Overeenkomst tot gegevensuitwisseling


Overeenkomst tot gegevensuitwisseling


Ondergetekenden


  1. Stichting Saxion, statutair gevestigd te Rijssen-Holten, kantoorhoudende aan de M. Harpertsz Tromplaan 30, 7513 AB te Enschede (postadres: X.X. Xxxxxxxxx 00, 0000 XX), inschreven in het handelsregister, Kamer van Koophandel, te Enschede, onder nummer 38024938, te dezen rechtsgeldig vertegenwoordigd door, mevrouw drs. J.L. Xxxxxx, hierna te noemen: ‘Saxion Hogeschool’


en


  1. [Organisatie Y], gevestigd en kantoorhoudende aan [adres] te [plaats], KvK-nummer [KvK], rechtsgeldig vertegenwoordigd door haar [functie en naam vertegenwoordiger], hierna te noemen: ‘["Y"]’


hierna gezamenlijk te noemen ‘Partijen’ of afzonderlijk ‘Partij’


overwegen het volgende


  1. Partijen zijn overeengekomen Persoonsgegevens uit te wisselen voor de Opdracht die Saxion Hogeschool aan “Y” verstrekt in het kader van de overeenkomst [verwijzing overeenkomst naam/nummer], (hierna: “de Opdracht”).

  2. Op de Opdracht zijn de inkoopvoorwaarden van Saxion Hogeschool van toepassing.

  3. Partijen verwerken voor de uitvoering van de Opdracht Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (hierna: “de AVG”).

  4. Partijen wisselen Persoonsgegevens van Betrokkene(n) uit voor de volgende doeleinden: [beschrijving doel uitwisseling]

  5. Partijen verwerken de betreffende persoonsgegevens allebei voor eigen doeleinden. Voor de uitvoering van de Opdracht verstrekt Saxion Hogeschool Persoonsgegevens aan “Y”, waarvoor Saxion Hogeschool Verwerkingsverantwoordelijke is en waarvoor “Y” Verwerkingsverantwoordelijke wordt. Er is geen sprake van een gezamenlijke administratie, noch van gezamenlijke verwerkingsdoeleinden.

  6. Partijen wensen door middel van deze overeenkomst afspraken te maken over de gegevensuitwisseling en verwerking van Persoonsgegevens.


en komen het volgende overeen


Artikel 1 - Definities

De in deze overeenkomst met een beginhoofdletter aangeduide begrippen hebben de betekenis die daaraan in dit artikel wordt toegekend:


  1. Algemene voorwaarden: de toepasselijke Algemene Voorwaarden van “Y”.

  2. Betrokkene(n): degene(n) op wie een Persoonsgegeven betrekking heeft.

  3. Bijlage: een bijlage bij de Overeenkomst, die daarvan onlosmakelijk deel uitmaakt.

  4. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

  5. Opdracht: de overeenkomst tussen Partijen inzake het leveren van producten en/of diensten (zoals beschreven bij de overwegingen) door “Y” aan Saxion Hogeschool.

  6. Overeenkomst: deze overeenkomst tussen Saxion Hogeschool en “Y” inclusief Bijlagen.

  7. Persoonsgegeven(s): elk gegeven over een natuurlijk persoon die daardoor direct of indirect kan worden geïdentificeerd, zoals NAW-gegevens, e-mailadres, identificatie­nummer, locatiegegevens, een online-identificatiemiddel of van één of meer elementen die kenmerkend zijn voor identiteit van die persoon.

  8. Verwerkingsverantwoordelijke: de Partij die het doel van en/of de middelen voor de Verwerking van de Persoonsgegevens vaststelt.

  9. Verwerken/Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van gegevens.

  10. Uitwisseling: de verwerking van persoonsgegevens waarbij “Y” persoonsgegevens van Saxion Hogeschool ontvangt om deze voor eigen doeleinden te verwerken.


Artikel 2 - Onderwerp van deze overeenkomst

  1. Saxion Hogeschool Verwerkt in het kader van haar activiteiten Persoonsgegevens van de Betrokkene(n). In het kader van haar activiteiten verkrijgt “Y” van Saxion Hogeschool de Persoonsgegevens van de Betrokkene(n) met als doel om Saxion Hogeschool te de producten en/of diensten te leveren die de Saxion Hogeschool afneemt voor de Betrokkene(n).

