BEWERKERSOVEREENKOMST NVSI
BEWERKERSOVEREENKOMST NVSI
Innovatieve Oplossingen
DE ONDERGETEKENDEN:
(1) de Nederlandse Vereniging van Sociale Innovatie, gevestigd te (3527 LA) Utrecht aan de Xxxxxxxx Xxxxxxxxxxxxxx 0, te dezen rechtsgeldig vertegenwoordigd door [naam], [functie], hierna te noemen: “de NVSI”.
en
(2) Het college van burgemeester en wethouders van gemeente [NAAM], te dezen rechtsgeldig vertegenwoordigd door [naam], [functie], hierna te noemen: “het College”,
Ondergetekenden hierna gezamenlijk te noemen ’Partijen’; OVERWEGENDE DAT:
(A) de gemeente en de NVSI de ‘Gebruikersovereenkomst Innovatieve Oplossingen NVSI’ d.d. [DATUM]) hebben gesloten (hierna ‘de Hoofdovereenkomst’) met betrekking tot de beschikbaarstelling van de Innovatieve Oplossing [NAAM INNOVATIEVE OPLOSSING] en bijbehorende diensten;
(B) in het kader van de uitvoering van de Hoofdovereenkomst persoonsgegevens worden verwerkt als bedoeld in de Wet bescherming persoonsgegevens (hierna ‘de Wbp’) en de ‘Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van 27 april 2016)’ (hierna ‘de AVG’);
(C) het College in de zin van de Wbp geldt als ‘verantwoordelijke’ (art. 1 sub d Wbp) en de NVSI als ‘bewerker’ (art. 1 sub e), in de AVG aangeduid als ‘verwerkingsverantwoordelijke’ en ‘verwerker’;
(D) Partijen in verband met de verwerking van persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst, hun afspraken over de uitvoering van de verwerkingen door de NVSI (en de eventueel in het kader van de uitvoering van Hoofdovereenkomst betrokken subbewerkers) alsmede over de ‘meldplicht datalekken’ - overeenkomstig het in artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG bepaalde – in aanvulling op het reeds in de Hoofdovereenkomst geregelde, nader in deze bewerkersovereenkomst (hierna ‘Bewerkersovereenkomst’) schriftelijk wensen vast te leggen;
KOMEN HET VOLGENDE OVEREEN:
1 VOORWERP BEWERKERSOVEREENKOMST
1.1 De NVSI verwerkt in het kader van de uitvoering van de Hoofdovereenkomst verkregen persoonsgegevens uitsluitend in opdracht en ten behoeve van het College, behoudens afwijkende wettelijke verplichtingen. Het voornoemde op behoorlijke en zorgvuldige wijze in overeenstemming met de Wbp en - na inwerkingtreding per 25 mei 2018 – de ‘Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van 27 april 2016), conform het in de Hoofdovereenkomst bepaalde en in overeenstemming met de instructies van het College ter zake. De aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen zijn voor de ‘Innovatieve Oplossing’ waarop de Hoofdovereenkomst toeziet beschreven in het ‘Productenboek Innovatieve Oplossingen NVSI’
1.2 De NVSI heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Zo neemt de NVSI geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens welke zijn verkregen in het kader van de uitvoering van de Hoofdovereenkomst komt nimmer bij de NVSI te berusten. De NVSI zal de verkregen persoonsgegevens niet voor een ander doel gebruiken, ook niet wanneer dit in een zodanige vorm geschiedt zodat deze niet tot betrokkenen herleidbaar is.
2 DUUR
2.1 De Bewerkersovereenkomst treedt in werking na ondertekening door Partijen en blijft van kracht zolang de NVSI - dan wel enige in het kader van de uitvoering van de Hoofdovereenkomst betrokken subbewerker - de beschikking heeft over de persoonsgegevens welke zijn verwerkt in het kader van de Hoofdovereenkomst.
2.2 Partijen kunnen de Bewerkersovereenkomst niet afzonderlijk van de Hoofdovereenkomst tussentijds opzeggen.
3 BEVEILIGINGSMAATREGELEN
3.1 De NVSI draagt overeenkomstig de Hoofdovereenkomst zorg voor de ten uitvoerlegging van passende technische en organisatorische maatregelen om persoonsgegevens, die ten behoeve van het College worden verwerkt, te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Hierbij neemt de NVSI het genoemde in (a) de ‘Richtsnoeren Beveiliging van Persoonsgegevens’ van de Autoriteit Persoonsgegevens en (b) de ‘Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)’ – voor zover de inhoud hiervan betrekking heeft op een systeem als de Innovatieve Oplossing en de in dat kader door de NVSI als bewerker verleende diensten – in acht.
