PARTIJEN:
PARTIJEN:
1. ………………………………………., statutair gevestigd te , vertegenwoordigd door
………………………….. hierna te noemen ‘Verwerkingsverantwoordelijke’;
en
2. Buro ASV, statutair gevestigd te Vorden, vertegenwoordigd door dhr. A.G.M. Xxxxxxx, hierna te noemen ‘Verwerker’.
OVERWEGINGEN:
I. Verwerkingsverantwoordelijke wil Verwerker persoonsgegevens laten verwerken in het kader van de met Verwerker gesloten dienstverleningsovereenkomst, hierna te noemen Hoofdovereenkomst.
II. Verwerkingsverantwoordelijke wijst het doel en de middelen voor verwerking van de persoonsgegevens aan.
III. Verwerker zal bij het uitvoeren van de overeenkomst gegevens verwerken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft.
IV. Verwerker is bereid om aan verplichtingen omtrent beveiliging en andere aspecten van de AVG (Algemene Verordening Gegevensbescherming) te voldoen.
V. Partijen willen, gelet op het bepaalde in artikel 28 lid 3 AVG, hun rechten en plichten vastleggen middels deze overeenkomst.
OVEREENKOMST
1. Begrippen
Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.
2. Onderwerp van deze overeenkomst
2.1 De Verwerker verwerkt persoonsgegevensin het kader van de uitvoering van de hoofdovereenkomst, zulks in overeenstemming met het bepaalde in deze overeenkomst of met andere schriftelijke instructies van Verwerkingsverantwoordelijke.
2.2 De verwerkingen geschieden uitsluitend in het kader van deze overeenkomst. Verwerker gebruikt de gegevens niet anders dan overeengekomen met de Verwerkingsverantwoor- delijke en niet voor eigen doeleinden.
2.3 Verwerker verricht de verwerkingen op behoorlijke en zorgvuldige wijze.
3. Beveiligingsmaatregelen
3.1 Verwerker neemt passende organisatorische en technische beveiligingsmaatregelen die gezien de stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken persoonsgegevens.
3.2 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Partijen zullen daarom de maatregelen periodiek evalueren en waar nodig aanpassen.
4. Meldplicht datalekken&Privacy Impact Assessment
4.1 Verwerker zal Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 24 uur na de eerste ontdekking – informeren over alle inbreuken op de beveiliging alsmede andere incidenten die moeten worden gemeld aan een toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.
4.2 Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan Verwerkingsverantwoordelijke.
4.3 Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).
4.4 Verwerker houdt een logboek bij van alle inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen, en geeft daar op eerste verzoek van Verwerkingsverantwoordelijke inzage in.
4.5 Verwerker verleent Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerkingen en de stand van de techniek, bijstand bij het voldoen aan de verplichtingen uit artikel 35 (Privacy Impact Assessment) en 36 (voorafgaande raadpleging) AVG.
5. Inschakeling subverwerkers
5.1 Verwerker is gerechtigd subverwerkers in te schakelen voor verwerking van persoonsgegevens zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke.
6. Geheimhoudingsplicht
6.1 Verwerker en personen in dienst van Verwerker zijn verplicht tot geheimhouding van de persoonsgegevens. Verwerker draagt er zorg voor dat de persoonsgegevens niet direct of indirect ter beschikking komen van derden.
6.2 Indien de Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.
7. Bewaartermijnen, teruggave en vernietiging
7.1 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de persoonsgegevens.
7.2 Bij beëindigingvan dezeVerwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, kosteloos, naar keuze van
Verwerkingsverantwoordelijke, de persoonsgegevens onherroepelijk vernietigen/verwijderen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk vernietigd/verwijderd zijn. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave of onherroepelijke vernietiging/verwijdering niet mogelijk zijn, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
7.3 Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging/verwijdering daadwerkelijk heeft plaatsgevonden.
8. Rechten van betrokkenen
8.1 Verwerker zal eventueel door Xxxxxxxxx ontvangen verzoeken van betrokkenen onverwijld aan Verwerkingsverantwoordelijke doorgeven.Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de persoonsgegevens voldoet hij zelf aan alle verzoeken van betrokkenen omtrent hun rechten.
8.2 Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om aan de verzoeken van betrokkenen te kunnen voldoen.
9. Aansprakelijkheid
Partijen zijn aansprakelijk conform het bepaalde in artikel 82 van de AVG.
10. Controle
10.1 Verwerkingsverantwoordelijke heeft het recht de naleving door Verwerker van de bepalingen van deze overeenkomst eenmaal per jaar op eigen kosten te controleren of deze te laten controleren door een derde partij.
10.2 Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 van de AVG.
10.3 Het onderzoek van de Verwerkingsverantwoordelijke zal zich beperken tot de systemen van de Verwerker die voor de door Verwerkingsverantwoordelijke aan Verwerker opgedragen verwerkingen worden gebruikt.
10.4 Wanneer tijdens een controle wordt vastgesteld dat Verwerker niet aan de verplichtingen uit deze overeenkomst voldoet, zal Verwerker onverwijld alle redelijkerwijs noodzakelijke maatregelen nemen om ervoor te zorgen dat hij hier alsnog aan voldoeten de kosten van de controle aan Verwerkingsverantwoordelijke vergoeden.
11. Internationaal verkeer
11.1 Verwerker garandeert dat iedere verwerking van persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde derden wordt verricht binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft.
12. Overige bepalingen
12.1 Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
12.2 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12.3 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
12.4 Geschillen verband houdende met deze overeenkomst, die niet onderling kunnen worden opgelost, zullen worden voorgelegd aan de bevoegde Nederlandse rechter.
De heer A.G.M. Schröer (naam:) …………………………….……
Plaats: Vorden Plaats:…………………………….……..
Datum: ……………………….. Datum: …………………………………..
Handtekening: Handtekening: