VERWERKEROVEREENKOMST

VERWERKEROVEREENKOMST

Als opdrachtgever, besteedt u arbeidsdeskundig(e) onderzoek(en) en/of arbeidsdeskundige begeleiding van de betrokkene uit aan Arbeidskundig Adviesbureau Jonker, dan wel verstrekt u (bijzondere) persoonsgegevens die bij de uitvoering van voornoemde werkzaamheden worden gebruikt. Hierbij worden deze gegevens door Arbeidskundig Adviesbureau Jonker verwerkt en u bent daarmee Verantwoordelijke en Arbeidskundig Adviesbureau Xxxxxx is daarmee de Verwerker van die gegevens.

Hiertoe is in het kader van de AVG (Algemene Verordening Gegevensbescherming) het sluiten van een “verwerkersovereenkomst” een wettelijke verplichting. Deze verwerkersovereenkomst regelt deze wettelijke verplichting.

Opdrachtgever, hierna te noemen "Verantwoordelijke" en Arbeidskundig Adviesbureau Jonker B.V., gevestigd te Xxxxx Xxxxxxxxxxxx 000, 0000 XX xx Xxxxxxx xxx xxx XXxxxx, rechtsgeldig vertegenwoordigd door Xxxx Xxxxxx, eigenaar, hierna te noemen: "Verwerker".

gezamenlijk te noemen: "Partijen", en ieder afzonderlijk: "Partij", overwegende dat inzake de AVG:

- Op Verantwoordelijke verplichtingen rusten die voortvloeien uit zijn positie als opdrachtgever voor het laten uitvoeren van de in de 1e zin van deze overeenkomst genoemde dienstverlening;

- verwerker daarbij in het kader de uitvoering van de Overeenkomst (bijzondere) persoonsgegevens zal verwerken voor Verwerkingsverantwoordelijke;

- partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving om afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Verwerker;

komen Partijen het volgende overeen:

1. Verlening van opdracht tot verwerking van persoonsgegevens

1.1. Verantwoordelijke verleent met deze Verwerkersovereenkomst opdracht aan Verwerker voor het verwerken van de persoonsgegevens in het kader van de in de 1e zin van deze overeenkomst genoemde dienstverlening, welke Verwerker hierbij aanvaardt.

1.2. Verwerker zal de Persoonsgegevens niet voor andere doeleinden of op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden. De categorieën van Betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt zijn opgenomen in Bijlage 1.

1.3. Partijen bevestigen dat Verantwoordelijke volledig verantwoordelijk is voor het vaststellen van het doel en de middelen voor verwerking van persoonsgegevens. De Verwerker verwerkt de persoonsgegevens uitsluitend ten behoeve van de Verantwoordelijke en alleen binnen het kader van de verstrekte opdracht.

1.4. Verwerker en Verwekingsverantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

1.5. Verwerker zal, indien van toepassing, met de door haar ingeschakelde Sub-Verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Verwerkersovereenkomst. Verwerker zal in ieder geval iedere Sub-Verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de Persoonsgegevens.

2. Verplichtingen Verwerker

2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming persoonsgegevens zoals de AVG (Algemene verordening gegevensbescherming).

2.2. Verwerker zal Verantwoordelijke, op diens verzoek daartoe, informeren over de genomen maatregelen aangaande de afgesproken verplichtingen inzake deze Verwerkersovereenkomst.

2.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker zo genoemde sub- verwerkers, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

3. Geheimhouding en vertrouwelijkheid

3.1. Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.

3.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, of indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

3.3. Verwerker zorgt dat zijn personeel, of eenieder daarmee gelijk te stellen, gebonden is aan de in dit artikel opgenomen geheimhoudingsplicht.

3.4. Verwerk zal Verantwoordelijke trachten onmiddellijk, maar niet later dan binnen 48 uur op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht.

4. Doorgifte van persoonsgegevens

4.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.

4.2. Verwerker zal Verantwoordelijke melden om welke landen het gaat indien aan de orde.

4.3. Doorgifte naar landen buiten de Europese Unie mag wel indien dit noodzakelijk is in het kader van de overeengekomen dienstverlening tussen Verantwoordelijke en Verwerker en Verantwoordelijke hier ondubbelzinnige toestemming voor heeft gegeven.

4.4. Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in het kader van de uitvoering van de Overeenkomst, in opdracht van of met toestemming van Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting. In dat laatste geval zal Verwerker Verwerkingsverantwoordelijke inlichten, tenzij dit is verboden.

5. Beveiliging

5.1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Verwerker draagt er zorg voor dat de door haar gebruikte systemen (inclusief beveiligingssoftware en verbindingen) en de Diensten voldoen aan de geldende wettelijke verplichtingen.

5.2. Verwerker zal bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

5.3. Verwerker heeft in ieder geval, maar niet beperkt tot, de volgende maatregelen genomen:

- Het versturen van rapportage met wachtwoordbeveiliging.

- Het separaat versturen van een wachtwoord per mail of sms.

- De Verwerker gebruikt geen verouderde technieken om gegevens te beveiligen.

