VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

Verantwoordelijke te weten Stichting Zayaz, statutair gevestigd te ’s-Hertogenbosch, vertegenwoordigd door

hierna te noemen: “Verwerkingsverantwoordelijke”, en

Verwerker te weten

,

statutair gevestigd te

,

ingeschreven in het Handelsregister van de Kamer van Koophandel onder dossiernummer

,

vertegenwoordigd door

hierna te noemen: “Verwerker”, gezamenlijk aan te duiden als: “Partijen”,

Overwegende dat:

Partijen hebben een Overeenkomst met betrekking tot

gesloten.

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

Om deze overeenkomst te kunnen uitvoeren, worden Persoonsgegevens verwerkt.

Verwerkingsverantwoordelijke hecht grote waarde aan het beschermen van deze Persoonsgegevens, daarom is Verwerker verantwoordelijk voor de gegevens die Verwerker gaat verwerken. En leggen Partijen in deze Verwerkersovereenkomst vast wat Verwerker wel en niet mag doen met de Persoonsgegevens.

Dit geldt ook voor de daarbij behorende onderstaande bijlagen:

1. Overzicht verwerkingen persoonsgegevens en verwerkingsdoelen

2. Proces rondom melden datalekken

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;

Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrecht- matige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);

Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon

(„de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatie- nummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van

die natuurlijke persoon;

Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen;

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzame- len, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de

verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen

2. Totstandkoming, duur en beëindiging van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst treedt in werking op het moment dat Persoonsgegevens worden gedeeld of uitgewisseld.

2.2 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.

2.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.

2.4 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Verwerker zoals het melden van Datalekken, waarbij de Persoonsgegevens van Verwerkings-verantwoordelijke betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

3. Verwerken Persoonsgegevens

3.1 Verwerker zal alleen Persoonsgegevens verwerken in opdracht van Verwerkings-verantwoordelijke en heeL geen zeggenschap over de Persoonsgegevens. Verwerker volgt instructies van Verwerkings- verantwoordelijke hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Verwerkingsverantwoordelijke Verwerker daar van te voren toestemming of opdracht voor geeL.

3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens Verwerker precies zal verwerken en voor welke verwerkings-doeleinden.

3.3 Verwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

3.4 Verwerker mag zonder voorafgaande schriLelijke toestemming van Verwerkings-verantwoordelijke geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

3.5 Wanneer Verwerker met toestemming van Verwerkingsverantwoordelijke andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkers- overeenkomst.

3.6 Wanneer Verwerkingsverantwoordelijke een verzoek krijg van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt Xxxxxxxxx daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of af- scherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

4. Beveiligen van Persoonsgegevens

4.1 Verwerker zorgt ervoor dat de Persoonsgegevens voldoende worden beveiligd. Om verlies en onrechtmati- ge verwerkingen te voorkomen, neemt Verwerker passende technische en organisatorische maatregelen.

4.2 Verwerkingsverantwoordelijke mag een inspectie of audit in de organisatie van Verwerker laten uitvoe- ren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Ver- werkers-overeenkomst voldoet. Hierbij zal Verwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.

4.2.1 De kosten voor de uitvoering van deze audit zullen voor rekening van Xxxxxxxxx komen wanneer blijkt dat Xxxxxxxxx zich niet aan de verplichtingen in deze Verwerkers-overeenkomst houdt.

4.2.2 De controle op de algehele verwerking van Persoonsgegevens door Verwerker kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. Verwerker zal hierbij aan Verwerkingsverant-

woordelijke een rapport verstrekken waarin Xxxxxxxxx aantoont dat Verwerker voldoet aan de wet en de afspraken uit deze Verwerkersovereenkomst.

4.3 Wanneer een van de Partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen nood- zakelijk is, treden Partijen in overleg over de wijziging en de kosten daarvan.

5. Exporteren Persoonsgegevens

5.1 Verwerker mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriLelijke toe- stemming te hebben verkregen van Verwerkingsverantwoordelijke.

6. Geheimhouding

6.1 Verwerker zal aan de Verwerkingsverantwoordelijke verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

6.2 Verwerker zal ervoor zorgen dat ook personeel van Verwerker en ingeschakelde hulppersonen zich aan deze geheimhouding houden.