  2. In Bijlage 1 bij deze Overeenkomst zijn de aard en het doel van de Verwerkingen, de middelen voor de Verwerkingen, het soort te Verwerken Persoonsgegevens, de categorieën van Betrokkene(n) en de duur van de opslag van de Persoonsgegevens beschreven. Partijen passen Bijlage 1 steeds aan als dat nodig is gedurende de looptijd van de Overeenkomst.


Artikel 3 - Datalek

  1. Als er een Datalek wordt ontdekt, brengt de betreffende Partij de andere per omgaande op de hoogte en als het nodig is meldt de betreffende Partij het Datalek eveneens aan de Autoriteit Persoonsgegevens (AP). Verder worden de Betrokkene(n) geïnformeerd als dat nodig is.

  2. Als een Partij vaststelt dat het Datalek aan Betrokkene(n) moet worden gemeld, coördineren Partijen de melding en doen Partijen de melding zo mogelijk in één kennisgeving.

  3. Partijen volgen de beleidsregels meldplicht datalekken van de AP bij de uitvoering van dit artikel.

  4. Partijen nemen bij de melding aan de AP alle zorgvuldigheid in acht die van hen over en weer mag worden verwacht. In de melding kiezen Partijen neutrale woorden en laten Partijen zich niet onnodig negatief uit over de andere Partij.


Artikel 4 – Verplichtingen van verwerkingsverantwoordelijken

  1. Y” verwerkt Persoonsgegevens niet voor andere dan de van tevoren vastgestelde en vastgelegde doeleinden c.q. de doelen waarvoor de Persoonsgegevens zijn verkregen, altijd overeenkomstig de AVG.

  2. Partijen staan er jegens elkaar voor in dat hun medewerkers zich houden aan de voorschriften uit de toepasselijke AVG en het gestelde in de Overeenkomst, als zij op enigerlei wijze betrokken zijn bij het Verwerken van Persoonsgegevens.

  3. Saxion Hogeschool en “Y” verklaren Persoonsgegevens op behoorlijke, zorgvuldige en transparante wijze en in overeenstemming met de AVG te Verwerken.

  4. Partijen garanderen over en weer dat de Persoonsgegevens die worden Verwerkt in het kader van deze Overeenkomst, toereikend, ter zake dienend en niet bovenmatig zijn.

  5. Saxion Hogeschool legt aan “Y” en in voorkomende gevallen legt “Y” aan Saxion Hogeschool de verplichting op te voldoen aan artikel 14 van de AVG (‘te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen’) voor zover zij niet zelf de in deze artikelen bedoelde informatie aan de Betrokkene(n) hebben medegedeeld.

  6. Partijen garanderen elkaar dat de inhoud en het gebruik van de Verwerkingen zoals bedoeld in deze Overeenkomst, niet onrechtmatig zijn en geen inbreuk maken op rechten van derden.

  7. De verplichting tot het informeren van Betrokkene(n) en voorzien in uitoefening van rechten van Xxxxxxxxxx(n) worden door beide Partijen uitgevoerd vanuit hun eigen verantwoordelijkheid. Partijen verwijzen Betrokkene(n) zo nodig naar de verantwoordelijke Partij en onthouden zich van het geven van een inhoudelijk oordeel jegens Betrokkene(n).

  8. Partijen vrijwaren elkaar – met inachtneming van artikel 10 – voor claims van Betrokkene(n) die voorvloeien uit een schending van de in artikel 4, lid 3 en 5 van deze Overeenkomst verstrekte garanties.


Artikel 5 – Verwerkers

  1. Y” is gerechtigd de Persoonsgegevens die zij heeft verkregen van Saxion Hogeschool te laten Verwerken door een verwerker(s).

  2. Y” legt aan Xxxxxxxxx(s) dezelfde verplichtingen op als die voor haarzelf uit deze Overeenkomst voortvloeien en ziet toe op de naleving daarvan door deze Verwerker(s).

  3. Y” ziet erop toe dat Verwerkers gevestigd zijn in de Europese Economische Ruimte (EER) en garanderen dat de Verwerking van Persoonsgegevens plaatsvindt binnen de EER, zonder doorgifte naar derde landen. Voor zover “Y” gebruik maakt van leveranciers buiten de EER worden er aan dergelijke leveranciers geen Persoonsgegevens verstrekt.

