MODEL-VERWERKERSOVEREENKOMST

MODEL-VERWERKERSOVEREENKOMST

[Opmerking: zaken als looptijd, beëindiging, aansprakelijkheid etc. dienen in een afzonderlijke overeenkomst met de Verwerker te zijn geregeld. Deze model-overeenkomst omvat uitsluitend afspraken m.b.t. verwerkingen van persoonsgegevens en is dus een aanvulling op de lopende of nog af te sluiten overeenkomsten met leveranciers]

De ondergetekenden:

<NAAM LIDORGANISATIE>, gevestigd aan <ADRES> te <PLAATS>, Kamer van Koophandel nummer <KVK> en rechtsgeldig vertegenwoordigd door <VERTEGENWOORDIGER> (hierna: “Verwerkingsverantwoordelijke”);

en

<NAAM LEVERANCIER>, gevestigd aan <ADRES> te <PLAATS>, Kamer van Koophandel nummer <KVK> en rechtsgeldig vertegenwoordigd door <VERTEGENWOORDIGER> (hierna: “Verwerker”);

Hierna gezamenlijk te noemen: “Partijen” en individueel te noemen “Partij”;

In aanmerking nemende dat:

• Partijen een Overeenkomst hebben gesloten waarin is overeengekomen dat Verwerker diensten voor Verwerkingsverantwoordelijke verricht met betrekking tot <korte omschrijving>, hierna te noemen de ‘Overeenkomst’;

• Partijen uiterst zorgvuldig omgaan met persoonsgegevens en afspraken over de verwerking daarvan willen vastleggen in deze Verwerkersovereenkomst;

• deze Verwerkersovereenkomst integraal onderdeel uitmaakt van de Overeenkomst;

• bij tegenstrijdigheid tussen deze Verwerkersovereenkomst en de Overeenkomst het bepaalde in deze Verwerkersovereenkomst prevaleert;

• aan de termen persoonsgegevens, Verwerkingsverantwoordelijke, verwerking en verwerken dezelfde betekenis wordt toegekend als in de Algemene Verordening Gegevensverwerking EU 2016/679 (AVG).

Partijen verklaren te zijn overeengekomen als volgt:

Artikel 1Details van de verwerking

1.1<NAAM LEVERANCIER> verwerkt voor <NAAM LIDORGANISATIE> persoonsgegevens in het kader van de in de Overeenkomst beschreven dienstverlening. <NAAM LIDORGANISATIE> is Verwerkingsverantwoordelijke en <NAAM LEVERANCIER> Verwerker.

1.2Verwerker verwerkt de persoonsgegevens, zoals omschreven in Annex 1 bij deze overeenkomst, uitsluitend in het kader van de Overeenkomst ten behoeve van de uitvoering daarvan en niet voor eigen doeleinden.

1.3Verwerker bewaart de persoonsgegevens zolang dit voor de uitoefening van de Overeenkomst noodzakelijk is. Na beëindiging van de Overeenkomst of op verzoek van Verwerkingsverantwoordelijke verwijdert Verwerker alle gegevens direct na overdracht van de gegevens aan de Verwerkingsverantwoordelijke.

Artikel 2Instructies Verwerkingsverantwoordelijke

2.1Verwerker zal de persoonsgegevens alleen verwerken in het kader van de uitvoering van de Overeenkomst in overeenstemming met de instructies van Verwerkingsverantwoordelijke ten behoeve van het in artikel 1 omschreven doel.

2.2Indien Verwerker op grond van wetgeving verplicht is om af te wijken van de instructies van Verwerkingsverantwoordelijke stelt Verwerker Verwerkingsverantwoordelijke hiervan
-voordat afgeweken wordt van de instructies van Verwerkingsverantwoordelijke- in kennis, tenzij deze wetgeving dat verbiedt.

Artikel 3Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER)

3.1Verwerker zal geen persoonsgegevens doorgeven aan of toegankelijk maken vanuit een land buiten de EER zonder voorafgaande toestemming van Verwerkingsverantwoordelijke.

3.2In afwijking op het bepaalde in Artikel 3.1 geldt dat, als het recht van een EU-lidstaat Verwerker verplicht om persoonsgegevens buiten de EER te verwerken, Verwerker Verwerkingsverantwoordelijke zo mogelijk vooraf in kennis stelt van het wettelijk voorschrift, tenzij deze wetgeving dit verbiedt.