5.4. Verwerker zal de door hem getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.

5.5. Verantwoordelijke is te allen tijde gerechtigd om gedurende de uitvoering van de overeenkomst de hiervoor genoemde maatregelen door een onafhankelijke deskundige te laten toetsen door middel van een screening/audit. De kosten voor deze screening of audit zijn voor Verantwoordelijke.

6. Meldplicht

6.1. In geval van een beveiligingsincident en/of een datalek zal Verwerker de Verantwoordelijke daarover informeren, naar aanleiding waarvan de Verantwoordelijke onverwijld de betrokkene zal informeren.

6.2. Een melding moet altijd zo snel mogelijk worden gedaan en in ieder geval binnen 48 uur nadat Xxxxxxxxx kennis heeft genomen van een beveiligingsincident met betrekking tot de verwerking van de Persoonsgegevens.

6.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

- Wat is de vermeende oorzaak van het lek;

- Wat is het (vooralsnog bekende of onbekende) gevolg;

- Wat is de voorgestelde oplossing.

- Welke maatregelen worden genomen om een vergelijkbaar lek te voorkomen.

7. Rechten van betrokkenen

7.1. In het geval dat een betrokkene een verzoek tot inzage of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in de AVG, richt aan Verwerker, zal Verwerker het verzoek zelf afhandelen, zonder verplicht te zijn de Verantwoordelijke van de afhandeling op de hoogte te stellen.

7.2. Betrokkene heeft het recht om op eenvoudige wijze zijn toestemming voor het verwerken van zijn (bijzondere) persoonsgegevens in te trekken. Hij maakt op die manier feitelijk gebruik van zijn blokkeringsrecht, ook wel recht op verzet genoemd. Xxxxxxxxx gaat akkoord met dit blokkeringsrecht en informeert zowel verantwoordelijke als betrokkene gelijktijdig dat het betreffende onderzoek wordt gestaakt en er op verzoek van betrokkene geen (eind)rapportage zal worden opgemaakt.

7.3. Verwerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verantwoordelijke.

8. Bewaartermijnen en vernietiging van persoonsgegevens

8.1. Verantwoordelijke verplicht de Verwerker om de in opdracht van Verantwoordelijke verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van Verantwoordelijke. Verantwoordelijke kan op eigen kosten een controle laten plaatsvinden of vernietiging heeft plaatsgevonden.

8.2. Verwerker zal Verantwoordelijke bevestigen dat vernietiging van verwerkte Persoonsgegevens heeft plaatsgevonden.

8.3. Er bestaat geen wettelijke termijn voor het bewaren van niet-medische gegevens van een arbeidsdeskundige (voortgangs-)rapportage. Het is echter redelijk om dit in beginsel niet langer dan twee jaar na afronding opdracht te bewaren. Xxxxxxxxx zal een actief beleid voeren ten aanzien van bewaartermijnen van persoonsgegevens om deze in basis twee jaar na beëindiging van de opdracht te vernietigen, mits er andere wettelijke zwaarwegende redenen kunnen worden opgevoerd en er een uitzondering moet worden gemaakt op schriftelijk verzoek van Verantwoordelijke.

9. Aansprakelijkheid en vrijwaring

9.1. Indien een Partij tekortschiet in de nakoming van de Verwerkersovereenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden, met in achtneming van de in de Overeenkomst opgenomen beperkingen.

9.2. Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerkingsverantwoordelijke worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Xxxxxxxxx. Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:

(i) Verwerker xxxxxxxx op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

(ii) in samenspraak met Verwerker te handelen en te communiceren richting de toezichthouder én

(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

9.3. Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Verwerkingsverantwoordelijke. Om een beroep te kunnen doen op deze vrijwaring is Verwerker gehouden om:

(i) Verwerkingsverantwoordelijke terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

(ii) in samenspraak met Verwerkingsverantwoordelijke te handelen en te communiceren richting de toezichthouder en

(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is

10. Duur en beëindiging

10.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van offerte voor de uitvoering van de in de 1e zin van deze overeenkomst genoemde dienstverlening en tegen de voorwaarden zoals vermeld in de offerte.

10.2. Deze Verwerkersovereenkomst die op de site van Verwerker is gepubliceerd is slechts gekoppeld aan de eenmalig verstrekte opdracht voor het laten uitvoeren van de in de 1e zin van deze overeenkomst genoemde dienstverlening waarbij deze overeenkomst een integraal onderdeel uit maakt van de te verstrekken opdracht door Verantwoordelijke.

10.3. De bepalingen van de Verwerkersovereenkomst blijven gelden voor zover nodig voor de afwikkeling van de verstrekte opdracht en de hier aan gekoppelde bewaartermijnen. Tot die laatste categorie behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.

10.4. Deze overeenkomst is niet overdraagbaar door een der Partijen zonder schriftelijke toestemming van de andere Partij.

10.5. Partijen mogen deze overeenkomst alleen wijzigen met wederzijdse instemming.

11. Toepasselijke rechten en geschillen

11.1. Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verantwoordelijke en Verwerker.

