VERWERKERSOVEREENKOMST BEHORENDE BIJ SAMENWERKINGSOVEREENKOMST PARTICIPATIEWET REGIONALE SOCIALE RECHERCHE NOORD-LIMBURG
VERWERKERSOVEREENKOMST BEHORENDE BIJ SAMENWERKINGSOVEREENKOMST PARTICIPATIEWET REGIONALE SOCIALE RECHERCHE NOORD-LIMBURG
Gemeente <gemeente>, waarvan het college van Burgemeester en Wethouders de verwerkingsverantwoordelijke is, verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door <burgemeester, tenzij deze een ander heeft gemachtigd: de heer of mevrouw> <voorletters, persoonsnaam>, <functie>,
en
het college van burgemeester en wethouders van de gemeente Venlo, verder te noemen Verwerker, hierbij rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxxxxx, burgemeester gemeente Venlo,
hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen” Overwegen het volgende:
a) Partijen hebben op <datum> de Samenwerkingsovereenkomst Participatiewet Regionale Sociale Recherche Noord-Limburg, hierna Hoofdovereenkomst, afgesloten, op grond waarvan Verwerker de volgende dienst(en) levert aan de Verwerkingsverantwoordelijke: toezicht en handhaving Participatiewet, de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers (IOAW), de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen (IOAZ) en het Besluit bijstandverlening zelfstandigen 2004 (Bbz);
b) Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;
c) Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;
d) Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);
Artikel 1 Definities
1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.
1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die onlosmakelijk deel uitmaken van deze Verwerkersovereenkomst.
Artikel 2 Ingangsdatum en duur
2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.
2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd en de afspraken over het teruggeven en/of wissen van Persoonsgegevens zijn nagekomen.
Artikel 3 Onderwerp van deze Verwerkersovereenkomst
3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van
postadres Xxxxxxx 0000
xxxxxxxx 0000 XX Xxxxx
Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan zonder onredelijke vertraging in kennis stellen, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.2 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.
Artikel 4 Inhoudelijke afspraken
4.1 Beveiligingsmaatregelen
Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.
4.2 Audits
Verwerker verleent alle benodigde medewerking aan audits uitgevoerd door een gecertificeerde auditor over de nakoming van de afspraken binnen deze Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel van een geldige certificering, die periodiek door een geaccrediteerde instelling wordt getoetst, heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten van deze audit worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke.
4.3 Verwerking buiten de EER
Verwerker mag Persoonsgegevens buiten de Europese Economische Ruimte (laten) verwerken wanneer is voldaan aan de voorwaarden van artikel 45 en 46 AVG. Wanneer er sprake is van een verwerking buiten de EER, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan vooraf op de hoogte.
4.4 Geheimhouding
Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Xxxxxxxxx en subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.
4.5 Subverwerkers
De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1.
Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van subverwerkers. Verwerker houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde inschakeling van nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven de artikelen 28.2 en
28.4 AVG onverkort van kracht.
4.6 Rechten van betrokkenen
Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.
4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.
Artikel 5 Inbreuk in verband met Persoonsgegevens
5.1 Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het aantal betrokkenen.
5.2 In geval van een Inbreuk neemt Verwerker zonder onredelijke vertraging alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.
5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.
5.4 Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Verwerker ondersteunt de Verwerkingsverantwoordelijke waar nodig bij de melding aan de toezichthoudende autoriteit en/of Betrokkene.
Artikel 6 Aansprakelijkheid
6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van de aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst.
Artikel 7 Beëindigen verwerkersovereenkomst
7.1 Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens.
7.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.
Artikel 8 Overige bepalingen
8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.
Ondertekening
Aldus overeengekomen en in tweevoud ondertekend,
Ingangsdatum: <ingangsdatum>
Gemeente <Gemeente> Gemeente Venlo
De burgemeester van <Gemeente> De burgemeester van Venlo
<voorletters, naam> de xxxx X. Xxxxxxxx
plaats: <plaats> plaats: Venlo
datum:……………………………. datum:…………………………….
