Verwerkersovereenkomst
Verwerkersovereenkomst
De ondergetekenden:
Medicourse opleiding en training ingeschreven in het register van de Kamer van Koophandel onder nummer 18063324, (hierna: “Verwerker”) In persoon.
W.A.J. Derks
X.X.X.X. xxx Xxxxxxx
B.P.A Braak en
Opdrachtgever die diensten en lessen afneemt van Medicourse. (hierna
“Verwerkingsverantwoordelijke”).
hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
Overwegende dat:
a) Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de hoofdovereenkomst [Samenwerkingsovereenkomst] (hierna: “Hoofdovereenkomst’).
b) de diensten met zich meebrengen dat persoonsgegevens worden verwerkt, waarvoor [naam Verwerkingsverantwoordelijke] Verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG”).
c) Verwerker de betreffende persoonsgegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden. Verwerker is in dat kader aan te merken als verwerker in de zin van de AVG.
d) Partijen in deze Verwerkersovereenkomst hun afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten wensen vast te leggen.
e) deze Verwerkersovereenkomst, indien van toepassing, alle eerdere overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
Verklaren te zijn overeengekomen als volgt:
Artikel 1. Algemeen
1.1 Voor zover begrippen met een hoofdletter niet afzonderlijk gedefinieerd zijn in deze Verwerkersovereenkomst, gelden in deze Verwerkersovereenkomst de definities zoals genoemd in de Hoofdovereenkomst, zijnde de overeenkomst als genoemd in overweging. Begrippen uit de AVG zoals “verwerken”, “persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker” hebben de betekenis die daaraan is gegeven in de AVG.
1.2 Deze Verwerkersovereenkomst maakt deel uit van de Hoofdovereenkomst. In het geval van
strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1 Verwerker zal in het kader van de uitvoering van de Hoofdovereenkomst volgens de schriftelijke
instructie en onder verantwoordelijkheid van Opdrachtgever persoonsgegevens verwerken. Medicourse zal optreden als Verwerker en [naam Verwerkingsverantwoordelijke] als Verwerkingsverantwoordelijke in de zin van de AVG. Een overzicht van de categorieën persoonsgegevens en de doeleinden waarvoor de persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke worden verwerkt is opgenomen
in Bijlage 1 bij deze verwerkersovereenkomst.
2.2 De door Xxxxxxxxx te verwerken persoonsgegevens, op welke wijze dan ook verkregen, zijn en blijven altijd eigendom van Verwerkingsverantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over de gegevens die voor Verwerkingsverantwoordelijke conform deze Verwerkersovereenkomst worden verwerkt.
Artikel 3. Uitvoering verwerking
3.1 Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de levering van de diensten onder de Hoofdovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd na expliciete schriftelijke opdracht van Verwerkingsverantwoordelijke of als daartoe een wettelijke verplichting bestaat, dan echter uitsluitend na informeren van Verwerkingsverantwoordelijke. Informeren van Verwerkingsverantwoordelijke blijft achterwege waar dat in strijd is met de wet. In geen geval zal de Verwerker persoonsgegevens verwerken voor eigen doeleinden.
3.2 Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies van Verwerkingsverantwoordelijke in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
3.3 Verwerker zal bij de verwerking van persoonsgegevens handelen in overeenstemming met deze Verwerkersovereenkomst, de AVG en andere wet- en regelgeving.
3.4 Verwerker garandeert dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat
hij al zijn werknemers, vertegenwoordigers en/of onderaannemers die betrokken zijn bij de verwerking van de persoonsgegevens van de vertrouwelijke aard van dergelijke (persoons)gegevens op de hoogte zal stellen. Verwerker zal waarborgen dat betrokken personen en partijen een geheimhoudingsplicht hebben, dit staat in de handtekening van de mail.
3.5 Het is Verwerker niet toegestaan de persoonsgegevens aan enige derde te tonen, te verstrekken
of anderszins ter beschikking te stellen, tenzij dit noodzakelijk of toegestaan is in gevolge de opdracht neergelegd in de Hoofdovereenkomst, in het geval hiervoor expliciete voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is verkregen, of indien een toezichthouder, op grond van een wettelijk voorschrift, Verwerker daartoe verplicht. De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek van de toezichthouder tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de persoonsgegevens, tenzij wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.6 Verwerker zal steeds volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de uitoefening van dienst of plicht om verzoeken van betrokkenen, inzake de uitoefening van de in de AVG neergelegde rechten, te beantwoorden. Verwerker zal onder meer zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om
(i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke betrokkenen toegang te laten krijgen tot de hun betreffende persoonsgegevens, middels een afspraak en daarna fysiek inzage onder begeleiding.
(ii) persoonsgegevens te verwijderen of te corrigeren,
(iii) aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn persoonsgegevens als incorrect beschouwt),
(iv) inzage te krijgen in de door Verwerker bijgehouden register en documentatie als bedoeld in artikel 30 AVG, en
(v) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of andere toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens te voldoen.
