VERWERKERSOVEREENKOMST- NL
VERWERKERSOVEREENKOMST- NL
Tussen: Smart Data Agency BV, met maatschappelijke zetel te Xxxxxxxxxxxxxxx 000, 0000 XX Xxxxxxx, ingeschreven bij de KvK onder nr.83409319
Xxxxxx vertegenwoordigd door Xxxxxx Xxxxxxxx
Hierna: “Verwerkingsverantwoordelijke”
En: *naam onderneming en rechtsvorm*, met maatschappelijke zetel te *adres*, ingeschreven in de Kamer van Koophandel onder nr. *KvK nr *
Alhier vertegenwoordigd door *naam en hoedanigheid vertegenwoordiger*.
Hierna: “Verwerker”
Hierna gezamenlijk aangeduid als de “Partijen” of elk afzonderlijk als een “Partij”.
OVERWEGENDE DAT:
Verwerkingsverantwoordelijke de rechtspersoon is die het doel en de middelen bepaalt van de verwerking van Persoonsgegevens zoals nader gespecifieerd in Bijlage 1 van de Overeenkomst;
Verwerkingsverantwoordelijke een beroep wenst te doen op de verwerkingsdiensten van Verwerker door aan Verwerker de opdracht te geven om de Persoonsgegevens te verwerken zoals gespecifieerd in Bijlage 1 van de Overeenkomst;
de Verwerker zich ertoe verbindt de verwerkingsdiensten uit te voeren onder de voorwaarden bepaald in de Overeenkomst;
onderhavige Overeenkomst in de verplichting kadert die voortvloeit uit artikel 28 van Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016.
KOMEN PARTIJEN HET VOLGENDE OVEREEN:
Artikel 1 definities
Overeenkomst: onderhavige verwerkersovereenkomst, inclusief bijlagen;
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens.
Verwerkingsverantwoordelijke: zoals gedefinieerd in de GDPR, iedere natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Verwerker: zoals gedefinieerd in de GDPR, iedere natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;
Subverwerker: dit is de onderaannemer die door de Verwerker wordt aangesteld om een deel van het verwerkingsproces voor de Verwerkingsverantwoordelijke op te nemen.
Datalek/Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
GDPR: Algemene Verordening Gegevensbescherming (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens (AP).
Artikel 2 Voorwerp
Deze Overeenkomst vloeit voort uit de verplichting opgenomen in artikel 28 van de GDPR die bepaalt dat tussen de Verwerker en de Verwerkingsverantwoordelijke een geschreven overeenkomst dient opgemaakt te worden.
Deze Overeenkomst regelt de rechten en verplichtingen van de Verwerkingsverantwoordelijke en de Verwerker bij het verwerken van Persoonsgegevens.
De Verwerker verbindt zich ertoe om vanaf de inwerkingtreding van deze Overeenkomst, bij het uitvoeren van verwerkingsactiviteiten in opdracht van de Verwerkingsverantwoordelijke, deze Overeenkomst na te leven. Indien er reeds verwerkingsactiviteiten plaatsvonden vóór de inwerkingtreding van de Overeenkomst, verbindt de Verwerker zich ertoe om in elk geval vanaf de inwerkingtreding van de Overeenkomst deze verwerkingen te verrichten conform de Overeenkomst.
Artikel 3 Contactgegevens Data Protection Officer (DPO) of vaste contactpersoon GDPR
Voor de Verwerkingsverantwoordelijke treedt op als vaste contactpersoon:
Naam: Xxxxxx Xxxxxxxx
E-mail: xxxxxxx@xxxxx-xxxx-xxxxxx.xx
Tel.: x00(0)000000000
Voor de Verwerker treedt op als DPO / vaste contactpersoon:
*contactgegevens DPO, of vaste contactpersoon indien geen officiële DPO is aangesteld*
artikel 4 rechten en plichten van de Verwerker
De Verwerker handelt uitsluitend in opdracht van de Verwerkingsverantwoordelijke bij de verwerking van de Persoonsgegevens.
De Verwerker zal enkel Persoonsgegevens verwerken zoals beschreven in Bijlage 1 van de Overeenkomst, en te allen tijde in overeenstemming met de bepalingen van de Overeenkomst en de schriftelijke instructies van de Verwerkingsverantwoordelijke.