  4. Y” blijft voor Saxion Hogeschool te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Overeenkomst.


Artikel 6 – Beveiliging en incidenten

  1. Saxion Hogeschool en “Y” treffen de technische en organisatorische beveiligingsmaatregelen - die voldoen aan de geldende privacywet- en regelgeving, stand der techniek en de kosten van de implementatiemaatregelen - die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige Verwerking. Deze maatregelen zijn beschreven in Bijlage 2 en voldoen aan de daarvoor geldende algemeen geaccepteerde beveiligingsstandaarden.

  2. Partijen informeren elkaar op verzoek van de andere Partij periodiek in hoeverre de tussen Partijen overeengekomen beveiligingsplannen worden uitgevoerd en actueel zijn. Partijen overleggen met elkaar over eventuele, noodzakelijke bijstellingen. In de rapportage vermelden Partijen welk incident heeft plaatsgevonden, welke mogelijke gevolgen het incident voor de (toegang tot) de betreffende Persoonsgegevens heeft gehad en welke maatregelen zijn of worden genomen om het incident te beëindigen en in de toekomst te voorkomen.

  3. Als het incident mogelijk gevolgen heeft voor (een) Betrokkene(n), rapporteren Partijen het incident onverwijld. Partijen werken waar nodig ook mee aan het adequaat informeren van de Betrokkene(n) over het beveiligingsincident.

Artikel 7 – Geheimhouding


  1. Partijen houden de Persoonsgegevens die zij Verwerken geheim. Als dit niet contractueel is overeengekomen met personen die in dienst van of werkzaam zijn voor Partijen, leggen Partijen aan die personen een geheimhoudingsverplichting op met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen.

  2. Partijen maken de Persoonsgegevens op geen enkele wijze openbaar en stellen deze niet aan derden ter beschikking, tenzij Partijen daarvoor voorafgaande schriftelijke toestemming aan elkaar hebben verleend of wanneer een wettelijk voorschrift (één van de) Partij(en) verplicht om de Persoonsgegevens te verstrekken.

Artikel 8 – Beveiliging en controle

  1. Voor de interne controle: Saxion Hogeschool en “Y” hebben adequate, interne beheersmaatregelen getroffen – in overeenstemming met de stand van de techniek - om de verplichtingen die uit deze Overeenkomst voortvloeien na te komen en kunnen de effectieve werking daarvan aantonen.

  2. Het is de verantwoordelijkheid van Saxion Hogeschool om te beoordelen of voornoemde maatregelen passend zijn, alvorens over te gaan tot de Uitwisseling.

  3. Vanaf het moment van ontvangst van de in het kader van de Uitwisseling verstrekte persoonsgegevens, ligt de verantwoordelijkheid voor passende beveiliging bij “Y”.

  4. Saxion Hogeschool is altijd gerechtigd om - maximaal een keer per kalenderjaar - de Verwerking(en) van Persoonsgegevens bij “Y” te (laten) controleren op naleving van de Overeenkomst door middel van een onderzoek.

  5. Wanneer Partijen een derde inschakelen voor de uitvoering van het onderzoek verplichten Partijen deze derde tot geheimhouding.

  6. De kosten van het controleonderzoek komen voor rekening van Xxxxxx Hogeschool, tenzij uit het onderzoek blijkt dat “Y” de Overeenkomst niet naleeft.


Artikel 9 – Aansprakelijkheid

De aansprakelijkheid van Partijen verband houdend met en voortvloeiend uit de uitvoering van deze Overeenkomst is gelijk aan de aansprakelijkheid zoals geregeld in de Opdracht.


Artikel 10 – Looptijd en beëindiging

  1. De Overeenkomst treedt in werking op de dag van ondertekening door Partijen.

  2. De bepalingen over duur en beëindiging van de Opdracht gelden als bepalingen over duur en beëindiging van de Overeenkomst. Wanneer de Opdracht eindigen, eindigt de Overeenkomst van rechtswege.

  3. Na beëindiging van deze Overeenkomst blijven de bepalingen die naar hun aard bestemd zijn om ook na het beëindigen van de Overeenkomst van kracht te zijn, waaronder bijvoorbeeld de geheimhoudingsplicht en de vrijwaring, geldig.


