Inhoud

Inhoud

Artikel 1. Begrippen 2

Artikel 2. Voorwerp van deze Verwerkersovereenkomst 3

Artikel 3. Inwerkingtreding en duur 3

Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer 3

Artikel 5. Beveiliging van de Verwerking 4

Artikel 6. Geheimhouding door Personeel van Opdrachtnemer 4

Artikel 7. Subverwerker 4

Artikel 8. Bijstand vanwege rechten van Betrokkene 5

Artikel 9. Inbreuk in verband met Persoonsgegevens 5

Artikel 10. Terugbezorgen of wissen Persoonsgegevens 5

Artikel 11. Informatieverplichting en audit 5

Artikel 12. Aansprakelijkheid 5

Bijlage 1. De Verwerking van Persoonsgegevens 7

Bijlage 2. Passende technische en organisatorische maatregelen 8

Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens 9

Verwerkersovereenkomst ARVODI-2018

De ondergetekenden:

1. De

hierna te noemen: Opdrachtgever,

, rechtsgeldig vertegenwoordigd

en

2. De

, namens deze, hierna te noemen: Opdrachtnemer,

hierna gezamenlijk te noemen: Partijen;

OVERWEGENDE DAT:

• voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als verwerker;

• Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van

de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Opdrachtnemer wensen vast te leggen.

KOMEN OVEREEN:

Artikel 1. Begrippen

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten 2018 (ARVODI-2018). In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:

1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

1.3 Overeenkomst: de overeenkomst tussen Opdrachtgever en Opdrachtnemer

OVEREENKOMST HOSTING EN BEHEER ‘GGD CONTACT’

1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.

1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.6 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.

1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

Artikel 2. Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Opdrachtnemer in het kader van de Overeenkomst.

2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven. Opdrachtgever garandeert dat de opdracht van de Verwerking in overeenstemming is met de door Opdrachtgever uitgevoerde data protection impact assessment (DPIA).

2.3 Opdrachtnemer garandeert de toepassing van passende technische en organisatorische maatregelen zoals bedoeld in Bijlage 2 , opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.

2.4 Opdrachtnemer garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens zoals Opdrachtgever die heeft gecommuniceerd en vertaald zijn naar requirements.

Artikel 3. Inwerkingtreding en duur

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.

3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Opdrachtnemer alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.

3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer

4.1 Opdrachtnemer Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op Opdrachtnemer van toepassing zijn.

4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Opdrachtnemer in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

4.3 Indien Opdrachtnemer op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

4.4 Opdrachtnemer heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.

Artikel 5. Beveiliging van de Verwerking

5.1 In aanvulling op artikel 15 van de ARVODI-2018 en onverminderd artikel 2.3 treft Opdrachtnemer de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.

5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Opdrachtgever garandeert Opdrachtnemer zo spoedig mogelijk op de hoogte te brengen van aanvullende of aangescherpte beveiligingseisen. Opdrachtnemer waarborgt een op het risico afgestemd beveiligingsniveau.

5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Opdrachtnemer aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens. Indien deze aanvullende maatregelen het beveiligingsniveau van Opdrachtnemer overstijgen en meerwerk oplevert dan komen de kosten voor deze aanvullende maatregelen voor rekening van Opdrachtgever.

5.4 Opdrachtnemer Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.

5.5 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.

5.6 Opdrachtnemer verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening. De redelijke kosten die hierbij gemoeid zijn kunnen door Opdrachtnemer bij Opdrachtgever in rekening gebracht worden.

Artikel 6. Geheimhouding door Personeel van Opdrachtnemer

6.1 De Persoonsgegevens hebben een vertrouwelijk karakter als bedoeld in artikel 13.1 van de ARVODI-2018.

6.2 Opdrachtnemer toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in artikel 13.2 van de ARVODI-2018.

Artikel 7. Subverwerker

Wanneer Opdrachtnemer, met inachtneming van het bepaalde in artikel 8 van de ARVODI-2018, een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

Artikel 8. Bijstand vanwege rechten van Betrokkene

Opdrachtnemer verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden. De redelijke kosten die hierbij gemoeid zijn worden door Opdrachtnemer bij Opdrachtgever in rekening gebracht.

