Gegevensuitwisselingsovereenkomst Overeenkomst gegevensuitwisseling tussen verwerkingsverantwoordelijken



Gegevensuitwisselingsovereenkomst
Overeenkomst gegevensuitwisseling tussen verwerkingsverantwoordelijken


De ondergetekenden:


Gemeente Amstelveen en/of Aalsmeer, waarvan <het college van Burgemeester en Wethouders de verwerkingsverantwoordelijke is, verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door de <heer of mevrouw> <persoonsnaam>, <functie>


en


<Bedrijf>, gevestigd te <plaatsnaam>, KVK-nummer <nummer>verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door de <de heer of mevrouw>, <persoonsnaam> , <functie>,


hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen”


Overwegende:

  1. Partijen wisselen in het kader van de uitvoering van de <naam hoofdovereenkomst> persoonsgegevens uit met elkaar (hetzij eenzijdige verstrekking, hetzij wederkerige uitwisseling).

  2. Partijen verwerken de betreffende persoonsgegevens allebei voor eigen doeleinden. Er is geen sprake van een gezamenlijke administratie, noch van gezamenlijke verwerkingsdoeleinden;

  3. Dat het van belang is dat deze gegevensverwerking rechtmatig en zorgvuldig geschiedt en dat geheimhouding van de persoonsgegevens die de partners aan elkaar verstrekken wordt gegarandeerd;

  4. Dat in het geval van datalekken aan de zijde van ontvangende partij de verstrekkende partij hiervan op de hoogte wordt gesteld;

  5. Partijen wensen in dit addendum aanvullende afspraken te maken omtrent voornoemde uitwisseling van persoonsgegevens.

Komen het volgende overeen:

  1. Definities

    1. In deze overeenkomst hebben de volgende (onderstreepte) begrippen de daaropvolgende betekenis:

Uitwisseling: de verwerking van persoonsgegevens op grond van de in Bijlage 1 gespecificeerde grondslag waarbij Ontvanger persoonsgegevens van Verstrekker ontvangt om deze voor eigen doeleinden (verder) te verwerken.

Uitgewisselde Persoonsgegevens: de op grond van de Uitwisseling tussen partijen uitgewisselde persoonsgegevens.

Ontvanger: de partij die persoonsgegevens in het kader van een Uitwisseling ontvangt.

Verstrekker: de partij die persoonsgegevens in het kader van een Uitwisseling verstrekt;

    1. Elk begrip dat hier niet is gedefinieerd, maar dat wel is gedefinieerd in de Toepasselijke Privacy Wetgeving (zoals “persoonsgegeven”, “verwerken”, etc.), heeft in deze overeenkomst dezelfde betekenis als in de Algemene Verordening Gegevensbescherming.


  1. Positie en samenhang met eventueel bestaande overeenkomsten

    1. Deze gegevensuitwisselingsovereenkomst is van toepassing op iedere Uitwisseling.

    2. Voor zover de grondslag voor de Uitwisseling is gelegen in een tussen partijen gesloten overeenkomst

      1. is voor hetgeen niet in deze gegevensuitwisselingsovereenkomst is geregeld het bepaalde in de betreffende overeenkomst(en) mutatis mutandis van toepassing.

      2. prevaleert het bepaalde in deze gegevensuitwisselingsovereenkomst op hetgeen overigens tussen partijen is overeengekomen inzake de verwerking van persoonsgegevens;


  1. Privacypositie van partijen

    1. Partijen onderkennen dat ze in het kader van de Uitwisseling allebei kwalificeren als “verwerkingsverantwoordelijke” in de zin van de Toepasselijke Privacy Wetgeving.

    2. De verantwoordelijkheid voor de Uitwisseling ligt bij Verstrekker. De verantwoordelijkheid voor de verdere verwerking ligt bij Ontvanger.

    3. Verstrekker garandeert jegens Ontvanger dat:

      1. zij de Uitgewisselde Persoonsgegevens tot aan de Uitwisseling rechtmatig verwerkte;

      2. de Uitwisseling rechtmatig is.

    4. Ontvanger garandeert jegens Verstrekker dat:

      1. zij de Uitgewisselde Persoonsgegevens verder zal verwerken in overeenstemming met de Toepasselijke Privacy Wetgeving;

Zij de Uitgewisselde Persoonsgegevens louter zal verwerken voor: … [Denk aan reden waarom de gegevensuitwisselingsovereenkomst wordt afgesloten! Dus ten behoeve van welk doel.

<voorbeeld: doel van de verwerking van persoonsgegevens op basis van deze regeling is het bieden van ondersteuning aan de inwoners van Amstelveen en Aalsmeer op het gebied van zorg, welzijn, wonen en inkomen, waarbij goed wordt aangesloten bij de vraag en de behoefte die zij hebben en bij de eigen kracht waarover zij zelf en hun sociale netwerk beschikken>;

      1. ]

    1. Partijen vrijwaren elkaar – met inachtneming van het bepaalde in – voor claims van betrokkenen die voortvloeien uit een schending van de in de artikelen 3.3 en 3.4 verstrekte garanties.


  1. Geheimhouding

Ieder die op grond van dit convenant kennis neemt van persoonsgegevens is verplicht tot geheimhouding daarvan, tenzij de wet tot bekendmaking verplicht.


  1. Transparantie en rechten betrokkenen

    1. De verplichting tot het informeren van betrokkenen over de Uitwisseling in het kader van de transparantieverplichtingen uit de AVG ligt bij …. [Xxxxxxxxxxx/Ontvanger].

