Verwerkersovereenkomst ARVODI-2018 Rechtspraak
Verwerkersovereenkomst ARVODI-2018 Rechtspraak
Contractnummer: […].
De ondergetekenden:
1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag, namens deze de Raad voor de rechtspraak / het gerecht / de gerechten te dezen vertegenwoordigd door,
(functie), (naam),
hierna te noemen: Opdrachtgever,
en
2. [volledige naam en rechtsvorm contractant], (statutair) gevestigd te [plaats],
te dezen vertegenwoordigd door
............... (en ) [naam ondertekenaar]
hierna te noemen: Opdrachtnemer, hierna gezamenlijk te noemen: ‘Partijen’
OVERWEGENDE DAT:
• voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, kwalificeert Opdrachtgever als Verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als Verwerker;
• Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van
de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Opdrachtnemer wensen vast te leggen.
KOMEN OVEREEN:
Artikel 1. Begrippen
In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in de ARVODI-2018 of de Verordening, met dien verstande dat een aantal begrippen op de Verwerkersovereenkomst zijn toegespitst. Aldus en in aanvulling daarop wordt onder de volgende begrippen, ongeacht of ze in meervoud of enkelvoud, of als werkwoord of zelfstandig naamwoord worden gebruikt, in deze Verwerkersovereenkomst verstaan:
1.1 ARVODI-2018: Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten 2018.
1.2 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.3 EER: Europese Economische Ruimte, zijnde alle EU-landen plus Liechtenstein, Noorwegen en IJsland.
1.4 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens.
1.5 Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk Persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als Ontvangers; de Verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.
1.6 Overeenkomst: de overeenkomst tussen Opdrachtgever en Opdrachtnemer [titel] van [datum], met kenmerk [kenmerk].
1.7 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever Verwerkt.
1.8 Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 van de Verordening ingestelde onafhankelijke overheidsinstantie.
1.9 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.10 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt.
1.11 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.12 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
1.13 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking door Opdrachtnemer in het kader van de Overeenkomst en is onlosmakelijk verbonden met de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en Ontvangers zijn in Bijlage 1 omschreven.
2.3 Opdrachtnemer garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Opdrachtnemer garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking.
Artikel 3. Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Deze Verwerkersovereenkomst eindigt voor zover en nadat Opdrachtnemer alle Persoonsgegevens heeft gewist, terugbezorgd en bestaande kopieën heeft verwijderd met inachtneming van artikel 10 van deze Verwerkersovereenkomst.
3.3 Deze Verwerkersovereenkomst is niet tussentijds opzegbaar.
Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer
4.1 Opdrachtnemer Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever, tenzij een op Opdrachtnemer van toepassing zijnde wettelijk voorschrift hem tot Verwerking verplicht. In dat geval stelt Opdrachtnemer Opdrachtgever voorafgaand aan de Verwerking in kennis van dat wettelijk voorschrift, tenzij dat wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
4.2 Opdrachtnemer heeft geen zeggenschap over het doel van en de middelen voor de Verwerking als bedoeld in de Verordening.
Artikel 5. Beveiliging van de Verwerking
5.1 Onverminderd artikel 2.3 van deze Verwerkersovereenkomst treft Opdrachtnemer de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Opdrachtnemer waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Opdrachtnemer aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Opdrachtnemer Verwerkt Persoonsgegevens niet buiten de EER, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming, zo nodig voorzien van nadere voorwaarden, heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.5 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.6 Opdrachtnemer verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
Artikel 6. Geheimhouding door Personeel van Opdrachtnemer
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter als bedoeld in artikel 13.1 van de ARVODI-2018.
6.2 Opdrachtnemer waarborgt dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in artikel 13.2 van de ARVODI-2018.
Artikel 7. Subverwerker
7.1 Wanneer Opdrachtnemer, met inachtneming van het bepaalde in artikel 8 van de ARVODI- 2018, een andere Verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een
overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
7.2 Bij het uitvoeren van de Overeenkomst mag Opdrachtnemer alleen met voorafgaande schriftelijke toestemming van Opdrachtgever een andere verwerker inschakelen. Deze toestemming, waaraan door Opdrachtgever nadere voorwaarden kunnen worden verbonden, wordt niet zonder redelijke grond geweigerd.