11.2. De Verwerkersovereenkomst en de uitvoering daarvan wordt beheerst door Nederlands recht.

11.3. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

Bijlage 1 Persoonsgegevens en verwerking

Deze bijlage is onderdeel van de Verwerkersovereenkomst tussen Verantwoordelijke en Verwerker.

Doelomschrijving

Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de doeleinden van en de middelen voor de verwerking:

Doel

Verwerker verwerkt alleen strikt noodzakelijke persoonsgegevens met als doel het opstellen van arbeidsdeskundig(e) rapportages en het arbeidsdeskundig kunnen begeleiden van betrokkene voor of namens de Verantwoordelijke. De Verwerker zal de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de opdracht van de Verantwoordelijke.

Gegevensverwerking

De Verwerker registreert gegevens van betrokkene die noodzakelijk zijn voor het uitvoeren van de in de 1e zin van deze overeenkomst genoemde dienstverlening.

Gegevens die geregistreerd zouden kunnen worden, mits noodzakelijk voor het onderliggende, individuele doel zijn:

• NAW- gegevens;

• Geslacht (tenzij betrokkene daar op verzoek van af wil wijken)

• Telefoonnummer;

• Geboortedatum;

• Emailadres;

• Land van herkomst;

• Kennis van de Nederlandse taal op gestandaardiseerd XXXX-xxxxxx (X0, X0, X0, X0,X0, X0);

• Inkomsten uit arbeid voor- en na WIA instroom;

• Functie en afdeling;

• Type dienstverband (vast dienstverband, tijdelijk dienstverband); bij UZB: ook welke fase;

• Uren per week (omvang arbeidsovereenkomst);

• Bruto uurloon in de maand voorafgaand aan datum uitval;

• Structureel overwerk in de 12 maanden voorafgaand aan uitval;

• Datum in dienst en uit dienst, zodra aan de orde;

• Zelfstandig ondernemer ja/nee;

• Zelfstandig ondernemer sinds;

• Inkomsten niet uit arbeid in loondienst;

• Fiscale jaarcijfers over afgelopen drie volledige boekjaren;

• Arbeidsongeval of regresmogelijkheid op derden;

• Bedrijfsongeval ja/nee;

• Verkeersongeval ja/nee;

• Administratieve arbeidsongeschiktheidsgegevens zoals: datum aanvang verzuim, verwachte hersteldatum zonder en met interventie en de mate van arbeidsongeschiktheid;

• De visie van de bedrijfsarts/arbodienst, verzekeringsarts, medisch adviseur of medisch expert op de te re-integreren werknemer, zelfstandige of het te begeleiden letselschadeslachtoffer zoals:

o Beperkingen ten aanzien van de te verrichten arbeid;

o Potentiële mogelijkheden voor werkhervatting;

o Wens van de werknemer (zoals soort werk, niveau, arbeidspatroon, scholing);

o Interventies nodig voor het wegnemen of verminderen van de beperkingen dan wel voor het vinden van arbeid of het aanpassen van arbeid;

o Planningstraject;

o Kostenbegroting.

• Informatie over een vangnetsituatie of no risk polis in het kader van de Ziektewet;

• Mogelijke WAZO periode;

• Bijzondere status zoals: WAO (en klasse), WIA (en klasse), Wajong, WSW, Sfb, Agh, doelgroepenverklaring;

• Probleemanalyse en bijstellingen;

• Plan van aanpak werkgever en werknemer met evaluaties, bijstellingen en uitvoeringsinformatie;

• Arbeidsdeskundige adviezen;

• Deskundigenoordeel UWV;

• Re-integratieverslag werkgever;

• Correspondentie met werkgever, werknemer, de bedrijfsarts/arbodienst en dienstverleners met betrekking tot interventies;

• Notities van telefoongesprekken met betrokkenen bij de re-integratie;

• Beschikkingen van UWV (waaronder WAO-, WIA beschikking, wijzigingsbeschikking, beschikkingen in het kader van de Ziektewet);

• Informatie over uitkeringen van het UWV of van verzuim- en WIA-verzekeraars en niet-herverzekerde ERD;

• Niet medische correspondentie in het kader van bezwaar, beroep en hoger beroep en herbeoordelingsprocedures;

• Datum overlijden, indien aan de orde;

• AOW leeftijd.

Middelen

De AVG noemt een aantal handelingen die als verwerking worden aangeduid:

• Verzamelen, vastleggen en ordenen;

• Bewaren, bijwerken en wijzigen;

• Opvragen, raadplegen, gebruiken;

• Verstrekking door middel van doorzending; Verspreiding of enige vorm van ter beschikkingstelling;

• Samenbrengen, met elkaar in verband brengen;

• Afschermen, uitwissen of vernietigen.

Bij de verwerking van de persoonsgegevens in het kader van bovenstaande activiteiten wordt geen gebruikt gemaakt van het verzuimsysteem van Verantwoordelijke. De arbeidsdeskundige rapporten en voortgangsrapportages worden opgeslagen op een gesloten netwerk van Verwerker die voldoet aan de geldende wet- en regelgeving.