Model onderlinge regeling gezamenlijk Verwerkingsverantwoordelijken – 26 AVG
Model onderlinge regeling gezamenlijk Verwerkingsverantwoordelijken – 26 AVG
Uitgangspunt is dat deze Onderlinge regeling bijgevoegd wordt bij een samenwerkingsovereenkomst (hoofdovereenkomst) waarin partijen afspraken maken over
- Aansprakelijkheid en nakoming
- Geheimhouding
- Geschillen
- Toepasselijk recht
Tussen uitsluitend departementen zijn dat afspraken. Zijn er
private partijen betrokken, dan spreken we van een overeenkomst. Denk
daarbij aan de ARVODI of ARBIT.
<TITEL
VERWERKING>
Onderlinge
regeling gezamenlijke Verantwoordelijkheid als bedoeld in artikel 26
van de AVG
[ARBIT-2018 of XXXXXX-0000]
Verwijzing naar Arbit of Arvodi wordt opgenomen als ze van
toepassing zijn en als het noodzakelijk is. Wellicht is een
dergelijke verwijzing al opgenomen in de hoofdovereenkomst, dan kan
het hier achterwege blijven.
DE ONDERGETEKENDEN
Hierbij is het belangrijk te bezien om welke
partijen het gaat. Betreft het alleen overheidsonderdelen, zoals
departementen, gemeenten, provincies, of betreft het ook private
partijen. De Staat noem je alleen als je met private partijen te
maken hebt, dus niet als het alleen ministeries betreft. Dat bepaalt
het karakter van de
hoofdovereenkomst/samenwerkingsovereenkomst/afspraken en heeft ook
invloed op de weergave van partijen. De verwijzing naar de genoemde
partijen als Partij, zou ook kunnen middels de term
verwerkingsverantwoordelijke 1,2,3 als je onderscheid wilt kunnen
maken tussen partijen.
1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag,
te dezen vertegenwoordigd door de [Minister/Staatssecretaris van/voor] [naam portefeuille],
namens deze,
[functienaam en naam ondertekenaar],
hierna te noemen: Partij,
en/of
PRIVATE PARTIJEN
2. [volledige naam en rechtsvorm contractant],
(statutair) gevestigd [eventueel toevoegen: en kantoorhoudende] te [adres, plaats], [eventueel toevoegen: KVK-nummer xxx,]
te dezen vertegenwoordigd door [functienaam en naam ondertekenaar],
hierna te noemen: Partij,
en/of
BIJ MEERDERE OVERHEIDSONDERDELEN/MINISTERIES
[organisatienaam], onderdeel van [naam ministerie]
te dezen vertegenwoordigd door,
[functienaam en naam ondertekenaar]
hierna te noemen: Partij,
en/of
[organisatienaam], onderdeel van [naam ministerie]
te dezen vertegenwoordigd door,
[functienaam en naam ondertekenaar]
hierna te noemen: Partij,
<toevoegen meerdere partijen op gelijke wijze>
hierna gezamenlijk te noemen: Partijen,
OVERWEGENDE DAT
Partijen gezamenlijk de doeleinden en middelen bepalen van de volgende verwerking: XXXX
Partijen door gezamenlijk Persoonsgegevens te verwerken voor verwerking XXX als gezamenlijke Verwerkingsverantwoordelijken optreden, als bedoeld in artikel 26, eerste lid, van de AVG;
Partijen met deze Onderlinge regeling invulling geven aan de verplichting, als bedoeld in artikel 26 van de AVG, en hiermee hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG willen vastleggen.
< OPTIONEEL om in de overwegingen aan te geven voor welke onderdelen gezamenlijke verantwoordelijkheid bestaat en voor welke delen iedere partij afzonderlijk verwerkingsverantwoordelijke is, of varianten hierop. >
KOMEN OVEREEN:
1. Begrippen
1. De gehanteerde begrippen hebben een gelijkluidende betekenis als uit de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (Algemene verordening gegevensbescherming, AVG).