4 GEHEIMHOUDING
4.1 De NVSI, alsmede personen in dienst van de NVSI, dan wel organisaties en/of personen werkzaam ten behoeve van de NVSI, zijn verplicht tot geheimhouding met betrekking tot de in het kader van de uitvoering van de Hoofdovereenkomst verwerkte persoonsgegevens waarvan zij kennis nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift hen tot mededeling verplicht of uit hun taak in het kader van de uitvoering van de Hoofdovereenkomst de noodzaak tot mededeling voortvloeit. Voor wie niet reeds uit hoofde van ambt, beroep, wettelijk voorschrift of (arbeids)overeenkomst een geheimhoudingsplicht geldt, draagt NVSI zorg voor het tekenen hiertoe van een geheimhoudingsverklaring.
4.2 Indien de NVSI als bedoeld in artikel 4.1 Bewerkersovereenkomst anders dan in het kader van de uitvoering van de Hoofdovereenkomst overeenkomstig een bij, of krachtens de wet gegeven voorschrift gehouden is persoonsgegevens aan een derde te verstrekken, zal de de NVSI de grondslag van het verzoek en de identiteit van de derde (verzoeker) verifiëren en zal de NVSI het College op redelijkerwijs kortst mogelijke termijn voorafgaand aan een eventuele verstrekking ter zake informeren, tenzij een bij, of krachtens de wet gegeven voorschrift dit verbiedt. Met inachtneming van het voornoemde is de hoofdregel dat het College als verantwoordelijke primair zorg draagt voor de afhandeling van verzoeken van derden met betrekking tot de verstrekking van persoonsgegevens.
4.3 Verwerkingen van (persoons)gegevens vindt plaats in rekencentra in Nederland. Grensoverschrijdende verwerkingen van (persoons)gegevens in - en/of verstrekking van persoonsgegevens naar - niet EU-landen is, met inachtneming van het in artikel 4.2 Bewerkersovereenkomst bepaalde, expliciet niet toegestaan zonder voorafgaande schriftelijke toestemming van het College.
5 MELDPLICHT DATALEKKEN
5.1 In geval de NVSI (of een door haar ingeschakelde subbewerker) een inbreuk kenbaar is geworden op de beveiliging als bedoeld in artikel 3.1 Bewerkersovereenkomst en artikel 13 Wbp alsmede artikel 32 AVG, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die ten behoeve van het College worden verwerkt, en welke inbreuk in de zin van de Wbp en met inachtneming van de door de Autoriteit Persoonsgegevens gepubliceerde ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ geldt als een datalek (hierna ‘Datalek'), dan zal de NVSI onverwijld – en voor zover mogelijk uiterlijk binnen een termijn van een dag nadat de inbreuk kenbaar is geworden - (laten) zorgdragen voor het verstrekken van de alsdan bij haar bekende informatie ter zake het Datalek aan het College.
5.2 De aan het College te verstrekken informatie maakt het het College mogelijk, met inachtneming van het in artikel 34a Wbp en artikel 33 AVG genoemde en de door de Autoriteit Persoonsgegevens gepubliceerde ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’, een eerste melding te doen via het door de Autoriteit Persoonsgegevens op haar website
gepubliceerde meldingsformulier. Indien na het verstrekken van voornoemde informatie aanvullende informatie beschikbaar komt over het betreffende Datalek, dan zal deze aan het College beschikbaar worden gemaakt opdat het College de betreffende melding kan wijzigen of intrekken.
5.3 Indien het Datalek betrekking heeft op persoonsgegevens van een betrokkene die ten behoeve van het College worden verwerkt en waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer als bedoeld in artikel 34a lid 2 Wbp en artikel 34 AVG, alsmede - met inachtneming van het in de ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ genoemde – betreffende betrokkene in kennis gesteld dient te worden ter zake, zal de NVSI het College van voldoende informatie (laten) voorzien. Het voornoemde opdat betreffende betrokkene kan worden geïnformeerd over in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen, en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
5.4 Voorts zal de NVSI (en door haar ingeschakelde subbewerker) indien haar een ander beveiligingslek of beveiligingsincident kenbaar is geworden dan een Datalek zoals bedoeld in artikel 5.1 Bewerkersovereenkomst, en welk beveiligingslek of beveiligingsincident betrekking heeft op de verwerking van persoonsgegevens in het kader van deze Bewerkersovereenkomst, onverwijld – en voor zover mogelijk uiterlijk binnen een termijn van een dag nadat het beveiligingslek of beveiligingsincident kenbaar is geworden - (laten) zorgdragen voor het verstrekken van de alsdan bij haar bekende informatie ter zake het beveiligingslek of beveiligingsincident aan de beveiligingsfunctionaris van de betrokken gemeente.
6 CONTROLE
6.1 De NVSI stelt het College na een schriftelijk verzoek daartoe in de gelegenheid te controleren of de verwerking van de persoonsgegevens plaatsvindt conform het in de Hoofdovereenkomst en de Bewerkersovereenkomst bepaalde.