3.7 Verwerker zal de persoonsgegevens van Verwerkingsverantwoordelijke logisch gescheiden verwerken van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
Artikel 4. Beveiliging persoonsgegevens en controle
4.1 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, in
standhouden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de waarschijnlijkheid en ernst uiteenlopende risico's die de verwerking en van te beschermen gegevens met zich meebrengen en voldoen aan het bepaalde in de in artikel 3.3 bedoelde richtsnoeren en artikel 32 AVG.
4.2 In de in artikel 4.1 bedoelde beveiligingsmaatregelen zijn de mogelijk in de Hoofdovereenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
(a) maatregelen om te waarborgen dat uitsluitend bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden die zijn uiteengezet in Bijlage 1;
(b) maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
(c) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
(d) maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen, een en ander zoals nader uitgewerkt in Bijlage 2;
(e) de overige maatregelen die Partijen in Bijlage 2 en in de Hoofdovereenkomst zijn overeengekomen.
4.3 Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder 4.1 t/m 4.3 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet, bijvoorbeeld naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te (laten) controleren. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.4 Verwerker zal in alle redelijkheid haar medewerking verlenen aan het onder 4.3 hiervoor bedoelde onderzoek, de tijd die Verwerker hiervoor spendeert is voor eigen kosten.
4.5 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Partijen zullen daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren. Maatregelen worden in goed overleg tussen Partijen en verscherpt, aangevuld of verbeterd om te blijven voldoen aan de verplichtingen onder dit artikel 4.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1 Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
5.2 Zodra zich een incident met betrekking tot de verwerking van de persoonsgegevens voordoet,
heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht om Verwerkingsverantwoordelijke, nadat Xxxxxxxxx daarvan kennis heeft gekregen, daarvan in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent (1) de aard van het incident, (2) de (mogelijk) getroffen gegevens, (3) de geconstateerde en de vermoedelijke gevolgen van het incident, en (4) de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken. In geval als bedoeld in artikel 5.5 onder c) en d) vindt de in kennis stelling direct (uiterlijk binnen 24 uur) plaats nadat Verwerker kennis heeft gekregen van het incident.
Onverminderd voorgaande kan de in kennis stelling over een incident zoals bedoeld onder sub b achterwege blijven indien het Verwerker, op grond van de van toepassing zijnde wet- en regelgeving, niet is toegestaan de informatie aan Verwerkingsverantwoordelijke te verstrekken. Indien en zodra de verstrekking van de informatie wel is toegestaan zal Verwerker Verwerkingsverantwoordelijke alsnog in kennis stellen.
5.3 Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te
treffen die redelijkerwijs van hem kunnen worden verwacht om het incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt onverwijld in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.4 Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens en/of de betrokkene zoals bepaald in artikel 5.8.
5.5 Onder “incident” wordt in elk geval het volgende verstaan:
(a) een klacht of (informatie)verzoek van een natuurlijk persoon met betrekking tot de verwerking van persoonsgegevens door Verwerker;
(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
(c) iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;
(d) een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkersovereenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5.6 Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen
om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het incident af te handelen en zal Verwerkingsverantwoordelijke voorzien van een exemplaar van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
5.7 Meldingen die worden gedaan op grond van dit artikel worden ogenblikkelijk gericht aan de
in Bijlage 3 opgenomen werknemer van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere werknemer van Verwerkingsverantwoordelijke.
5.8 Verwerkingsverantwoordelijke zal, indien naar zijn oordeel noodzakelijk, betrokkenen, de Autoriteit Persoonsgegevens en andere derden informeren over incidenten. Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
5.9 In concrete gevallen, en altijd na overleg met Verwerkingsverantwoordelijke, kan het mogelijk zijn dat de Verwerker de eerste melding van een incident aan de Autoriteit Persoonsgegevens doet. Over deze melding en over de voortgang daarvan, houdt de Verwerker Verwerkingsverantwoordelijke voortdurend op te hoogte.
Artikel 6. EER
6.1 Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft
verkregen van Verwerkingsverantwoordelijke, geen persoonsgegevens verwerken of laten verwerken door hemzelf of door sub-verwerkers in landen buiten de Europese Economische Ruimte (“EER”) zonder een passend beschermingsniveau. Verwerker stelt de in Bijlage 3 genoemde medewerker van Verwerkingsverantwoordelijke onmiddellijk schriftelijk op de hoogte van alle (geplande) permanente of tijdelijke doorgiftes van persoonsgegevens naar een land buiten de Europese Economische Ruimte.
Verwerker zal pas uitvoering geven aan dergelijke (geplande) doorgiftes na schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor een dergelijke verwerking.