2. Naast de begrippen uit de AVG, worden de volgende begrippen gehanteerd:
a) Autoriteiten: autoriteiten en toezichthouders die toezicht houden op de naleving van wet- en regelgeving door Partijen, waaronder de Autoriteit Persoonsgegevens en de Nederlandse Zorgautoriteit;
b) Bijlage: aanhangsel bij deze Onderlinge regeling die deel uitmaakt van deze Onderlinge regeling;
c) Contactpunt: het op grond van onderdeel 4 ingestelde Contactpunt;
d) Gezamenlijke Verwerkingsverantwoordelijken: de Verwerkingsverantwoordelijken die zijn aangesloten bij deze Onderlinge Regeling en dus gezamenlijk kwalificeren als verwerkingsverantwoordelijken voor de verwerking die het onderwerp is van deze Onderlinge regeling.
d) Onderlinge regeling: deze Onderlinge regeling waarin Partijen afspraken hebben gemaakt over de wijze waarop zij uitvoering geven aan hun verplichtingen als gezamenlijke Verwerkingsverantwoordelijken als bedoeld in artikel 26 van de AVG.
e) Hoofdovereenkomst: de samenwerkingsovereenkomst of samenwerkingsafspraken tussen Partijen [titel] van [datum], met kenmerk [kenmerk].
2. Voorwerp van deze Onderlinge regeling
Partijen maken afspraken over de wijze waarop zij invulling geven aan hun gezamenlijke Verwerkingsverantwoordelijkheid, als bedoeld in artikel 26, eerste lid, van de AVG, met betrekking tot:
het informeren van Xxxxxxxxxxx over de Verwerkingen,
het uitvoering geven aan wettelijke verplichtingen in verband met de rechten van de Betrokkenen,
het melden van een Inbreuk in verband met Persoonsgegevens (Datalek);
de beveiliging van de Verwerking;
het afhandelen van (gerechtelijke) verzoeken van Autoriteiten;
(OPTIONEEL) het inhuren van Verwerkers;
(OPTIONEEL) het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) gedurende de samenwerking.
2.2 In Bijlage 1 zijn onder meer de aard en het doel van de Verwerking, het soort Persoonsgegevens, de categorieën van Persoonsgegevens, de Betrokkenen, en de Ontvangers omschreven.
2.3 Partijen Verwerken de Persoonsgegevens overeenkomstig de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
3. Informeren van Xxxxxxxxxxx
Het informeren van
betrokkene kan op verschillende manieren. Het is belangrijk dat de
wezenlijke inhoud van de afspraken kenbaar zijn voor de betrokkene en
dat betrokkene goed geïnformeerd wordt over de gegevensverwerking.
In deze bepaling is gekozen voor de vorm van een privacyverklaring.
Het gaat erom dat overeenkomstig het transparantiebeginsel informatie
en communicatie in verband met de verwerking van die persoonsgegevens
eenvoudig toegankelijk en begrijpelijk zijn. Dit kan bijvoorbeeld via
een gezamenlijke verklaring op een website, maar kan ook via aparte
verklaringen van betrokken partijen.
3.1 Partijen
geven invulling aan de uit artikelen 13 en 14 van de AVG
voortvloeiende informatieverplichtingen door:
< hier de wijze van informeren die is afgesproken benoemen, bijvoorbeeld>
- een gezamenlijke of een onderling afgestemde
privacyverklaring.
- In de privacyverklaring worden Betrokkenen onder meer gewezen op
het bestaan van het Contactpunt en de wezenlijke inhoud van deze
Onderlinge regeling
3.2 Partijen informeren Xxxxxxxxxxx middels de privacyverklaring
over de Verwerking.
3.3 Indien mogelijk ondersteunen Partijen elkaar bij het informeren van de Betrokkenen.
4. Rechten van Betrokkenen
Uitgangspunt is dat het
voor betrokkene duidelijk moet zijn waar en bij wie hij zijn privacy
rechten kan uitvoeren. Het is belangrijk dat voor betrokkene
duidelijk is waar hij terecht kan met verzoeken en vragen. De
verplichting om dit te regelen ligt bij de gezamenlijk
verwerkingsverantwoordelijke partijen bij deze Onderlinge regeling.
Het inrichten van een apart nieuw contactpunt is geen verplichting,
maar er moet dus wel iets geregeld worden voor de rechten van
betrokkenen. Het contactpunt is een mogelijkheid om ervoor te zorgen
dat aan deze verplichting wordt voldaan. Denk dan aan een gezamenlijk
aan te wijzen contactpunt/contactpersoon. NB. Denk
hierbij ook aan het maken van afspraken over het contactpunt en
eventuele aansprakelijkheid, wie is waarvoor verantwoordelijk
(beveiligen, bewaren etc.). Het gaat er om dat het voor betrokkenen
duidelijk moet zijn tot wie (welk loket) zij zich moeten wenden voor
het uitoefenen van hun rechten. Voor de leesbaarheid is gekozen voor
het gebruik van de term ‘Contactpunt’.