Bijlage 1: Overzicht van te verwerken persoonsgegevens
1. Naam verwerking, doeleinden categorieën van betrokkenen, soort persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerking | Verwerkingsdoeleinden | Categorieën van Betrokkenen | Categorie Persoonsgegevens (waaronder bijzondere persoonsgegevens) | Doorgifte naar derde landen |
Onderzoek naar juistheid en rechtmatigheid van een uitkering. | Toetsen op rechtmatigheid van een uitkering in het kader van de Participatiewet, de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers (IOAW), de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen (IOAZ) en het Besluit bijstandverlening zelfstandigen 2004 (Bbz) | Inwoner van de gemeente <naam> die de uitkering ontvangt, (mogelijke) partners, (mede)bewoners, familieleden zoals ouders en kinderen, getuigen, melders | Inwoner en partner: naam, contactgegevens, geslacht, geboortegegevens, nationaliteit, gezinssituatie, kenteken, BSN, camerabeelden, financiële gegevens Inwonende kinderen en andere (mede)bewoners: naam, contactgegevens, geslacht, geboortedatum, kenteken, camerabeelden, financiële gegevens Getuigen: naam, contactgegevens, geboortedatum, geboorteplaats en ID gegevens (welk document en nummer van het document) Melder: naam, contactgegevens | Nee |
2. Contactgegevens
Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren) | Naam: <naam> Contactgegevens: <contactgegevens> (Vermoedelijk) beveiligingsincident: <meld-adres> |
Contactpersoon Verwerker (NB: Ook buiten kantooruren) | Naam: Xxxx Xxxxxx, teamleider Werk Contactgegevens: x.xxxxxx@xxxxx.xx, 06-22472008 |
Contactgegevens IBD | Telefoonnummer: 070 - 373 8011 |
NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.
3. Ingeschakelde subverwerkers
Naam en contactgegevens subverwerker | KvK-nummer | Uitbestede verwerkingen | Toepassing |
ICT NML | 70563934 | hosting | Het on premise hosten van de procesondersteunende systemen Liaan, Suit/DIS voor het sociaal domein, IZRM en Microsoft. |
Digitale Opsporing B.V. | 51712342 | Internet rechercheren | Met behulp van openbare bronnen op internet onderzoek doen via de applicatie iRC. |
Bijlage 2: Aantonen passend niveau van beveiliging en aansluiting bij gedragscode
Normenstelsel
□ De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk:
………………………………………………………………………………………………………. (vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS).
✓ De informatiebeveiliging vindt plaats volgens een algemeen erkende overheidsnorm zoals de BIG (of de BIR, BIO) of vergelijkbaar, namelijk: BIG/BIO…………………………………………………………………………………….
□ Xxxxxx, nl. …………………………………………………………………………………………
De toereikendheid van de informatiebeveiliging blijkt uit de volgende certificering en verklaring van toepasselijkheid:
✓ Periodieke externe controles zoals audits, pentesten of TPM’s (bijv. ISAE3xxx SOC type II);
✓ Een Assurance rapport van een auditor die is aangesloten bij NOREA;
✓ Eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven:
- bewustwording medewerkers t.a.v. informatiebeveiliging is getoetst middels een e-learning (geen dossiers op bureaus of in auto’s, geen gegevens op externe devices of gegevensdragers, computer uitzetten of schermbeveiliging enz.);
- de applicaties zijn beveiligd volgens het vastgestelde beleid ‘Logische toegangsbeveiliging’;
- in Venlo wordt gewerkt volgens het vastgestelde beleid ‘Dataclassificatie’.
NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in bijlage 1.
✓ Verwerker heeft een gedragscode die is goedgekeurd door de directie van de gemeente Venlo.
- Verwerker is aangesloten bij een goedgekeurde gedragscode, te weten:
………………………………………………………………………………………………………