7. Datalekken

7.1 In geval van een ontdekking van een mogelijk Datalek zal Verwerker de Verwerkingsverantwoordelij- ke hierover informeren binnen 24 uur via xxxxx@xxxxx.xx. Verwerker zal de informatie verstrekken die is aangegeven in Bijlage 2, zodat Verwerkingsverantwoordelijke indien nodig een melding kan doen bij de Toezichthouder.

7.2 Na de melding van een Datalek aan Verwerkingsverantwoordelijke, zal Verwerker de Verwerkings- verantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Verwerker heeL getroffen om de omvang van het Datalek te beperken, te beëindi- gen en een soortgelijk incident in de toekomst te kunnen voorkomen.

7.3 Het is niet toegestaan dat Verwerker een melding van een Datalek doet aan de Toezichthouder. Ook mag Verwerker de Betrokkenen niet informeren over het Datalek. Dit is de verantwoordelijk- heid van de Verwerkingsverantwoordelijke.

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

8. Aansprakelijkheid

8.1 Als Verwerker de verplichtingen uit deze Verwerkersovereenkomst niet nakomt, stelt Verwerkings- verantwoordelijke de Verwerker daarvoor aansprakelijk.

8.2 Verwerker is aansprakelijk voor alle directe en indirecte schade geleden door het niet nakomen van de wet en de bepalingen uit deze Verwerkersovereenkomst, voor zover dit is ontstaan door werk- zaamheden van Xxxxxxxxx. Voor onderzoek bij een Datalek mag de Verwerkingsverantwoordelijke een expert inschakelen, dit valt onder de indirecte schade.

8.3 Verwerker is aansprakelijk voor de aan Verwerkingsverantwoordelijke opgelegde bestuurlijke boete door de Toezichthouder als de geleden schade het gevolg is van Verwerkers onrechtmatig of nalatig handelen.

8.4 Verwerkingsverantwoordelijke is niet aansprakelijk voor de aanspraken van Xxxxxxxxxxx of andere personen en organisaties waar Verwerker de samenwerking mee is aangegaan of waarvan Verwerker Persoonsgegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen door Verwer- ker.

9. Teruggave Persoonsgegevens en bewaartermijn

9.1 Na het beëindigen van deze Verwerkersovereenkomst geeL Verwerker de Persoonsgegevens terug indien van toepassing.

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

9.2 Eventuele overgebleven Persoonsgegevens zal Verwerker op een zorgvuldige en veilige manier vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van Verwerkings- verantwoordelijke. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer Verwerker de Persoons- gegevens moet bewaren om belastingtechnische redenen.

9.3 Verwerker zal na de teruggave en/of vernietiging van de Persoonsgegevens schriLelijk aan Verwer- kingsverantwoordelijke verklaren dat Verwerker de Persoonsgegevens niet langer heeL.

10. Slotbepalingen

10.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.

10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Over- eenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst ten aanzien van de verwerking van Persoonsgegevens.

10.3 Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer Partijen dit samen schrif- telijk afspreken.

10.4 Op deze Verwerkersovereenkomst en werkzaamheden van Verwerker is het Nederlandse recht van toepassing.

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

10.5 Over eventuele geschillen tussen Partijen bepaalt de rechter in de rechtbank binnen het gebied waar de Stichting van Verwerkingsverantwoordelijke gevestigd is.

Aldus door Partijen overeengekomen en ondertekend:

VERWERKINGSVERANTWOORDELIJKE:

Ondertekend voor en namens:

Stichting Zayaz

Naam:

Functie:

Datum en plaats:

Handtekening:

VERWERKER:

Ondertekend voor en namens:

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

Naam: Functie:

Datum en plaats:

Handtekening:

versie 1

mei 2018

Paraaf Verwerkings­ verantwoordelijke:

Paraaf Verwerker:

7

BIJLAGE 1: OVERZICHT VERWERKINGEN PERSOONSGEGEVENS EN VERWERKINGSDOELEN

In dit overzicht staan de persoonsgegevens die verwerkt worden. Dit maakt het makkelijker om aan te tonen waar, door wie en met welk doel de persoonsgegevens worden verwerkt.