4.1 Partijen richten voor Betrokkene een Contactpunt in. Het Contactpunt is een centraal punt waar Betrokkenen verzoeken, als bedoeld in de artikelen 15 tot en met 20 van de AVG, kunnen indienen. Ook kunnen Betrokkenen via het Contactpunt bezwaar maken in de zin van artikelen 21 en 22 van de AVG.
4.2 Het Contactpunt wordt beheerd door [XXX] en wordt op een voor Betrokkenen duidelijke zichtbare plaats opgenomen op de website van [XXX] alsook in de gezamenlijke of onderling afgestemde privacyverklaring.
4.3 De afspraken over de procedure van behandeling van een verzoek of bezwaar van Xxxxxxxxxx, zijn opgenomen in Bijlage 4 bij deze Onderlinge regeling.
4.4 Heeft het verzoek of bezwaar betrekking op meerdere Partijen of ziet het verzoek op Persoonsgegevens die voor meerdere Partijen toegankelijk zijn, dan wel heeft de uitvoering van het verzoek gevolgen voor meerdere Partijen, dan wordt het verzoek gezamenlijk en in onderling overleg door die betreffende Partijen afgehandeld. Het Contactpunt speelt daarbij een coördinerende rol. De behandelende Partijen stellen in dat geval gezamenlijk een reactie op, onverminderd ieders individuele verantwoordelijkheid op grond van de AVG.
4.5 Voor zover noodzakelijk, ondersteunen Partijen elkaar bij het verzamelen van de informatie die benodigd is voor de behandeling van het verzoek of bezwaar van de Betrokkene.
4.6 Deze Onderlinge regeling laat onverlet dat de Betrokkene zijn rechten uit hoofde van de AVG met betrekking tot en jegens iedere Verwerkingsverantwoordelijke kan uitoefenen. Indien aan een Verwerkingsverantwoordelijke een verzoek of bezwaar wordt gericht dat betrekking heeft op de Partijen, zijn de afspraken uit onderdelen 4.4 en 4.5 van deze Onderlinge regeling van overeenkomstige toepassing.
5. Inbreuk in verband met Persoonsgegevens (Datalek)
Bekijk goed welke termijn haalbaar is en leg die vast. Omdat de
totale termijn voor een melding bij de Autoriteit Persoonsgegevens 72
uren is, lijkt de termijn van 24 uren redelijk. Uiteindelijk is het
een afweging per Onderlinge regeling wat je hierover af wilt spreken.
5.1 In het geval van ontdekking van een Inbreuk in verband met Persoonsgegevens informeert de Partij die de Inbreuk ontdekt, de andere Partijen onverwijld, doch in ieder geval binnen 24 uur na ontdekking, overeenkomstig de procedure zoals opgenomen in Bijlage 3 bij deze Onderlinge regeling.
5.2 Indien een Inbreuk in verband met Persoonsgegevens zich voordoet, kunnen Partijen besluiten de Inbreuk in verband met Persoonsgegevens gezamenlijk te melden bij de Autoriteit Persoonsgegevens indien de gevolgen verder reiken dan de omgeving van één Partij. Een dergelijke beslissing doet niet af aan de eigen verantwoordelijkheden van Partijen op grond van de AVG rondom een Inbreuk in verband met Persoonsgegevens. Partijen registreren dan ook separaat de Inbreuk in het eigen register en leggen de genomen maatregelen vast.
5.3 De Partij waar een Inbreuk in verband met
Persoonsgegevens zich voordoet, houdt de andere Partij
(eventueel via zijn Verwerker) op de hoogte van de ontwikkelingen
inzake de Inbreuk in verband met Persoonsgegevens en de maatregelen
die deze Partij treft om de gevolgen te beperken en herhaling te
voorkomen.
5.4 De Partij waar zich een Inbreuk in verband met Persoonsgegevens voordoet zal alle redelijkerwijs te verwachten bijstand aan de andere Partij verlenen en alle noodzakelijke of door de andere Partij gevraagde informatie met de andere Partij delen, met als doel dat de andere Partij de (mogelijk) getroffen Betrokkene(n) en/of de Autoriteit Persoonsgegevens, tijdig kan informeren over de Inbreuk in verband met Persoonsgegevens.