6.2 De NVSI zal het College de voor de controle benodigde informatie aan het College beschikbaar (laten) stellen overeenkomstig het daartoe door het College gedane verzoek met inachtneming van een ter zake van toepassing zijnde redelijke termijn.
6.3 Voor het uitvoeren van een controle als bedoeld in artikel 6.1 Bewerkersovereenkomst zal gebruik worden gemaakt van (IT-)auditors die op grond van hun gedrags- en beroepsregels (zoals van ‘NOREA’) geheimhouding dienen te betrachten en onafhankelijk zullen rapporteren.
6.4 Het College zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de NVSI.
6.5 Indien het College door de Autoriteit Persoonsgegevens aan een controle wordt onderworpen welke verband houdt met de verwerking van de persoonsgegevens in het kader van de Hoofdovereenkomst, zal de NVSI aan een dergelijke controle de benodigde medewerking
verlenen en het College alle informatie en gegevens verstrekken die noodzakelijk is in verband met de controle.
6.6 De NVSI rapporteert jaarlijks voor 1 mei over de opzet en werking van het stelsel van maatregelen en procedures (met inachtneming van het in artikel 9.3 bepaalde), alsmede met betrekking tot datalekken, gericht op naleving van deze Bewerkersovereenkomst.
7 VERWIJDERING / TERUGGAVE PERSOONSGEGEVENS
7.1 In geval van beëindiging van de Hoofdovereenkomst en de Bewerkersovereenkomst, dan wel op uitdrukkelijk verzoek van het College, zal de NVSI in overleg met het College en na schriftelijke instructie daartoe (laten) zorgdragen voor definitieve verwijdering en vernietiging van de alsdan beschikbare en verwerkte persoonsgegevens en/of teruggave van de tot dat moment verwerkte persoonsgegevens middels de beschikbaarstelling van een databestand. Hiertoe zullen Partijen tijdig voorafgaand aan de beëindiging nadere afspraken maken. Van een verwijdering en vernietiging wordt een gedateerde en door of namens de NVSI ondertekende schriftelijke verklaring opgesteld. Voornoemde schriftelijke verklaring wordt onverwijld aan de door het aangewezen contactpersoon gezonden.
7.2 De NVSI zal te allen tijde op eerste verzoek van het College op redelijkerwijs kortst mogelijke termijn alle van het College afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst ter hand stellen. Het voornoemde is enkel van toepassing indien het College niet zelfstandig de mogelijkheid heeft zich de persoonsgegevens ter hand te stellen uit het haar ter beschikking staande informatiesysteem als bedoeld in de Hoofdovereenkomst.
7.3 De NVSI biedt daar waar nodig mogelijk het College de benodigde ondersteuning opdat het College in staat is om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. Het voornoemde is enkel van toepassing indien het College niet zelfstandig als verantwoordelijke de mogelijkheid heeft aan voornoemde verplichtingen te voldoen met gebruikmaking van uit het haar ter beschikking staande informatiesysteem als bedoeld in de Hoofdovereenkomst.
8 AANSPRAKELIJKHEID
8.1 Indien de NVSI tekort schiet in de nakoming van één of meer van haar verplichting(en) uit de Bewerkersovereenkomst, zal het College haar eerst deswege in gebreke stellen nadat Partijen voorafgaand tevergeefs over een passende oplossing voor de betreffende tekortkoming in overleg zijn getreden. De ingebrekestelling zal schriftelijk geschieden waarbij de NVSI een redelijke termijn zal worden gegund om alsnog haar verplichtingen na te komen.
8.2 De NVSI is aansprakelijk voor schade van het College voortvloeiende uit het door de NVSI toerekenbaar niet nakomen van het in de Bewerkersovereenkomst bepaalde met inachtneming van de aansprakelijkheidsbeperkingen als opgenomen in de Hoofdovereenkomst.
8.3 De NVSI vrijwaart het College tegen aanspraken van een betrokkene wegens inbreuken op de persoonlijk levenssfeer van betreffende betrokkene, indien deze aanspraak het resultaat is van een toerekenbare tekortkoming van de NVSI (of door haar ingeschakelde derden) in het kader van de uitvoering van de Bewerkersovereenkomst.
9 SUBBEWERKER
9.1 Het College is er in verband met de uitvoering van de Hoofdovereenkomst reeds mee bekend dat de NVSI de verplichtingen die voorvloeien uit de Hoofdovereenkomst jegens het College in haar opdracht ten behoeve van het College (mede) laat uitvoeren door de derde(n) als genoemd in in het ‘Productenboek Innovatieve Oplossingen NVSI’. Dit geldt op overeenkomstige wijze met betrekking tot het in de Bewerkersovereenkomst bepaalde in geval er sprake is van de verwerking van persoonsgegevens door voornoemde derde. Betreffende derde, zijnde een subbewerker, zal derhalve in opdracht van en namens de NVSI mede uitvoering geven aan het in de Bewerkersovereenkomst bepaalde ten behoeve van het College.