Artikel 7. Gebruik Sub-verwerkers
7.1 Het is Verwerker niet toegestaan om in het kader van deze overeenkomst gebruik te maken van een sub-verwerker, tenzij Verwerkingsverantwoordelijke hiertoe haar voorafgaande uitdrukkelijke
schriftelijke toestemming heeft gegeven. Verwerkingsverantwoordelijke is te allen tijde gerechtigd om nadere voorwaarden aan deze toestemming te verbinden.
7.2 Verwerker zal aan de door hem ingeschakelde sub-verwerker dezelfde of strengere
verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de AVG voortvloeien en ziet toe op de naleving daarvan door de derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van deze overeenkomst(en).
7.3 Onverminderd een eventuele toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een derde partij blijft Verwerker altijd volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een sub-verwerker. De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een sub-verwerker laat onverlet dat voor de inzet van sub-verwerkers in een land buiten de EER, zonder een passend beschermingsniveau, toestemming vereist is in overeenstemming met artikel 6.1 van deze Verwerkersovereenkomst.
Artikel 8. Aansprakelijkheid
8.1 Verwerker is aansprakelijk voor alle schade ter hoogte van maximaal € 100,00 per geleden schadegeval
van Verwerkingsverantwoordelijke en betrokkenen die het gevolg is van het niet, niet tijdige of niet
behoorlijke nakoming van verplichtingen door Xxxxxxxxx of diens onderaannemers / sub-verwerkers uit deze Verwerkersovereenkomst.
8.2
Artikel 9. Duur en beëindiging
9.1 Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst heeft een looptijd die is gelijk aan die van de Hoofdovereenkomst.
9.2 De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij partijen in voorkomend geval anders overeenkomen.
9.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
9.4 Verwerker informeert ogenblikkelijk Verwerkingsverantwoordelijke indien een faillissement dreigt dan wel uitstel van betaling, zodat Verwerkingsverantwoordelijke tijdig kan beslissen de persoonsgegevens terug te vorderen alvorens faillissement wordt uitgesproken.
Artikel 10. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
10.1 Verwerker zal de Persoonsgegevens niet langer bewaren dan nodig is voor het in artikel 3.1 genoemde doel. Indien de Persoonsgegevens niet meer nodig zijn, zal Verwerker Verwerkingsverantwoordelijke raadplegen ter zake (de voortzetting van) het bewaren van die Persoonsgegevens. Tot maximaal 3 jaar.
10.2 Bij beëindiging van de Verwerkersovereenkomst zullen de persoonsgegevens, indien door Verwerkingsverantwoordelijke gewenst, kosteloos voor de Verwerkingsverantwoordelijke worden bewaard.
10.3 Aan het einde van de overeenkomst of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, kosteloos, naar keuze van Verwerkingsverantwoordelijke, de persoonsgegevens onherroepelijk vernietigen. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk vernietigd of verwijderd zijn. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk zijn, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte.
In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
10.4 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle sub-verwerkers die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 10.2 en 10,3 zijn van overeenkomstige toepassing op deze sub-verwerker, en Verwerker zal waarborgen dat alle betrokken subverwerkers hieraan uitvoering zullen geven.
Aldus overeengekomen en vindbaar op de site van medicourse.
Bijlage 1: Te verwerken persoonsgegevens en doeleinden
Welke persoonsgegevens zullen worden verwerkt in het kader van de Hoofdovereenkomst
Verwerkingsverantwoordelijke zal Verwerker de volgende (categorieën) persoonsgegevens laten verwerken:
- Presentielijst:
o Voorletters;
o Achternaam / Roepnaam;
o Geboortedatum;
o Werklocatie/Bedrijfsnaam.
- Competentielijst:
o Idem presentielijst;
o Kandidaat nummer.
- Formulier persoonsgegevens:
o Idem presentielijst;
o Geslacht;
o Telefoonnummer privé;
o Emailadres;
o Contactpersoon werkgever.
-Pakbon:
o Contactpersoon besteller.
Voor welke doeleinden worden de persoonsgegevens verwerkt?
De persoonsgegevens onder sub 1 worden uitsluitend gebruikt voor de levering van de dienstverlening, zoals omschreven in de Hoofdovereenkomst.
- De identiteit van de cursisten te kunnen vaststellen;
- Certificaten te kunnen genereren;
- Bestellingen te kunnen verwerken.
Wat is de duur van de opslag?
De persoonsgegevens worden niet langer bewaard dan nodig voor de levering van de dienstverlening onder de hoofdovereenkomst en facturering daarvan, één en ander in overeenstemming met artikel 10.
- Uiterlijk 2 weken na verzorgen dienst, origineel verstrekte formulieren retour aan Verwerkingsverantwoordelijke.
Bijlage 2: Beveiligingsmaatregelen
We hebben een wachtwoord op de PC, telefoon, website is veilig. Disclamer op de mail.
Bijlage 3: Contactgegevens in het geval van een incident
Verwerkingsverantwoordelijke | Verwerker |
X. Xxxxx Xxx Xxxx 00 0000 XX Xxxxxx Xxxxxxx 013-5039268 | Opdrachtgever. |