als de gegevens behorend bij de bovengenoemde medewerkers veranderen, of als zij     worden vervangen door andere medewerkers, dan lichten wij elkaar daarover in.



5. De in deze Overeenkomst genoemde voorbeelden dienen ter verduidelijking van de in de Overeenkomst opgenomen regeling en zijn geen limitatieve opsomming.



Ondertekening



Ondertekend op [datum]





 _______________________________             _______________________________



[naam klant + naam ondertekenaar]                 [naam opdrachtnemer + naam

ondertekenaar]                 



 



 



 



 



 



 



 


Bijlage beveiligingsmaatregelen/derden



Persoonsgegevens



De volgende persoonsgegevens zullen in het kader van de onderliggende opdracht worden verwerkt:



[opsomming van soort gegevens opnemen, in te vullen door NET people management. Let op bij bijzondere of gevoelige persoonsgegevens[1]. Voor het verwerken van bijzondere persoonsgegevens is een wettelijke grondslag nodig en bij de verwerking van gevoelige persoonsgegevens worden hogere eisen gesteld aan de beveiliging. Voor meer informatie over bijzondere en gevoelige gegevens: raadpleeg de website van de Autoriteit Persoonsgegevens.]



Verwerking



U verwerkt op de volgende wijzen persoonsgegevens voor ons:



[opsomming van handelingen die worden verricht door de verwerker met betrekking tot de persoonsgegevens – in te vullen door NET people management].



Wij bepalen welke persoonsgegevens worden verwerkt en op welke wijze. Wij zijn verantwoordelijke voor deze verwerking.



Technische en organisatorische maatregelen



U neemt de volgende technische en organisatorische maatregelen ter bescherming van de persoonsgegevens tegen verlies of onrechtmatige verwerking:



[opsomming van te nemen maatregelen, in te vullen door NET people management]



Derden



U schakelt deze derden (sub-bewerkers) in bij het uitvoeren van de opdracht:



[opsomming van in te schakelen derden, op te nemen door verwerker]



 

[1] De Persoonsgegevens zoals genoemd in hoofdstuk 10 van de AVG. Dit zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, en strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

Document Metadata

Filed: June 18th, 2018