Beschrijving verwerkingen door Xxxxxxxxx:

De persoonsgegevens worden gebruikt om:

Adresgegevens van (eventuele) Subverwerkers:

Adresgegevens van (eventuele) Subverwerkers:

Postbus 488 ▪ 5201 al ▪ ’s-Hertogenbosch

Naam, adres en woonplaatsgegevens Telefoonnummers, e-mailadressen Toegangs/ of identificatie gegevens Financiële gegevens Burgerservicenummer (BSN) Kopieën ID / legitimatiebewijzen

Geslacht, geboortedatum en/of leeLijd

Bijzondere persoonsgegevens (zie bijlage 2)

Locatie verwerkingen (waar worden de gegevens opgeslagen):

versie 1

mei 2018

Paraaf Verwerkings­ verantwoordelijke:

Paraaf Verwerker:

8

BIJLAGE 2: PROCES RONDOM MELDEN DATALEKKEN

Wat is een beveiligingsincident en wanneer moet dit gemeld worden?

Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwer- kingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP adressen of identificerende gegevens van computers of telefoons.

Hieronder staan een aantal voorbeelden van beveiligingsincidenten die moeten worden gemeld door de Verwerkingsverantwoordelijke bij de Toezichthouder (Autoriteit Persoonsgegevens):

Brieven of e-mails worden naar een verkeerd adres gestuurd.

Verlies of diefstal van een laptop, telefoon of USB-stick met persoonsgegevens. Adresbestanden zijn onbedoeld toegankelijk voor derden.

De website met logingegevens is gehackt of is toegankelijk voor derden. Een aanval van een hacker op het ICT systeem.

Wat te doen bij twijfel?

Neem ook bij twijfel altijd even contact op met Zayaz via xxxxx@xxxxx.xx of telefoonnummer 073-648 27 00! Weet u niet zeker of er sprake is van een beveiligingsincident? Stel dan in ieder geval de volgende vragen als hulpmiddel:

Is er een technisch of fysiek beveiligingsprobleem?

Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers of identificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

Gaat het om bijzondere gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiële situatie, zoals salaris of gegevens waar (identiteits)fraude mee kan worden gepleegd, zoals een Burger- servicenummer.

Zijn er grote hoeveelheden persoonsgegevens onbedoeld toegankelijk geworden voor derden? Gaat het om gegevens van kwetsbare groepen?

Worden de persoonsgegevens beheerd door een leverancier?

Waar meldt u een beveiligingsincident?

Als u een beveiligingsincident ontdekt, neem dan direct contact op met Zayaz via xxxxx@xxxxx.xx of telefoonnummer 073-648 27 00. Xxxx antwoord op de onderstaande vragen:

1. Wie is de melder van het beveiligingsincident?

Geef de naam van de melder.

2. Wie is de contactpersoon van het beveiligingsincident?

Geef de naam, telefoonnummer en het e-mailadres van de contactpersoon.

3. Op welke datum of in welke periode vond het beveiligingsincident plaats?

Geef dit alstublieL zo specifiek mogelijk aan.

4. Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek: wat is er gebeurd en waar is dit gebeurd?

Xxxxxxx hier ook de naam van het betrokken systeem.

5. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident?

Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.

6. Omschrijving groep personen om wiens gegevens het gaat.

Geef aan of het gaat om medewerkersgegevens, gegevens van internetgebruikers. Bijzondere aan- dacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.

7. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident?

Geef alstublieL een minimum en maximum aantal personen.

8. Zijn de contactgegevens van de betrokken personen bekend?

Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze per- sonen in dat geval bereiken?

9. Wat is de oorzaak (root cause) van het beveiligingsincident?

Xxxxxxx 000 ▪ 5201 al ▪ ’s-Hertogenbosch

HeeL u een idee hoe het beveiligingsincident heeL kunnen ontstaan?

Deze vragen komen overeen met de informatie die aan de Toezichthouder moet worden verstrekt. Beant- woord de vragen alstublieL schriLelijk, en zo volledig mogelijk.