De Verwerker zal enkel deze Persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de Overeenkomst en uitsluitend deze persoonsgegevens opgenomen in Bijlage 1 van de Overeenkomst.
De Verwerker verbindt zich ertoe om zijn personeelsleden die instaan voor de verwerking van de Persoonsgegevens en het uitvoeren van de Overeenkomst regelmatig te informeren en bij te scholen aangaande bepalingen van de privacyregelgeving in het algemeen en de GDPR in het bijzonder. De Verwerker waarborgt dat deze personeelsleden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting aan een vertrouwelijkheidsverplichting zijn gebonden.
artikel 5 rechten en plichten van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke verbindt zich ertoe om, telkens wanneer deze een nieuwe verwerkingsopdracht geeft aan de Verwerker of telkens wanneer het doel van de verwerking wijzigt, een addendum aan of wijziging van onderhavige Overeenkomst voor te stellen.
artikel 6 verwerking van persoonsgegevens
6.1.
De
Verwerker is verplicht tot geheimhouding van de Persoonsgegevens die
hij verwerkt in opdracht van de Verwerkingsverantwoordelijke.
6.2.
De
Persoonsgegevens mogen door de Verwerker enkel worden verwerkt voor
de doeleinden omschreven in Bijlage 1 van de Overeenkomst. De
Verwerker zal de Persoonsgegevens op geen enkel moment buiten de
Europese Economische Ruimte (laten) verwerken of de Persoonsgegevens
op enige manier doorgeven aan of ertoe toegang verschaffen aan enige
derde partij die zich buiten de Europese Economische Ruimte bevindt,
tenzij uitdrukkelijk anderszins opgenomen in Bijlage 1 en/of Bijlage
4 van de Overeenkomst of met de voorafgaande schriftelijke
toestemming van de Verwerkingsverantwoordelijke, en mits naleving van
artikel 44 en verder van de GDPR.
6.3
De
Verwerkingsverantwoordelijke geeft aan de Verwerker de toestemming om
de Persoonsgegevens mee te delen aan alle personen, instellingen en
instanties die rechtstreeks deelnemen aan de uitvoering van de
opdracht en wanneer dit strikt noodzakelijk is voor de uitvoering van
de Overeenkomst en binnen de grenzen van de Overeenkomst en de GDPR.
6.4.
De
mededeling aan andere derden dan deze omschreven in het vorig lid, is
verboden tenzij dit door of krachtens de wet wordt opgelegd of
verplicht is op basis van een rechterlijk bevel. Elke wettelijke of
gerechtelijke verplichte mededeling aan derden moet door de Verwerker
vooraf ter kennis worden gebracht aan de
Verwerkingsverantwoordelijke.
6.5.
De
Verwerker kan overgaan tot het nemen van een back-up of een kopie
indien dit strikt noodzakelijk is om de Overeenkomst uit te voeren.
artikel 7 Rechten van de betrokkene
In geval de Verwerkingsverantwoordelijke een aanvraag ontvangt van de betrokkene van wie Persoonsgegevens worden verwerkt, om zijn rechten uit te oefenen overeenkomstig de GDPR zoals bv. recht van verzet of recht van wissing van de Persoonsgegevens, geeft de Verwerkingsverantwoordelijke deze opdracht onverwijld door aan de Verwerker.
De Verwerker verbindt zich ertoe om onverwijld en uiterlijk binnen 7 werkdagen na ontvangst van de aanvraag, een passend gevolg te geven aan deze opdracht van de Verwerkingsverantwoordelijke en ofwel de gevraagde informatie te verschaffen ofwel de gevraagde aanpassingen te doen aan de Persoonsgegevens, dan wel bepaalde Persoonsgegevens te verwijderen en vernietigen.
In geval de Xxxxxxxxx zelf rechtstreeks een aanvraag zou ontvangen van de betrokkene van wie Persoonsgegevens worden verwerkt, om zijn rechten uit te oefenen overeenkomstig de GDPR, geeft hij dit onverwijld door aan de Verwerkingsverantwoordelijke en levert hij de door de Verwerkingsverantwoordelijke verzochte redelijke bijstand om naar behoren te kunnen voldoen aan dit verzoek. De Verwerker zal zelf niet antwoorden op dit verzoek of hiertoe enige andere handelingen stellen, tenzij onder instructie van de Verwerkingsverantwoordelijke.
artikel 8 vertrouwelijkheid
Alle Persoonsgegevens en informatie die de Partijen in het kader van deze Overeenkomst ontvangen, zullen tijdens de duur van deze Overeenkomst en tien jaar daarna als vertrouwelijk worden behandeld en zullen niet onthuld worden aan derden en niet worden gebruikt voor enig ander doel dan het bevorderen van de doelstellingen van de Overeenkomst.
De in het vorige lid omschreven verplichting is niet van toepassing op vertrouwelijke informatie die:
Ten tijde van de onthulling door de onthullende Partij reeds openbaar beschikbaar was of daarna zonder toedoen van de ontvangende Partij openbaar beschikbaar wordt;
Ten tijde van de onthulling reeds in het wettige bezit was van de ontvangende Partij zoals voldoende kan worden aangetoond door de ontvangende Partij; of
Na de onthulling door de ontvangende Partij op een niet-vertrouwelijke basis van derden wordt ontvangen.
De Persoonsgegevens worden eveneens beschouwd als vertrouwelijke informatie dewelke op geen enkel moment in de toekomst, ook niet na 10 jaar door de Verwerker kan gebruikt worden dan binnen de grenzen van onderhavige Overeenkomst.
artikel 9 aansprakelijkheid en garanties
9.1.
De
Verwerker verbindt zich ertoe om de bepalingen van de Overeenkomst
strikt na te leven bij het verwerken van de Persoonsgegevens en
garandeert aan de Verwerkingsverantwoordelijke dat hij de nodige
maatregelen zal nemen teneinde zijn aangestelden belast met de
uitvoering van de Overeenkomst de bepalingen van deze Overeenkomst te
doen naleven.
In het bijzonder garandeert de Verwerker aan de Verwerkingsverantwoordelijke dat hij zijn aangestelden attent heeft gemaakt op de bepalingen van de Overeenkomst en met hen een overeenkomst heeft gesloten die minstens de garanties biedt die worden verwacht van de Verwerker op basis van de Overeenkomst.
9.2.
De
Verwerker is verantwoordelijk voor alle directe en indirecte schade
die voortvloeit uit het niet nakomen van deze Overeenkomst alsmede de
in de privacywetgeving opgelegde boetes of sancties, onverminderd de
aansprakelijkheid op grond van andere regels, voor zover ontstaan
door zijn werkzaamheid.
De Verwerkingsverantwoordelijke behoudt zich uitdrukkelijk het recht voor om de Verwerker te alle tijde in tussenkomst en vrijwaring te roepen voor elk geschil aangaande de Persoonsgegevens en de verwerking ervan.
De toepassing van deze bepaling laat de eventuele aansprakelijkheid van de Verwerkingsverantwoordelijke ten aanzien van de betrokkene op grond van artikel 82 van de GDPR onverlet.
9.3
Indien
de Verwerker beroep doet op Subverwerkers overeenkomstig artikel 15
van deze Overeenkomst, aanvaardt en erkent de Verwerker volledig
aansprakelijk te zijn ten aanzien van de
Verwerkingsverantwoordelijke, wanneer de Subverwerker zijn
verplichtingen onder de GDPR en/of de bepalingen van onderhavige
Overeenkomst niet nakomt.
Artikel 10 duur, opzeg en beëindiging
De Overeenkomst maakt integraal onderdeel uit van de tussen Partijen gesloten voorafgaande overeenkomst(en) gespecifieerd in Bijlage I en is te beschouwen als een aanvulling daarop dan wel wijziging daarvan, en prevaleert boven alle andere overeenkomsten tussen Partijen. Partijen zullen deze Overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de privacywetgeving (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of adviezen van de Gegevensbeschermingsautoriteit of het Europees Comité voor Gegevensbescherming).