6. Beveiliging van de Verwerking
6.1 Partijen waarborgen gedurende de looptijd van de Onderlinge regeling een op het risico afgestemd niveau van beveiliging van de Verwerking van Persoonsgegevens volgens artikel 32 AVG. Zij leggen de te nemen maatregelen vast in Bijlage 2 bij deze Onderlinge regeling.
6.2 Partijen, ook ieder afzonderlijk, treffen passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de AVG voldoet, de bescherming van de rechten en vrijheden van de Betrokkene is gewaarborgd en een Inbreuk in verband met Persoonsgegevens te voorkomen.
7. <OPTIONEEL> het inhuren van een Verwerker
Als gezamenlijke Verwerkingsverantwoordelijken ben je ook gezamenlijk verantwoordelijk voor het inhuren van een Verwerker. Daartoe zou je dit artikel kunnen opnemen. In de praktijk zal een ingehuurde partij over het algemeen één opdrachtgever hebben. Over hoe je dit inricht als gezamenlijk verwerkingsverantwoordelijken kun je in bijlage 5 afspraken maken. Let hierbij op het aanbestedingsrecht en raadpleeg zo nodig een expert.
Partijen beslissen gezamenlijk tot het inhuren van XX een naam van/verwijzing naar Verwerker XX.
Partijen maken afspraken over de wijze waarop zij deze Verwerker aansturen, zoals opgenomen in Bijlage 5 bij deze Onderlinge regeling.
<OPTIONEEL> Gegevensbeschermingseffectbeoordeling
(DPIA)
Uitgangspunt is dat een DPIA is uitgevoerd voordat
de samenwerking start. Gedurende de samenwerking kunnen er
wijzigingen optreden die een nieuwe DPIA of aanpassing noodzakelijk
maken.
Partijen kunnen individueel of gezamenlijk een DPIA (laten) uitvoeren en aanpassen.
Partijen geven elkaar hun volledige medewerking aan het (laten) uitvoeren van (aanpassing van) een gezamenlijke DPIA.
Indien Partijen voor het uitvoeren van een gezamenlijke DPIA een derde partij in willen schakelen, worden de kosten voor de inschakeling van deze derde voor gelijke delen gedragen door Partijen.
8. Verzoeken van Autoriteiten
8.1 Wanneer een Autoriteit een verzoek doet bij een Partij ter zake van de Verwerking van Persoonsgegevens overeenkomstig deze Onderlinge regeling, informeert de Partij daarover de andere Partij(en).
8.2 Partijen kunnen beslissen een verzoek van een Autoriteit
gezamenlijk af te handelen.
8.3 Partijen geven elkaar alle benodigde informatie en medewerking om aan een verzoek van een Autoriteit te voldoen.
9. Inwerkingtreding, duur en beëindiging
9.1 Mede gelet op de bepalingen uit de Hoofdovereenkomst treedt deze Onderlinge regeling in werking op het moment waarop deze door Partijen is ondertekend.
9.2 Deze Onderlinge regeling eindigt op een door Partijen
nader overeen te komen datum nadat en voor zover Partijen niet langer
gezamenlijk Verwerkingsverantwoordelijken zijn voor de Verwerking en
de Persoonsgegevens overeenkomstig onderdeel 10 van deze Onderlinge
regeling zijn gewist/vernietigd of zijn terugbezorgd aan de
opvolgende Verwerkingsverantwoordelijke. Partijen accorderen de
einddatum en leggen hem schriftelijk vast.
9.3 Na beëindiging van de Onderlinge regeling zullen lopende verplichtingen ten aanzien van de Verwerking van Persoonsgegevens ter zake van deze Onderlinge regeling blijven voortduren. Onder lopende verplichtingen worden in ieder geval, maar niet uitsluitend, verstaan het melden van een Inbreuk in verband met Persoonsgegevens, het meewerken aan het verlenen van bijstand rondom de uitoefening van de rechten van Betrokkenen, en de geheimhoudingsverplichting.
10.
Terugbezorgen of wissen/vernietigen Persoonsgegevens
Maak
in het eerste lid zelf de afweging wat er met de persoonsgegevens
moet gebeuren. Het kan aan de orde zijn dat in verband met de
archiefwet gegevens terugbezorgd moeten worden bij de
Verwerkingsverantwoordelijke.