Artikel 4Geheimhouding

4.1Persoonsgegevens zijn vertrouwelijk. Verwerker zal medewerkers en/of derden alleen toegang verlenen tot persoonsgegevens wanneer dit noodzakelijk is om de Overeenkomst uit te voeren. Verwerker draagt er zorg voor dat deze medewerkers en/of derden verplicht zijn tot geheimhouding van de persoonsgegevens.

Artikel 5Beveiliging

5.1Verwerker zal bij het uitvoeren van de Overeenkomst zorg dragen voor passende technische, en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

5.2Deze maatregelen zorgen er voor dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau wordt bereikt, gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

5.3Op verzoek van Verwerkingsverantwoordelijke overlegt Verwerker bewijs dat aantoont dat gepaste en doeltreffende technische en organisatorische beveiligingsmaatregelen zijn genomen. Een overzicht van de beveiligingsmaatregelen die door Verwerker zijn genomen staat in Annex 2.

Artikel 6Melden Datalekken

6.1Verwerker zal de contactpersoon van Verwerkingsverantwoordelijke zo spoedig mogelijk, in elk geval binnen 24 uur na ontdekking, informeren over alle (vermoedelijke) inbreuken in verband met persoonsgegevens (‘Datalek’). De melding van een Datalek wordt gedaan aan de contactpersoon van Verwerkingsverantwoordelijke.

6.2Bij een Datalek treft Verwerker direct herstelmaatregelen. Verwerker verleent volledige medewerking aan Verwerkingsverantwoordelijke bij het tot stand brengen en het uitvoeren van een responseplan. Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het adequaat informeren van de betrokken individuen en de toezichthouder(s).

6.3Verwerker voorziet Verwerkingsverantwoordelijke bij de melding van alle relevante informatie, waaronder in ieder geval over

a)de aard van het Datalek,

b)de (mogelijk) getroffen persoonsgegevens,

c)de geconstateerde en de vermoedelijke gevolgen van het Datalek, en

d)de maatregelen die getroffen zijn of zullen worden om het Datalek op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

Als het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.

6.4Verwerker houdt in haar administratie Datalekken van Verwerkingsverantwoordelijke en de getroffen maatregelen bij en geeft Verwerkingsverantwoordelijke daar op verzoek inzage in.

Artikel 7Inschakelen van derden

7.1Verwerker mag alleen derden (‘Subverwerkers’) bij de verwerking inschakelen met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Dit geldt ook voor beoogde veranderingen van Subverwerkers, waarbij Verwerkingsverantwoordelijke haar goedkeuring niet op onredelijke gronden zal onthouden.

7.2Verwerker blijft volledig verantwoordelijk en aansprakelijk tegenover Verwerkingsverantwoordelijke voor de naleving van de bepalingen uit deze Verwerkersovereenkomst door de Subverwerker.

7.3Verwerker draagt er zorg voor dat Subverwerkers contractueel gebonden zijn aan dezelfde verplichtingen inzake persoonsgegevensbescherming als die waaraan Xxxxxxxxx op grond van de Verwerkersovereenkomst gebonden is, met name aan de verplichting met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de wettelijke vereisten voldoet en blijft voldoen.

7.4Verwerker stelt aan Verwerkingsverantwoordelijke, op haar verzoek, alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit dit artikel aan te tonen. Verwerker zal Verwerkingsverantwoordelijke desgevraagd inzage verlenen in de relevante delen van met de Subverwerkers gesloten overeenkomsten. Voor zover Verwerkingsverantwoordelijke dat noodzakelijk acht, kan zij wijzigingen voorstellen. Verwerker zal de voorgestelde wijzigingen doorvoeren als dit redelijkerwijs van Verwerker kan worden gevraagd.

Artikel 8Medewerking bij klachten, verzoeken en uitoefening rechten door betrokkenen

8.1Verwerker behandelt vragen en verzoeken van Verwerkingsverantwoordelijke over de verwerking onder de Overeenkomst direct en adequaat.

8.2Verwerker informeert Verwerkingsverantwoordelijke direct over klachten, verzoeken of vragen van cliënten van Verwerkingsverantwoordelijke. Verwerker mag zich niet rechtstreeks tot een cliënt van Verwerkingsverantwoordelijke wenden, behalve wanneer Verwerkingsverantwoordelijke dit specifiek heeft geïnstrueerd.

8.3Verwerker stelt Verwerkingsverantwoordelijke in staat om binnen de wettelijke termijnen te voldoen aan de rechten van betrokkenen, zoals het recht op inzage, verbetering of verwijdering.