De Overeenkomst gaat in op heden en wordt afgesloten voor onbepaalde duur. De Overeenkomst kan door elk van de Partijen opgezegd worden bij aangetekend schrijven en mits inachtname van een opzegtermijn van 3 maand. De opzegtermijn begint te lopen de eerste dag van de maand die volgt op het verzenden van de aangetekende zending, waarbij de poststempel zal gelden als bewijs.
artikel 11 Gevolgen van de beëindiging
In geval van beëindiging van onderhavige Overeenkomst, ongeacht de wijze waarop, zal de Verwerker onmiddellijk en op eigen initiatief alle Persoonsgegevens-bevattende documenten, computer disks, USB-sticks en enige andere informatiedragers, met inbegrip van kopieën daarvan, ongeacht of de inhoud van de informatiedragers is geproduceerd of gemaakt door de Verwerker, de Verwerkingsverantwoordelijke dan wel derden, retourneren en Subverwerkers de opdracht geven om hetzelfde te doen.
In zoverre als de Persoonsgegevens worden bewaard of opgeslagen op een computersysteem van de Verwerker of in enige andere vorm zijn vastgelegd die redelijkerwijze niet aan de andere Partij ter hand kan worden gesteld, zal de Verwerker dergelijke Persoonsgegevens vernietigen en aan zijn Subverwerker(s) de opdracht geven om het nodige te doen binnen een redelijke termijn.
Indien de Verwerker in gebreke blijft om uitvoering te geven aan dit artikel na in gebreke gesteld te zijn geweest door de Verwerkingsverantwoordelijke, dient hij aan de Verwerkingsverantwoordelijke een forfaitaire schadevergoeding te betalen van 1.000 EUR per dag vertraging, zonder afbreuk te doen aan het recht van de Verwerkingsverantwoordelijke om een schadevergoeding te eisen voor de werkelijk geleden schade, indien deze hoger ligt.
artikel 12 bewaring van persoonsgegevens
De Verwerker zal de Persoonsgegevens niet langer bewaren dan noodzakelijk is voor het verrichten van de opdracht waarvoor ze ter beschikking worden gesteld. Zijn de persoonsgegevens hierna niet meer nodig, dan zal de Verwerker ze adequaat uitwisselen en permanent verwijderen, ofwel de gegevensdragers terugbezorgen aan de Verwerkingsverantwoordelijke.
Deze bepaling geldt eveneens voor de gegevensdragers waarop de kopie of back-up conform artikel 6.5 van de Overeenkomst bewaard werd.
Deze bepaling is ook van toepassing op eventuele Subverwerkers waarop de Verwerker een beroep zou doen.
artikel 13 Controle door Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke heeft het recht om de naleving van de Overeenkomst te controleren. Daartoe kan hij zich, na afspraak, ter plaatse begeven in de lokalen of plaatsen waar de Verwerker of de Subverwerkers de gegevensverwerking uitvoeren en/of de kopieën of back-ups bewaren en daar alle nuttige en nodige documenten inkijken die noodzakelijk zijn teneinde zich ervan te verzekeren dat de verwerking door de Verwerker of Subverwerker conform is aan de bepalingen van onderhavige Overeenkomst en de bepalingen van de GDPR.
De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de bepalingen van deze Overeenkomst aan te tonen, en staat de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde auditor toe om audits en inspecties uit te voeren en de Verwerkingsverantwoordelijke daarin bij te staan.
De kosten voor deze audit zullen ten laste zijn van de Verwerker indien zou blijken dat de Verwerker zich niet schikte naar de bepalingen van de Overeenkomst, de instructies van de Verwerkingsverantwoordelijke en/of de bepalingen van de GDPR.
artikel 14 Beveiliging
De Verwerker verbindt zich ertoe om de gepaste technische en organisatorische maatregelen te nemen om de Persoonsgegevens en de verwerking ervan te beveiligen overeenkomstig Bijlage 2 van de Overeenkomst.
De Verwerker verbindt zich ertoe om de nodige maatregelen te treffen teneinde de toegang tot de Persoonsgegevens te beperken tot deze personeelsleden in dienst van de Verwerker die toegang tot deze Persoonsgegevens nodig hebben om de Overeenkomst te kunnen uitvoeren.
Indien de Verwerker een beroep doet op Subverwerkers voor de uitvoering van de Overeenkomst, garandeert de Verwerker dat hij met deze Subverwerkers een overeenkomst heeft afgesloten die minimaal de bepalingen van deze Overeenkomst bevat.
artikel 15 Subverwerkers
Het is de Verwerker niet toegestaan om Subverwerkers aan te stellen met het oog op het uitvoeren van de verwerkingsactiviteiten die het voorwerp uitmaken van onderhavige Overeenkomst, behoudens dan mits voorafgaande en schriftelijke toestemming van de Verwerkingsverantwoordelijke.
In geval de Verwerker beroep wenst te doen op een Subverwerker in de zin van dit artikel, verbindt de Verwerker zich ertoe om met deze Subverwerker een schriftelijke overeenkomst af te sluiten die minimaal de garanties en verplichtingen voortvloeiende uit deze Overeenkomst omvat.
De Verwerker houdt een actueel register bij van de door hem ingeschakelde Subverwerkers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de Subverwerkers zijn opgenomen, alsmede eventuele door de Verwerkingsverantwoordelijke gestelde aanvullende voorwaarden. Dit register zal als Bijlage 4 aan deze Overeenkomst worden toegevoegd en zal door de Verwerker actueel worden gehouden.
artikel 16 Diverse bepalingen
16.1
De
Overeenkomst omvat het volledige akkoord tussen Partijen omtrent het
voorwerp ervan en vervangt alle voorgaande, geschreven en mondelinge
akkoorden hieromtrent.
16.2.
In geval van tegenstrijdigheid tussen deze Overeenkomst en de dienstenovereenkomst(en) waarop zij betrekking heeft, heeft deze Overeenkomst, binnen haar toepassingsgebied, voorrang op de Dienstenovereenkomst(en).
16.3
De Partijen passen deze Overeenkomst aan aan gewijzigde of aanvullende voorschriften, aanvullende instructies van de bevoegde autoriteiten en evoluties in de toepassing van de Privacywetgeving (met inbegrip van bijvoorbeeld jurisprudentie of adviezen van de Autoriteit Persoonsgegevens (AP) of het Europees Comité voor Gegevensbescherming (EDPB)).
16.4
Indien
één of meer bepalingen van de Overeenkomst nietig zouden worden
verklaard of onuitvoerbaar zouden worden, zal hierdoor de
wettelijkheid, geldigheid en het uitvoerbare en afdwingbare karakter
van de overige bepalingen van de Overeenkomst en van de Overeenkomst
in zijn geheel, voor zover deze nog enige uitwerking of bestaansgrond
hebben, niet worden aangetast.
Partijen verbinden er zich toe om in de mate van wat wettelijk mogelijk is, de ongeldige bepalingen te vervangen door een nieuwe bepaling die overeenstemt met de doelstellingen en keuzen van huidige Overeenkomst.
16.5
Geen
van de Partijen kan de rechten uit deze Overeenkomst
overdragen aan derden zonder het voorafgaand schriftelijk
akkoord van de andere Partij. Aanpassingen of wijzigingen
aan deze Overeenkomst kunnen enkel plaatvinden als deze
schriftelijk tussen beide Partijen aanvaard en ondertekend worden.
artikel 17 Gegevenslekken
In geval van ontdekking van een Gegevenslek zal de Verwerker, de Verwerkingsverantwoordelijke zo spoedig mogelijk en uiterlijk binnen de 24 uren na de ontdekking hiervan telefonisch informeren met een onmiddellijke schriftelijke bevestiging via de contactgegevens (het telefoonnummer respectievelijk het e-mailadres) van de vaste contactpersoon van de Verwerkingsverantwoordelijke, zoals opgenomen onder artikel 3 van de Overeenkomst. In geen geval zal de Verwerker zélf de betrokkenen informeren over dit Gegevenslek, onverminderd de verplichting om de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.
Verwerker zal voorts, op het eerste verzoek van de Verwerkingsverantwoordelijke, alle inlichtingen verschaffen die de Verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.
De Verwerker verbindt zich ertoe om na de ontdekking van een Gegevenslek, de Verwerkingsverantwoordelijke op de hoogte te houden van maatregelen die werden genomen teneinde de omvang van het Gegevenslek te beperken dan wel teneinde dit in de toekomst te vermijden.
De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van Gegevenslekken en zal de Verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan. Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van materiële wijzigingen in het plan van aanpak.
De Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verwerkingsverantwoordelijke.
De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n). Daarbij verschaft Verwerker in ieder geval de informatie, zoals beschreven in Bijlage 3, aan de Verwerkingsverantwoordelijke.
De Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) Gegevenslekken, evenals de maatregelen die in vervolg op dergelijke Gegevenslekken zijn genomen waarin minimaal de informatie zoals bedoeld in Bijlage 3 is opgenomen, en geeft daar op eerste verzoek van de Verwerkingsverantwoordelijke inzage in.
artikel 18 exporteren van persoonsgegevens
De Verwerker verbindt zich ertoe om geen Persoonsgegevens aan een derde land of een internationale organisatie door te geven behoudens in overeenstemming met artikel 6.2, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift.
artikel 19 Bijstand
De Verwerker staat de Verwerkingsverantwoordelijke bij in het nakomen van diens verplichtingen onder de GDPR. De Verwerker verleent bijstand aan de Verwerkingsverantwoordelijke in het kader van het uitvoeren van een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 35 en 36 van de GDPR.
artikel 20 Toepasselijk recht en geschillen
Deze Overeenkomst is in alle opzichten onderworpen aan en wordt in alle opzichten geïnterpreteerd en uitgelegd volgens het Nederlands recht.
Geschillen omtrent de uitvoering of uitlegging van de Overeenkomst worden uitsluitend voorgelegd aan de rechtbanken territoriaal bevoegd voor de maatschappelijke zetel van de Verwerkingsverantwoordelijke.
*Plaats, datum*
Opgemaakt in 2 exemplaren
(volgen de handtekeningen)
Verwerkingsverantwoordelijke Verwerker
Xxxxxx Xxxxxxxx Naam ondertekenaar
Managing partner Hoedanigheid ondertekenaar
Bijlage 1: Overzicht persoonsgegevens, aard van de verwerking en verwerkingsdoeleinden
In deze Bijlage dient de aard en het doel van de verwerking te worden opgenomen.
(Aan te duiden en verder in te vullen door de verwerker)
Bijvoorbeeld:
Categorie betrokkenen |
Type persoonsgegevens |
Aard van de verwerking |
Doel van de verwerking |
Rechtsgrond |
Bv. klanten, medewerkers, zakenpartners van de Verwerkingsverantwoordelijke |
*Gegevens op server |
*Beheer server en IT |
*Uitvoeren van onderhoudsovereenkomst |
* Noodzaak uitvoering overeenkomst |
Bv. medewerkers van de Verwerkingsverantwoordelijke |
*Loonsgegevens |
*Sociaal secretariaat |
*Uitbetaling lonen en administratie |
*Wettelijke verplichting * Noodzaak uitvoering overeenkomst |
Dienstenovereenkomst in het kader waarvan de verwerking plaatsvindt
Bv. hoofdovereenkomst gesloten tussen Verwerkingsverantwoordelijke en Verwerker tot het uitvoeren van de analyse van de data dd. *datum*
De plaats van de verwerking van de persoonsgegevens
Het is voornamelijk van belang om te bepalen of dit binnen of buiten de Europees Economische Ruimte (EER) zal plaatsvinden. (Let wel: een verwerking vindt plaats buiten de EER ook wanneer de servers buiten de EER zijn geplaatst, of wanneer de Verwerker zich van buiten de EER toegang kan verschaffen tot persoonsgegevens die bewaard worden in de EER!)
-
Plaats
Indien buiten EER, doorgiftemechanisme
[XXX]
NVT
[XXX]
[XXX]
De namen en contactgegevens van de derden aan wie de Persoonsgegevens worden doorgegeven in uitvoering van de Overeenkomst (met uitzondering van Subverwerkers, zie bijlage 4)
[XXX]
Bijlage 2: Overzicht beveiligingsmaatregelen
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (art. 32 AVG).
De verwerkingsverantwoordelijke houdt de verwerker eraan om maatregelen te treffen die onder meer het volgende omvatten:
Pseudonimisering en versleuteling van persoonsgegevens
Het vermogen om op permanente basis de integriteit, beschikbaarheid en de vertrouwelijkheid van de verwerkingssystemen te garanderen
Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens te herstellen.
Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Beschrijving van de technische en organisatorische maatregelen (checklist):
Technische maatregelen
Anonimisering en pseudonimisering
De aanwezigheid van automatische anonimisering of pseudonimisering van persoonsgegevens (nadat het verwerkingsdoeleinde of de retentietermijn zijn overschreden).
Gebruikersbeheer
De mogelijkheid om multi-factor authenticatie te gebruiken
De mogelijkheid om een (veilige) wachtwoordpolicy in te stellen
De mogelijkheid van de gebruiker om zelf een wachtwoord te kiezen
De mogelijkheid om een gebruikerswachtwoord te resetten
De mogelijkheid om toegangsbeperking tot verwerkingsprocessen en/of data te voorzien voor onbevoegde gebruikers
Audit en evaluatie mogelijkheden
De mogelijkheid om de acties van een gebruiker te loggen
De mogelijkheid om logboeken te raadplegen zonder tussenkomst van een leverancier
Procedures rond periodieke evaluatie van bestaande IT-processen
Back-up
Mogelijkheid tot back-up van gegevens
Procedures rond, of mogelijkheid tot controle van de integriteit van de back-up
Uitwisseling van gegevens
De persoonsgegevens worden via een beveiligde verbinding ter beschikking gesteld (https, VPN, IPSEC, FTPS, versleutelde e-mail,…)
Fysieke dragers van data (USB-sticks, externe HDD’s, …) zijn versleuteld
Front-end beveiliging
Gebruikerstoestellen zijn voorzien van encryptie (Bitlocker)
Gebruikerstoestellen zijn voorzien van een wachtwoord
E-mail toepassingen zijn versleuteld
Gebruikerstoestellen zijn voorzien van een up-to-date virusscanner
Organisatorische maatregelen
Een veiligheidsconsulent/DPO is aangesteld
Beleid rond clear screen, clean desk
Beleid rond externe toestellen (laptops, USB-sticks, …)
Beleid rond het vernietigen van gegevens
Opleidingen die het personeel genoten heeft met betrekking tot de AVG kunnen worden aangetoond
Beleid rond datalekken
Het informatieveiligheidsbeleid is transparant opgesteld en op een eenvoudige wijze beschikbaar
Andere relevante maatregelen
________________________________________________________________________________________________________________________________________________________
________________________________________________________________________________________________________________________________________________________
________________________________________________________________________________________________________________________________________________________
_______________________________________________________________________________________________________________________________________________________
________________________________________________________________________________________________________________________________________________________
________________________________________________________________________________________________________________________________________________________
________________________________________________________________________________________________________________________________________________________
Bijlage 3: Overzicht van inlichtingen bij een incident
Verwerker verschaft in ieder geval de volgende informatie aan de Verwerkingsverantwoordelijke bij een (potentieel) Gegevenslek dat Persoonsgegevens van de Verwerkingsverantwoordelijke betreft:
wat de (vermeende) oorzaak is van de inbreuk;
wat het (vooralsnog bekende en/of te verwachten) gevolg is;
wat de (voorgestelde) oplossing is;
contactgegevens voor de opvolging van de melding;
aantal personen van wie Persoonsgegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen van wie Persoonsgegevens betrokken zijn bij de inbreuk);
een omschrijving van de groep personen van wie Persoonsgegevens betrokken zijn bij de inbreuk;
het soort of de soorten Persoonsgegevens die betrokken zijn bij de inbreuk;
de datum waarop de (potentiële) inbreuk heeft plaatsgevonden (bij benadering indien geen exacte datum bekend is);
de periode waarbinnen de inbreuk heeft plaatsgevonden;
de datum en het tijdstip waarop de inbreuk bekend is geworden bij de Verwerker of bij een door hem ingeschakelde Subverwerker;
of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken, en welke maatregelen nog zullen genomen worden of die overwogen worden.
Bijlage 4: overzicht van de Subverwerkers
(Verder in te vullen door de Verwerker – indien van toepassing)
Subverwerker 1: |
** |
Zetel |
** |
Ondernemingsnummer |
BTW BE* |
Beschrijving van de werkzaamheden
|
* |
Locatie van de verwerking |
* |
Contact |
* |
Subverwerker 2: |
** |
Zetel |
** |
Ondernemingsnummer |
BTW BE* |
Beschrijving van de werkzaamheden
|
* |
Locatie van de verwerking |
* |
Contact |
* |
P
araaf:
Verwerkersverantwoordelijke_______ Verwerker_______