7.3 Toestemming van Opdrachtgever laat de eigen verantwoordelijkheid en aansprakelijkheid van Opdrachtnemer voor de nakoming van de krachtens de Overeenkomst op hem rustende verplichtingen onverlet.
Artikel 8. Bijstand vanwege rechten van Betrokkene
8.1 Voor zover mogelijk en rekening houdend met de aard van de Verwerking door middel van passende technische en organisatorische maatregelen, verleent Opdrachtnemer Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
8.2 Partijen dragen elk de door xxxxxxx in verband met de in het eerste lid te maken kosten.
Artikel 9. Inbreuk in verband met Persoonsgegevens
9.1 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging, doch uiterlijk binnen 24 uur, nadat hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3. Indien van toepassing maakt Opdrachtgever hiervan melding bij de bevoegde toezichthoudende autoriteit en bij de Betrokkene(n), waaraan Opdrachtnemer ten volle de medewerking zal verlenen.
9.2 Opdrachtnemer informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde Toezichthoudende autoriteit en Betrokkene(n) te maken kosten.
Artikel 10. Terugbezorgen of wissen Persoonsgegevens
10.1 Na afloop van de Overeenkomst, of zoveel eerder als overeengekomen, draagt Opdrachtnemer er zorg voor dat hij, naar gelang de keuze van Opdrachtgever, alle Persoonsgegevens wist of terugbezorgt aan Opdrachtgever en bestaande kopieën verwijdert, tenzij opslag van de Persoonsgegevens op basis van een wettelijk voorschrift verplicht is.
10.2 Partijen kunnen voor afzonderlijke of categorieën Persoonsgegevens bewaartermijnen overeenkomen. Na afloop van de overeengekomen bewaartermijn draagt Opdrachtnemer zorg voor het wissen of terugbezorgen en het verwijderen van kopieën van de betreffende Persoonsgegevens, tenzij opslag van deze Persoonsgegevens op basis van een wettelijk voorschrift verplicht is.
10.3 In geval van wissen en/of verwijderen van kopieën bevestigt Opdrachtnemer dit schriftelijk aan Opdrachtgever onder vermelding van het contractkenmerk, opgenomen in artikel 1.6 zodat Opdrachtgever zich ervan kan vergewissen dat dit op veilige en correcte wijze is gebeurd.
10.4 Persoonsgegevens worden in de door Opdrachtgever aangegeven vorm en op de door Opdrachtgever aangegeven wijze terugbezorgd. De wijze waarop wordt bepaald voorafgaand aan de afloop van de Overeenkomst tussen Partijen.
Artikel 11. Informatieverplichting en audit
11.1 Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
11.2 Opdrachtgever kan een audit van de onder deze Verwerkersovereenkomst vallende verwerkingsactiviteiten (laten) uitvoeren als concrete omstandigheden daartoe aanleiding geven. Opdrachtnemer verleent alle medewerking aan audits, waaronder begrepen audits bij Personeel van Opdrachtnemer, tenzij dit redelijkerwijs niet van hem kan worden verwacht.
11.3 Opdrachtnemer stelt Opdrachtgever onmiddellijk in kennis indien naar zijn mening een instructie van Opdrachtgever in het kader van artikel 11 eerste en/of tweede lid van deze Verwerkersovereenkomst, inbreuk oplevert met een wettelijk voorschrift inzake gegevensbescherming.
11.4 Partijen dragen zelf de kosten die zij maken in verband met de in dit artikel bedoelde informatieverstrekking en audits, waaronder begrepen de kosten van door hen ingeschakelde derden.
11.5 Opdrachtgever is te allen tijde bevoegd om naar aanleiding van de op grond van dit artikel verkregen informatie nadere maatregelen voor te stellen. Opdrachtnemer is gehouden aan die maatregelen in redelijkheid uitvoering te geven.
Artikel 12. Aansprakelijkheid
12.1 Indien Wederpartij tekortschiet in de nakoming van een van de in deze Verwerkersovereenkomst opgenomen overeengekomen verplichtingen geldt hetgeen is opgenomen in artikel 22 ARVODI (Aansprakelijkheid) onverkort voor geleden en/of te lijden materiële en/of immateriële schade van Opdrachtgever.
Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,
Den Haag, [datum] [Plaats], [datum]
De Raad voor de rechtspraak / het gerecht (locatie) / [naam Opdrachtnemer] de gerechten (locaties),
vertegenwoordigd door,
[naam ondertekenaar] [naam ondertekenaar]
[functie ondertekenaar] [functie ondertekenaar]
Bijlage 1. De Verwerking van Persoonsgegevens
In deze bijlage moet in ieder geval het volgende worden gespecificeerd: Overzicht Verwerkingen
Het onderwerp/aard en doel van de Verwerking Persoonsgegevens worden slechts verwerkt voor zover proportioneel voor de volgende limitatieve doeleinden: a. Het leveren van de Prestatie b. Beveiliging van de Prestatie c. Het actueel houden van de Prestatie Opdrachtnemer zal in ieder geval persoonsgegevens niet verwerken voor de volgende doeleinden: a. Data analyse b. Profilering inclusief, maar niet beperkt tot het creëren van psychometrische, psychografische of andere gebruikersprofielen. c. Adverteren (inclusief gerichte aanbevelingen op het scherm voor producten of diensten, aangeboden door Opdrachtnemer, maar niet ingeschreven of gebruikt door Opdrachtgever) of een vergelijkbaar commercieel doel, of d. Marktonderzoek gericht op het creëren van nieuwe functionaliteiten, diensten of producten of elk ander doel Tenzij dit is toegestaan op basis van schriftelijke instructies van de Opdrachtgever. | |
Het soort Persoonsgegevens | |
Beschrijving categorieën Persoonsgegevens | |
Beschrijving categorieën Betrokkenen | |
Beschrijving categorieën Ontvangers van Persoonsgegevens | |
Locatie Verwerking Persoonsgegevens | |
Afspraken omtrent bewaartermijnen |
Subverwerker(s)
Naam en contactgegevens subverwerker | |
Nummer handelsregister van subverwerker | |
Het onderwerp/aard en doel van de Verwerking | |
Het soort Persoonsgegevens | |
Beschrijving categorieën van Persoonsgegevens | |
Beschrijving categorieën Betrokkenen | |
Beschrijving categorieën Ontvangers van Persoonsgegevens | |
Locatie Verwerking Persoonsgegevens | |
Afspraken omtrent bewaartermijnen |
Voor de inhoud van deze bijlage kan onder meer gebruik worden gemaakt van de registratie die de Verwerkingsverantwoordelijke op grond van artikel 30 van de Verordening dient aan te houden.
Bijlage 2. Passende technische en organisatorische maatregelen
Toelichting:
In deze bijlage moeten de normen en maatregelen die Opdrachtnemer in het kader van de beveiliging van de Verwerking moet hanteren respectievelijk treffen worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen of de offerteaanvraag.
Voorbeeld 1 bij diensten:
Opdrachtnemer neemt in ieder geval de beveiligingsmaatregelen zoals vastgesteld in het programma van eisen en wensen in het Document “Eisen en wensen behorende bij de functionele uitvraag met kenmerk (kenmerk).
Daarnaast zal Xxxxxxxxxxxxx binnen alle redelijkheid haar medewerking verlenen aan de implementatie van eventuele aanvullende beveiligingsmaatregelen die kunnen volgen uit Security- en Privacy analyses, waaronder de Data Protection Impact Assessment (DPIA) die wordt uitgevoerd door (onderdeel van de Rechtspraak).
Een specificatie van de beveiligingsmaatregelen die Opdrachtnemer heeft genomen zal indien van toepassing worden toegevoegd als bijlage bij dit document.
Voorbeeld 2 bij onderzoek:
Opdrachtgever verlangt van de onderzoekers van Opdrachtnemerszijde een getekende geheimhoudingsverklaring voorafgaand aan het onderzoek.
Daarnaast neemt Opdrachtnemer in ieder geval de beveiligingsmaatregelen zoals vastgesteld in het programma van eisen en wensen in het Document “Eisen en wensen behorende bij de functionele uitvraag met kenmerk (kenmerk).