10.1 Met het oog op de beëindiging van de Onderlinge regeling, dragen Partijen zorg voor het wissen/vernietigen van alle Persoonsgegevens, het terugbezorgen daarvan aan de Verwerkingsverantwoordelijke en/of het overdragen aan de opvolgend Verwerkingsverantwoordelijke. Kopieën van terugbezorgde of overgedragen Persoonsgegevens worden vernietigd, behoudens afwijkende wettelijke voorschriften.
10.2 <OPTIONEEL bij private partijen> Partijen [wis(t)(sen) of retourne(ert)(ren)] de Persoonsgegevens binnen [aantal] [dagen/weken] vóór [datum], bij gebreke waarvan tekortschietende Partij aan de andere Partij een boete verschuldigd is van € [bedrag] per dag, met een maximum van € [bedrag].
De Persoonsgegevens worden als volgt terugbezorgd of overgedragen: [bestandsformaat] [wijze] [adres].
OF
10.2 <OPTIONEEL> Persoonsgegevens worden in de door Partijen aangegeven vorm en op de door Partijen aangegeven wijze bezorgd aan [ontvangende Partij].
11. Informatieverplichting en bijstand verlenen
Partijen informeren elkaar en verlenen elkaar bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
12.
Toetreding
Indien andere Partijen na de initiële
ondertekening van de Onderlinge regeling willen toetreden, kunnen zij
toetreden tot deze Onderlinge regeling door middel van de procedure
zoals opgenomen in de Hoofdovereenkomst.
13.
Wijziging van de Onderlinge regeling
De Onderlinge regeling
kan slechts worden gewijzigd door middel van een schriftelijk
document waarin uitdrukkelijk staat vermeld dat het document bedoelt
een dergelijke wijziging aan te brengen, en dat door Partijen is
ondertekend.
Aldus op de laatste van de
hierna genoemde data overeengekomen en in Xvoud ondertekend,
Den Haag, [datum] [Plaats], [datum]
[naam Verwerkingsverantwoordelijke 1] [naam Verwerkingsverantwoordelijke 2]
namens deze, namens deze,
[functienaam ondertekenaar] [functie en naam ondertekenaar]
[naam ondertekenaar] [naam ondertekenaar]
Bijlage 1. De Verwerking van Persoonsgegevens
Instructie:
- Vul in ieder geval de onderstaande tabel in.
- Deze Onderlinge regeling ziet alleen op Verwerkingen ten aanzien waarvan Partijen gezamenlijk verantwoordelijk zijn.
- Voor de inhoud van deze Bijlage kan onder meer gebruik worden gemaakt van de registratie die de Verwerkingsverantwoordelijke op grond van artikel 30 van de Verordening dient aan te houden.
- Hoewel doel en middelen van de Verwerking gezamenlijk worden bepaald kan het van belang zijn bij het invullen van de tabel te onderscheiden naar Verwerkingsverantwoordelijke 1 en Verwerkingsverantwoordelijke 2.
-besteed hier ook aandacht aan de verdeling van Verwerkingsverantwoordelijkheden.
N.B. Bij gebruik van de regeling, deze instructie verwijderen.
Het onderwerp/aard en doel van de Verwerking |
|
Het soort Persoonsgegevens (bijv. NAW gegevens, medische gegevens) |
|
Beschrijving categorieën Persoonsgegevens in de zin van de AVG |
|
Beschrijving categorieën Betrokkenen in de zin van de AVG |
|
Beschrijving categorieën Ontvangers van Persoonsgegevens in de zin van de AVG |
|
OPTIONEEL
op te nemen:
Per
verwerking/ doel: wie zijn er gezamenlijk verantwoordelijk
Per
verwerking/ doel: wie heeft er toegang tot de persoonsgegevens
Bijlage 2. Passende technische en organisatorische maatregelen
Instructie:
- In deze bijlage moeten de normen en maatregelen die Partijen in het kader van de beveiliging van de Verwerking hanteren respectievelijk treffen worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd.
- De Bijlage ziet in beginsel alleen op maatregelen die Partijen treffen in verband met hun eigen rol bij de Verwerking. Indien Partijen een externe Verwerker inschakelen dan dienen de door hem te treffen maatregelen te worden vastgelegd in een Verwerkersovereenkomst.