Artikel 9. Inbreuk in verband met Persoonsgegevens

9.1 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.

9.2 Opdrachtnemer informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

9.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

Artikel 10. Terugbezorgen of wissen Persoonsgegevens

10.1 Na afloop van de Overeenkomst draagt Opdrachtnemer, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van alle Persoonsgegevens. Opdrachtnemer verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

10.2 Zodra de Overeenkomst is beëindigd, zal Opdrachtnemer – naar keuze van Opdrachtgever

– alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Opdrachtgever, en/of deze persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen op instructie van Opdrachtgever.

Artikel 11. Informatieverplichting en audit

11.1 Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.

11.2 Opdrachtnemer verleent op basis van nacalculatie alle benodigde medewerking aan audits. De bedoelde audit vindt plaatst nadat Opdrachtgever de bij Opdrachtnemer aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en zij redelijke argumenten ziet om een audit te doen.

11.3 Opdrachtnemer verstrekt met een frequentie van eenmaal per jaar, uiterlijk op 1 maart aan Opdrachtgever een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de genoemde naleving.

Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,

Den Haag, datum:

Goes, datum:

Bijlage 1. De Verwerking van Persoonsgegevens

Het onderwerp/aard en doel van de Verwerking	De verwerking door opdrachtnemer betreft het hosten van app, sluis en webportal van ‘GGD Contact’. Het doel van GGD Contact is op een goede, veilige en efficiënte manier uitvoeren van bronnen- en contactonderzoek.
Het soort Persoonsgegevens	• Bijzondere categorieën van gegevens als bedoeld in artikel 9 AVG • Wettelijk voorgeschreven identificatienummers • Overige persoonsgegevens.
Beschrijving categorieën Persoonsgegevens	• Gegevens die de Opdrachtgever nodig heeft voor bron- en contactopsporing. Dit zijn gezondheidsgegevens. Bijvoorbeeld: netwerk/relatie-gegevens, gegevens over contacten van index, contactgegevens, besmettingsrisico, klachten, door de index in een open veld zelf ingevulde gegevens • Gegevens van medewerkers die het bronnen- en contactonderzoek uitvoeren, waaronder ook de logging van het gebruik van de applicatie.
Beschrijving categorieën Betrokkenen	• Met infectieziekte besmette personen (‘index’) • Contacten die mogelijk besmet zijn (‘contacten’) • Medewerkers die bronnen en contactonderzoek uitvoeren
Beschrijving categorieën ontvangers van Persoonsgegevens	Medewerkers van Opdrachtnemer en door Opdrachtnemer ingeschakelde (sub)verwerkers die vanuit hun rol bij de verwerking betrokken zijn.

Bijlage 2. Passende technische en organisatorische maatregelen

Het vereiste beveiligingsniveau is vastgelegd in de DVO in hoofdstuk 3 (Beveiliging) en in de daarbij behorende bijlage Beveiliging GGD Contact (zie de verwijzing in artikel 1.3 van de DVO).

Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens

Inbreuken in verband met Persoonsgegevens moeten worden gemeld bij de servicedesk van GGD GHOR en worden afgewikkeld volgens het door GGD GHOR gehanteerde incidentproces.

Betreft het een incident dat zich voordoet bij Opdrachtnemer, dan worden bij de melding van het incident alleen die persoonsgegevens verstrekt die noodzakelijk zijn voor de afwikkeling van het incident, waaronder een beschrijving van

Aard van de Inbreuk in verband met Persoonsgegevens

De Persoonsgegevens en Betrokkene (voor zover noodzakelijk)

Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens

Maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen

ter beperking van de eventuele nadelige gevolgen daarvan

De wijze waarop incidenten kunnen worden aangemeld zal door GGD GHOR aan Opdrachtgever en Opdrachtnemer worden gecommuniceerd. Partijen zijn hierbij zelf verantwoordelijk voor de beveiliging van de henzelf verzonden berichten.

Op verzoek van de Privacy Lead van GGD GHOR of de FG van de GGD kan bij de opvolging van incidenten ondersteuning gevraagd worden van Opdrachtnemer. In dat geval wordt in een intake bepaald welke gegevens Opdrachtnemer hiervoor nodig heeft.