    2. Eventuele vragen van betrokkenen inzake de Uitwisseling of de verdere verwerking zullen door de in artikel 3.2 aangewezen verantwoordelijke partij worden beantwoord. Partijen verwijzen betrokkenen zo nodig naar de verantwoordelijke partij en onthouden zich daarbij van het geven van een inhoudelijk oordeel jegens betrokkene.

    3. Voordat de verantwoordelijke beslist over een verzoek op grond van artikelen 12-21 van de AVG pleegt hij, indien nodig, overleg met de verstrekker die de gegevens waarop de uitoefening van rechten zich richt, hebben vastgelegd.

    4. Partijen stellen elkaar in kennis van iedere op verzoek van de betrokkene doorgevoerde rectificatie of wissing van persoonsgegevens of beperking van de verwerking die betrekking heeft op de Uitgewisselde Persoonsgegevens, tenzij het in kennis stellen niet te verenigen is met het betreffende verzoek van de betrokkene (bijv. omdat het geheel los stond van de Uitwisseling).

    5. Ontvanger zal bijhouden aan welke derde partijen de Uitgewisselde Persoonsgegevens verder worden verstrekt en betrokkene op diens verzoek een overzicht van deze derde partijen verstrekken.


Artikel 6 Beveiligingsmaatregelen en datalekken

  1. De verantwoordelijke neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens die worden verwerkt te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldige, onrechtmatige of ongeoorloofde verwerking. De te treffen maatregelen zijn vastgelegd in de Baseline Informatiebeveiliging Overheid (voor niet gemeenten in de NEN/ISO 27001 en 27002 standaard).

  2. Vanaf het moment van ontvangst van de Uitgewisselde Persoonsgegevens ligt de verantwoordelijkheid voor passende beveiliging bij Ontvanger.

  3. Maatregelen als bedoeld in lid 1 houden ten minste voorzieningen in tegen:

a. beschadiging of verlies van Persoonsgegevens;

b. onbevoegde wijziging van Persoonsgegevens;

c. ontvreemding van Persoonsgegevens;

d. kennisneming van Persoonsgegevens door onbevoegden;

e. onnodige verdere verwerking en verzameling van Persoonsgegevens.

  1. De verantwoordelijke conformeert zich aan de meldplicht datalekken zoals deze in de beleidsregels van de AP zijn beschreven. Iedere verantwoordelijke heeft een interne procedure voor het afhandelen van incidenten/ datalekken.

  2. De verantwoordelijke die het vermeende datalek heeft doen ontstaan, en waarbij persoonsgegevens mogelijk onrechtmatig verwerkt zijn, leidt het onderzoek bij het afhandelen van incidenten/datalekken conform de eigen interne procedure. Deze verantwoordelijke treft maatregelen om de AP en betrokkenen te informeren indien dit in het kader van de meldplicht aan de orde is.

  3. In het geval van datalekken welke betrekking hebben op de verstrekte persoonsgegevens aan de zijde van ontvangende partij zal hij de verstrekkende partij hiervan binnen 24 uur op de hoogte stellen via xxxxxxxxxxxxxxxxxx@xxxxxxxxxx.xx;

  4. De andere verantwoordelijke, ook wel de verstrekker van de persoonsgegevens, ondersteunt deze verantwoordelijke zo nodig bij het afhandelen van het onderzoek.


Artikel 7. Aansprakelijkheid

Voor zover de grondslag voor de Uitwisseling is gelegen in een tussen partijen gesloten overeenkomst is voor hetgeen niet in deze gegevensuitwisselingsovereenkomst is geregeld het bepaalde in de betreffende overeenkomst(en) mutatis mutandis van toepassing, met dien verstande dat een overeengekomen volledige uitsluiting van aansprakelijkheid voor verlies of verminking van gegevens niet van toepassing is.


Artikel 8. Duur en beëindiging

De duur van deze gegevensuitwisselingsovereenkomst is:

      1. voor zover de grondslag voor de Uitwisseling is gelegen in een tussen partijen gesloten overeenkomst, gelijk aan de duur van die overeenkomst.

      2. in overige gevallen gelijk aan de duur van de Uitwisseling.

Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze overeenkomst voort te duren, blijven na beëindiging bestaan. Tot deze verplichtingen behoren onder meer:

      1. afgegeven garanties en vrijwaringen;

      2. geschillenbeslechting, toepasselijk recht.


Aldus overeengekomen en in tweevoud ondertekend


Namens het college van B&W Amstelveen en/of Aalsmeer

Namens (naam wederpartij)


Naam:

Titel/functie:

Datum:



Handtekening


Naam:

Titel/functie:

Datum:



Handtekening




Bijlage 1: grondslag voor Uitwisseling

De grondslag voor de verwerking van persoonsgegevens, optioneel: waaronder ook bijzondere persoonsgegevens, op grond van deze overeenkomst is:


[grondslag per verantwoordelijke opnemen of gezamenlijke grondslag opnemen (op grond van welke wetgeving en voor welke doelstelling is dit convenant)


bijvoorbeeld:

- voor de gemeenten gelegen in de goede vervulling van de publiekrechtelijke taak die zij hebben in onder meer artikel xx van de Gemeentewet, artikel xx van de woningwet en artikel xx van de Huisvestingswet;

- voor de politie gelegen in de publiekrechtelijke taak die zij op grond van artikel 3 van de politiewet heeft om hulp te verlenen aan hen die deze behoeven en om de rechtsorde te handhaven waaronder mede moet worden verstaan het optreden tegen ernstige vormen van overlast;

- voor woningstichting Eigen Haard gelegen in de behartiging van het gerechtvaardigd belang (artikel 6 aanhef en onder f AVG) of ondubbelzinnige toestemming ( artikel 6 aanhef en onder a AVG) van de betrokken.]





Privacy- convenant



Document Metadata

Filed: March 11th, 2021