Uitgangspunt voor maatregelen van informatiebeveiliging is risicomanagement door middel van data privacy impact assessments en risicoanalyses van informatiebeveiliging, bijvoorbeeld door middel van DPIA-workshops en Quick Scans Information Security.
Voor Rijksoverheid worden de risicoanalyses informatiebeveiliging uitgevoerd op het niveau van de Baseline Informatiebeveiliging Overheid (geldend voor alle Nederlandse overheden).
Maatregelen kunnen hieronder worden toegelicht en worden opgenomen in Information Security Management Systemen om monitoring te borgen.
N.B. Bij gebruik van de Onderlinge regeling, deze instructie verwijderen.
Gezamenlijke normen
[…]
Normen en maatregelen Partij 1 (Verwerkingsverantwoordelijke 1)
[…]
Normen en maatregelen Partij 2 (Verwerkingsverantwoordelijke
2)
[…]
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens (Datalek)
Instructie:
In deze bijlage wordt vastgelegd waar Inbreuken in verband met Persoonsgegevens moeten worden gemeld en op welke wijze deze worden afgehandeld.
N.B. Bij gebruik van de Onderlinge regeling, deze instructie verwijderen.
Meldpunt
[contactgegevens, etc.]
Contactgegevens per Partij
Beschrijf hier de contactgegevens van de bevoegde
vertegenwoordiger(s) per partij die als contactpersoon voor
datalekken geldt.
Procedure afhandeling Inbreuken in verband met Persoonsgegevens (Datalek)
In het geval van een Datalek zal de Partij waar een Datalek zich voordoet de andere Partij(en) voorzien van alle relevante informatie met betrekking tot het Datalek. De bovengenoemde contactpersoo()n(en) word(t)(en) geïnformeerd.
De informatie omvat in ieder geval:
een beschrijving van de situatie:
de aard van de Inbreuk (welk type Datalek);
de datum waarop het ontstaan is;
de oorzaak van het Datalek;
de omvang van het Datalek (om welke Persoonsgegevens gaat het en wat is ermee gebeurd);
een inschatting van het aantal en type (mogelijk) getroffen Betrokkenen (gaat het om kwetsbare groepen, klanten, werknemers);
een indicatie van de aard van de getroffen Persoonsgegevens en of deze Persoonsgegevens encrypted waren, dan wel anderszins beveiligd of onbegrijpelijk/ontoegankelijk waren gemaakt;
de xxxxx xxx xxxxxxxx voor Betrokkenen;
een beschrijving van de getroffen en te treffen preventieve en correctieve maatregelen, geplande maatregelen en de aanbevolen maatregelen ter beperking van de schade, daaronder begrepen een noodplan en de verwachte oplossings- en work-around tijd;
informatie over welke derden, zoals overheidsinstanties en de (sociale) media, bekend zijn of kunnen zijn met het Datalek;
andere informatie die kan bijdragen aan de beperking van de schade aan de organisatie van Verwerkingsverantwoordelijke en de privacy van de getroffen Betrokkene(n).
Bij de beschrijving worden alle benodigde gegevens vermeld en wordt ook zo veel mogelijk aangesloten bij de gegevens die de Autoriteit Persoonsgegevens vraagt bij een melding van een Datalek.
Bijlage 4: Afhandeling verzoeken en bezwaar Betrokkenen
Contactpunt verzoeken en bezwaar
Betrokkenen:
[contactgegevens]
Procedure afhandelen verzoeken en bezwaar Betrokkenen:
Het Contactpunt stelt bij ontvangst van een verzoek of bezwaar de identiteit van de verzoeker vast en stuurt de Betrokkene een ontvangstbevestiging.
Het Contactpunt beoordeelt vervolgens aan de hand van de inhoud van het verzoek of bezwaar op welke Partij(en) bij de Onderlinge regeling en op welke Persoonsgegevens het betreffende verzoek betrekking heeft.
De Partij op wie het verzoek betrekking heeft, ontvangt het verzoek en het bewijs van identificatie van het Contactpunt en handelt het verzoek van de Betrokkene af.
Een verzoek wordt door de behandelende Partij individueel – en zonder overleg met andere Partijen – afgehandeld, althans voor zover het verzoek betrekking heeft op de Verwerking van Persoonsgegevens door één Partij.