Voor het overige wordt verwezen naar de Overeenkomst onderzoek met kenmerk (kenmerk) en de offerte die aan de opdracht ten grondslag ligt.
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens (waaronder datalekken)
Toelichting:
In deze bijlage moeten de afspraken over hoe Opdrachtnemer Opdrachtgever over Inbreuken in verband met Persoonsgegevens gaat informeren worden gespecificeerd.
Partijen dragen zelf de verantwoordelijkheid voor de juistheid, actualiteit en betrouwbaarheid van de contactgegevens.
A. Meldpunt Rechtspraak
Opdrachtnemer meldt de onder artikel 9 bedoelde Inbreuken in verband met Persoonsgegevens bij de functionaris die namens Opdrachtgever als contactpersoon optreedt. Bij aanvang van deze Verwerkersovereenkomst is de contactpersoon bij Opdrachtgever op werkdagen van maandag tot en met donderdag tussen 08:00 en 20:00 en op vrijdag tussen 08:00 en 17:30:
Contactpunt: Rechtspraak Servicecentrum E-mailadres: xxx@xxxxxxxxxxx.xx Telefoonnummer: 000-000 00 00
Buiten kantoortijden, in weekenden en op feestdagen wordt dit gemeld bij: Contactpunt: Team Privacy
E-mailadres: 5.1(2)i @xxxxxxxxxxx.xx.
Hierbij dient Opdrachtnemer in de onderwerpregel van het e-mailbericht melding te maken van het feit dat sprake is van een ‘Inbreuk i.v.m. Persoonsgegevens bij (naam Opdrachtnemer)’. De inhoud van het e-mailbericht dient minstens de onder D genoemde informatie te bevatten. Opdrachtnemer dient zowel een e-mailbericht te versturen áls telefonisch contact op te nemen met het Rechtspraak Servicecentrum (binnen kantoortijden). Dit, ter verificatie van de ontvangst van het e- mailbericht door Opdrachtgever betreffende een Inbreuk in verband met Persoonsgegevens.
B. Meldpunt Opdrachtnemer
Bij aanvang van deze Verwerkersovereenkomst is de contactpersoon bij Opdrachtnemer op werkdagen van maandag tot en met vrijdag tussen 08:00 en 17:00 uur:
Contactpersoon Opdrachtnemer
Functie: Naam:
E-mailadres:
Telefoonnummer:
Buiten kantoortijden, in weekenden en op feestdagen wordt dit gemeld bij: Functie:
Naam:
E-mailadres:
Telefoonnummer:
Indien bovengenoemde contactgegevens wijzigen dient dit zo spoedig mogelijk schriftelijk aan de andere partij kenbaar te worden gemaakt.
C. Melding
De informatieverstrekking dient op een zodanige wijze plaats te vinden dat Opdrachtgever aan de meldplicht van artikelen 33 en 34 AVG kan voldoen. Opdrachtgever bepaalt – met inachtneming van het bepaalde in de AVG, Uitvoeringswet AVG en aanverwante wet- en regelgeving – als verwerkingsverantwoordelijke of de inbreuk op de beveiliging een privacy incident betreft en of
deze als datalek aan de toezichthoudende autoriteit wordt gemeld en in bepaalde gevallen ook aan degene(n) wiens persoonsgegevens het betreft.
D. Informatie die ten minste door Opdrachtnemer moet worden verstrekt
Naam Opdrachtnemer |
Contactgegevens melder Inbreuk in verband met Persoonsgegevens |
Datum en tijdstip van de constatering van de (vermoedelijke) Inbreuk in verband met Persoonsgegevens |
Aard van de Inbreuk in verband met Persoonsgegevens |
De Persoonsgegevens en Betrokkene(n) |
Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens |
Maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan |
E. Medewerking
Partijen verlenen elkaar volledige medewerking bij het doorgronden en mitigeren van de oorzaak van de inbreuk op de beveiliging en de eventuele melding van een datalek aan de bevoegde toezichthoudende autoriteit en, indien nodig, aan degene(n) wiens persoonsgegevens het betreft.