Artikel 11 – Overige bepalingen

  1. Op deze Overeenkomst en al hetgeen daarmee verband houdt is Nederlands recht van toepassing, voor zover dwingendrechtelijke bepalingen zich daar niet tegen verzetten.

  2. Aan de opschriften bij de artikelen komt geen zelfstandige betekenis toe. In de Overeenkomst is een rubricering per artikel uitsluitend ter identificatie aangebracht. Deze dient bij de interpretatie van de Overeenkomst zo nodig buiten beschouwing te blijven.

  3. De considerans maakt onlosmakelijk deel uit van de Overeenkomst.

  4. Geschillen die voortvloeien uit of verband houden met deze Overeenkomst worden bij uitsluiting beslecht door de bevoegde rechter te Zwolle.

  5. Wijzigingen van en aanvullingen op de Overeenkomst zijn slechts geldig voor zover deze schriftelijk of langs elektronische weg tussen Partijen zijn overeengekomen.

  6. Indien één of meer bepalingen van de Overeenkomst nietig/vernietigbaar mochten blijken te zijn, of worden verklaard/vernietigd, zullen de overige bepalingen van kracht blijven. Partijen zullen over de omstreden bepaling(en) overleg plegen teneinde een zodanige vervangende regeling te treffen dat de strekking van de Overeenkomst behouden blijft.


Overeengekomen en ondertekend,


namens Saxion Hogeschool

naam :

datum :



_______________________________

handtekening

namens “Y”

naam :

datum :



_______________________________

handtekening



Bijlage 1 – Beschrijving verwerkingen persoonsgegevens


Y” ontvangt voor het leveren van diensten en/of producten aan Saxion Hogeschool Persoonsgegevens van de Betrokkene(n) van Saxion Hogeschool. De aanlevering van de Persoonsgegevens door Saxion Hogeschool aan “Y” verloopt via [beschrijving manier van uitwisselen]).


Hieronder volgt de beschrijving van de Verwerking in termen van artikel 30 van de AVG (‘Register van de verwerkingsactiviteiten’). Dit artikel beschrijft de gegevens aan de hand waarvan de Verwerkingsverantwoordelijke de Verwerking moet beschrijven voor het register van verwerkingsactiviteiten.


  1. Te verwerken persoonsgegevens


  1. Duur van de verwerking
    Doorlooptijd verwerking Persoonsgegevens: zolang de klantrelatie voortduurt.


  1. Doeleinden verwerking
    “Y” verwerkt de hiervoor genoemde Persoonsgegevens met het doel: [beschrijving volgens 'Overwegingen, punt d']


  1. Beschrijving verwerking en middelen

    • Y” verwerkt de hiervoor genoemde Persoonsgegevens in verband met de activiteiten die zij onderneemt ter uitvoering van de Opdracht.

    • Y” doet dat met de volgende middelen: [beschrijving hulpmiddelen/software]


  1. Categorieën van Xxxxxxxxxx(n)


  1. Opslaglocatie




  1. Bewaartermijn
    “Y” bewaart de Persoonsgegevens voor: maximaal … jaar.


Bijlage 2 - Specificatie getroffen technische en organisatorische beveiligingsmaatregelen


Partijen zullen ten minste de in deze bijlage genoemde technische en organisatorische beveiligingsmaatregelen treffen.


TOELICHTING

De Handreiking Beveiligingsmaatregelen (bijlage van het SURF Juridisch Normenkader (Cloud)services) bevat een groot aantal maatregelen, waarbij bv. ook de aanbeveling wordt gedaan welke van die maatregelen bij een hoog risico zouden moeten worden getroffen.

Bij organisatorische maatregelen kun je denken aan scheiding van data- en communicatiebestand, toegang tot de data beperken, etc.

Daarnaast dient hier afgesproken te worden hoe de data veilig geleverd worden en opgeslagen.



  1. Technische beveiligingsmaatregelen

Partij

Getroffen technische beveiligingsmaatregelen

Saxion Hogeschool


[Partij Y]


[Partij Z]


Etc.



  1. Organisatorische beveiligingsmaatregelen

Partij

Getroffen organisatorische beveiligingsmaatregelen

Saxion Hogeschool


[Partij Y]


[Partij Z]


Etc.




Paraaf Saxion Hogeschool: Paraaf “Y”: 5/6

Document Metadata

Filed: February 3rd, 2022