Heeft het verzoek betrekking op meerdere Partijen of ziet het verzoek op Persoonsgegevens die voor meerdere Partijen toegankelijk zijn of heeft het verzoek gevolgen voor meerdere Partijen, dan wordt het verzoek gezamenlijk door die betreffende Partijen afgehandeld. De behandelende Partijen stellen in dat geval gezamenlijk een reactie op, onverminderd ieders individuele verantwoordelijkheid op grond van de AVG.
Informatie, inzage en toegang tot de Persoonsgegevens
[Leg hier specifieke afspraken vast over het inzageverzoek of informatievoorziening]
Rectificatie en wissing van gegevens
[Leg hier specifieke
afspraken vast over het recht op wissing van de gegevens]
Recht van bezwaar en geautomatiseerde individuele
besluitvorming
[Leg hier specifieke afspraken vast over het
recht van bezwaar en over geautomatiseerde besluitvorming]
Recht op beperking van de Verwerking
[Leg hier specifieke afspraken vast over het recht op beperking van de verwerking]
Bijlage 5 inhuren Verwerker
Leg hier afspraken vast over het gezamenlijk inhuren van een verwerker. Denk daarbij aan de wijze waarop de Verwerker wordt aangestuurd.
Toelichting bij de Onderlinge Regeling gezamenlijke Verantwoordelijkheid als bedoeld in art. 26 AVG
Twee of meer verwerkingsverantwoordelijken
De Onderlinge regeling is bedoeld om afspraken (over verplichtingen uit de AVG) tussen twee of meer gezamenlijk verwerkingsverantwoordelijken vast te leggen. Het gaat, in de woorden van art. 26 van de Verordening, om de situatie dat twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en (essentiële elementen van de) middelen van de verwerking bepalen.
Belangrijk is dat partijen gezamenlijk beslissen over de wezenlijke aspecten van de gegevensverwerking. Het gaat over het doel en (de essentiële onderdelen van de) middelen. Partijen bepalen bijvoorbeeld welke gegevens worden verwerkt, de duur van de opslag van de gegevens en zij hebben zeggenschap over de toegang tot de gegevens.
Praktische indicaties van verantwoordelijkheid van een partij zijn:
het initiëren van de verwerken van persoonsgegevens;
het bepalen van de doeleinden voor de gegevensverwerking;
het bepalen van de essentiële middelen die aangewend worden voor de verwerking;
het bepalen welke persoonsgegevens worden verwerkt;
het bepalen van de bewaartermijnen;
zeggenschap over de toegang tot de gegevens;
zeggenschap over de informatie die wordt verstrekt aan de betrokkene;
zeggenschap over het verstrekken van gegevens aan derden en/of naar partijen in landen buiten de EU;
de
contractuele afspraken over gegevensverwerking tussen partijen.
De Onderlinge regeling is niet bedoeld voor de verstrekking van persoonsgegevens van de ene aan de andere zelfstandig verwerkingsverantwoordelijke partij. In dat geval is er immers sprake van twee zelfstandige verwerkingsverantwoordelijken en zijn zij niet gezamenlijk verwerkingsverantwoordelijke.
Ook is de Onderlinge regeling niet bedoeld voor de verhouding tussen
verwerkingsverantwoordelijke en verwerker. Daarvoor is een ander
format beschikbaar: XXXX.
Van deze situatie is sprake van
wanneer een externe partij ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een voorbeeld
hiervan is een externe partij die een dienst levert aan de
verwerkingsverantwoordelijke die gericht is op de verwerking van
persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. De
dienstverlening bestaat dan primair uit het verwerken van gegevens.
Is de verwerking van persoonsgegevens een uitvloeisel van de dienst
waarvoor de externe partij ingehuurd wordt, dan is dit een indicatie
dat er geen sprake is van een verwerker: de externe partij is dan
verwerkingsverantwoordelijke.
De artikel 26 Onderlinge regeling kan de vorm aannemen van een
overeenkomst tussen verschillende rechtspersonen of een
afsprakendocument tussen bestuursorganen van de Staat der Nederlanden
onderling.
Xxxxxx een jurist en beveiligingsadviseur
Partijen maken afspraken in een hoofdovereenkomst. In hoeverre de artikel 26 Onderlinge regeling nodig is en welke aspecten geregeld moeten worden, is altijd een kwestie van een juridische beoordeling en maatwerk. Xxxxxx bij deze afweging een jurist, met name ook als de overeenkomst ook verwerkingen buiten de EU betreft. Voor de beveiligingseisen kun je terecht bij de beveiligingsadviseur van jouw organisatie.
12