Artikel 9Retourneren en vernietigen van persoonsgegevens

9.1Bij de beëindiging van de Overeenkomst zal Verwerker naar keuze van Verwerkingsverantwoordelijke de persoonsgegevens en alle kopieën daarvan aan Verwerkingsverantwoordelijke retourneren of vernietigen, behalve wanneer de Overeenkomst of toepasselijke wetgeving anders aangeeft of Partijen anders overeenkomen.

9.2Verwerker zal Verwerkingsverantwoordelijke schriftelijk bevestigen dat zij alle persoonsgegevens en kopieën daarvan heeft geretourneerd of vernietigd.

Artikel 10Audits

10.1Verwerkingsverantwoordelijke heeft het recht om een onafhankelijke externe auditor of haar interne auditafdeling een onderzoek te laten doen naar de naleving van deze Verwerkersovereenkomst. Een audit wordt vooraf aangekondigd als dat redelijkerwijs mogelijk is. Verwerker zal aan een audit meewerken.

10.2De redelijke kosten van Verwerker voor het begeleiden van een audit komen voor rekening van Verwerkingsverantwoordelijke. Indien uit een audit blijkt dat Verwerker tekort komt in de nakoming van de in deze Verwerkersovereenkomst opgenomen verplichtingen, komen deze kosten en de door Verwerkingsverantwoordelijke in redelijkheid gemaakte auditkosten voor rekening van Verwerker.

Artikel 11Aansprakelijkheid en vrijwaring

11.1Verwerker is aansprakelijk voor alle schade die voortvloeit uit of verband houdt met het niet nakomen van de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens door Xxxxxxxxx.

11.2Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle aanspraken, boetes en/of maatregelen van derden, daaronder begrepen betrokkenen en de Toezichthoudende autoriteit, die jegens Verwerkingsverantwoordelijke worden ingesteld of opgelegd wegens een schending van de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van persoonsgegevens door Verwerker.

11.3Verwerker draagt zorg voor afdoende dekking van de aansprakelijkheid door middel van een aansprakelijkheidsverzekering. Op verzoek van Verwerkingsverantwoordelijke geeft Verwerker aan Verwerkingsverantwoordelijke inzage in (de polis van) deze aansprakelijkheidsverzekering van Verwerker.

Artikel 12Verwerkingenregister

12.1Als Verwerker hiertoe wettelijk verplicht is, zal Verwerker een register van al haar verwerkingsactiviteiten bijhouden. Op verzoek wordt dit register ter beschikking gesteld aan de toezichthouder. Verwerker zal Verwerkingsverantwoordelijke hierover, zo mogelijk vooraf, informeren.

Aldus overeengekomen en ondertekend in enkelvoud op _____________________ 2018

Verwerkingsverantwoordelijke
<NAAM LIDORGANISATIE>

Naam

Functie

(bevoegde ondertekenaar)

Verwerker
<NAAM LEVERANCIER>

Naam

Functie

(bevoegde ondertekenaar)

ANNEX 1: PERSOONSGEGEVENS DIE WORDEN VERWERKT

Persoonsgegevens
De volgende (categorieën) persoonsgegevens mogen door Verwerker in de uitoefening van deze overeenkomst worden verwerkt:

Voornaam

Achternaam

Roepnaam

Adres

Woonplaats
Geslacht

Telefoonnummer

E-mailadres

Geboortedatum/leeftijd

Geboorteplaats

Geboorteland

Nationaliteit

Bankrekeningnummer

BSN

Medische gegevens

Beroep/functie

Godsdienst

Registratienummers van kwaliteitsregisters (zoals BIG, V&VN)

Datum overlijden

(Pas)foto’s t.b.v. de vaststelling van de identiteit van de cliënt of medewerker
Video of geluidsopnamen die nodig zijn in het kader van de zorgverlening
<ZO NODIG AANVULLEN>

Betrokkenen
In het kader van de uitoefening van deze overeenkomst worden gegevens van de volgende personen verwerkt:

• Cliënten van Verwerkingsverantwoordelijke;

• Vertegenwoordigers en/of contactpersonen van cliënten van Verwerkingsverantwoordelijke;

• Personen die bij de zorgverlening aan de cliënt betrokken zijn;

• Medewerkers van Verwerkingsverantwoordelijke.

ANNEX 2: BEVEILIGINGSMAATREGELEN VERWERKER

<Overzicht van genomen beveiligingsmaatregelen>

7