9.2 De NVSI sluit met derden die bij de uitvoering van de Hoofdovereenkomst worden ingeschakeld in geval er sprake is van de verwerking van persoonsgegevens een (sub)bewerkersovereenkomst om in verband met de bescherming van persoonsgegevens die afkomstig zijn van de gemeente een gelijk niveau te borgen met betrekking tot passende technische en organisatorische beveiligingsmaatregelen van de subbewerker en de meldplicht datalekken. Alle rechten en verplichtingen die op de NVSI rusten op grond van de Bewerkersovereenkomst jegens het College, zullen in verband met het in de (sub)bewerkersovereenkomst gestelde onverkort van toepassing zijn in de relatie met betreffende subbewerker.
9.3 De NVSI zal bij sluiten van betreffende (sub)bewerkersovereenkomsten vastleggen dat door de subbewerker in verband met de vereiste passende technische en organisatorische beveiligingsmaatregelen moet worden voldaan aan daartoe passende informatiebeveiligingsstandaarden zoals NEN-ISO/IEC 27001:2013 en NEN-ISO/IEC 27002:2013 of gelijkwaardig. Dit zal de NVSI bij afsluiten van betreffende (sub)bewerkersovereenkomsten - en voorts jaarlijks - verifiëren middels een door een auditor aan de subbewerker afgegeven derdenverklaring (‘Third Party Mededeling’), rapport en/of certificaat waaruit blijkt dat door de subbewerker aan betreffende informatiebeveiligingsstandaarden wordt voldaan.
10 INSCHAKELING DERDEN
10.1 De NVSI is slechts gerechtigd de uitvoering van werkzaamheden die het verwerken van persoonsgegevens met zich mee brengen geheel of ten dele uit te besteden aan derden (een subbewerker), met uitzondering van de in artikel 9 Bewerkersovereenkomst genoemde subbewerkers, na voorafgaande schriftelijke toestemming van het College.
10.2 Het College kan aan de schriftelijke toestemming voorwaarden verbinden.
10.3 De NVSI blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bewerkersovereenkomst.
11 OVERIGE BEPALINGEN
11.1 Formele kennisgevingen die Partijen op grond van deze Bewerkersovereenkomst aan elkaar zullen doen vinden schriftelijk plaats. Correspondentie en afspraken in het kader van operationele en technische zaken rondom de verwerking van de persoonsgegevens in het kader van de Hoofdovereenkomst en de Bewerkersovereenkomst kan plaatsvinden via email. Mondelinge mededelingen, toezeggingen of afspraken hebben geen rechtskracht tenzij deze schriftelijk zijn bevestigd. Partijen wijze ieder een contactpersoon aan in verband met de uitvoering van de Bewerkersovereenkomst.
11.2 De eigendomsrechten op de in het kader van de Hoofdovereenkomst en de Bewerkersovereenkomst verwerkte persoonsgegevens blijven te allen tijde rusten bij het College en/of betreffende betrokkenen.
11.3 Indien door de Autoriteit Persoonsgegevens herziene of nieuwe richtsnoeren en beleidsregels worden gepubliceerd ter aanvulling of vervanging van de in de Bewerkersovereenkomst genoemde, zal de NVSI – indien dit gevolgen heeft voor het in de Bewerkersovereenkomst bepaalde contact opnemen met het College over betreffende gevolgen en de eventueel benodigde aanpassingen van het in de Bewerkersovereenkomst bepaalde.
11.4 Ieder geschil tussen partijen ter zake van deze overeenkomst zal, indien minnelijke oplossing van dit geschil niet mogelijk is gebleken, bij uitsluiting worden voorgelegd aan de daartoe bevoegde rechter te Utrecht. Er is sprake van een geschil indien één der partijen zulks in een aangetekende brief aan de wederpartij kenbaar maakt.
11.5 Wijzigingen en/of aanvullingen op deze overeenkomst zijn uitsluitend geldig indien zij tussen Partijen schriftelijk zijn overeengekomen door de daartoe bevoegde personen van beide Partijen.
11.6 De Bewerkersovereenkomst treedt na ondertekening in de plaats van een (eventueel) eerder tussen Partijen gesloten bewerkersovereenkomst met betrekking tot de verwerking van persoonsgegevens als verwoord in artikel 1.1 Bewerkersovereenkomst.
ALDUS OVEREENGEKOMEN EN IN TWEEVOUD ONDERTEKEND
NVSI | Het College |
..................................................... Naam: Functie: Plaats: | ..................................................... Naam: Functie: Plaats: |
Datum: | Datum: |