VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST


De ondergetekenden:


(bij eenmanszaak:)

  1. de heer/mevrouw* ............... (voornamen voluit en achternaam), hande­lend onder de naam: "........­......." (naam bedrijf), geves­tigd: ............... (bedrijfs­adres), .... .. ............... (postcode en woonplaats), geboren te ............... (geboor­teplaats) op .....­......­.... (geboorteda­tum), wo­nende: ......­......... (adres), .... .. ............... (postcode en woon­plaats);


(bij maatschap, vennootschap onder firma of commanditaire vennootschap:)

  1. de maatschap/vennoot­schap onder firma/commanditaire vennoot­schap* "..............." (naam), gevestigd: ............... (bedrijfs­adres), .... .. .........­...... (postcode en woon­plaats), ten dezen vertegenwoordigd door haar ma­ten/vennoten/beherende vennoten*:

  • de heer/mevrouw* ............... (voornamen voluit en achter­naam), geboren te ............... (geboor­teplaats) op .....­......­.... (geboorte­da­tum);

  • de heer/mevrouw* ............... (voornamen voluit en achter­naam), geboren te ............... (geboor­teplaats) op .....­......­.... (geboorte­da­tum);


(bij B.V.:)

  1. de besloten vennootschap met beperkte aansprake­lijkheid ............... (naam B.V.), geves­tigd: ...........­.... (bedrijfsadres), .... .. .........­...... (post­code en woon­plaats), ten dezen vertegenwoor­digd door haar directeur, de heer/mevrouw* ........­....... (voor­namen en achter­naam), geboren te ............... (geboor­teplaats) op .....­......­.... (geboor­tedatum;


hierna te noemen: "de opdrachtgever";


en



  1. de besloten vennootschap met beperkte aansprake­lijkheid Xxx xxx xxx Xxxx Financieel Advies B.V., geves­tigd: Xxxxxxxxxx 00, 0000 XX Xxxxxx, ten dezen vertegenwoor­digd door haar directeur, de heer X.X.X. xxx xxx Xxxx, geboren te Waspik op 17-11-1969;


hierna te noemen: "de opdrachtnemer";


Overwegende dat:

  • de opdrachtnemer diensten verricht ten behoeve van de opdrachtgever, zoals beschreven in de hoofdovereenkomst;

  • deze diensten met zich meebrengen dat persoonsgegevens worden verwerkt, waarvoor de opdrachtgever de verwerkingsverantwoordelijke is in de zin van de algemene verordening gegevensbescherming (hierna: “AVG”);

  • de opdrachtnemer de betreffende gegevens louter in opdracht van de opdrachtgever verwerkt en niet voor eigen doeleinden;

  • de opdrachtnemer xxxxx is aan te merken als verwerker in de zin van de AVG;

  • artikel 28 van de AVG vereist dat deze verwerking van persoonsgegevens wordt geregeld in een overeenkomst die voldoet aan de eisen die daaraan in dat artikel worden gesteld;

  • partijen middels deze verwerkersovereenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de te verrichten diensten wensen vast te leggen;


Verklaren te zijn overeengekomen als volgt:


Artikel 1. Definities

    1. In deze verwerkersovereenkomst is aan de onderstaande begrippen, de navolgende betekenis toegekend, welke betekenis overeenkomt met de betekenis die daaraan is gegeven in de AVG:

  • Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  • Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  • Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

  • Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

  • Inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (datalek).

  • Pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

1.2 Voor zover begrippen niet afzonderlijk gedefinieerd zijn in deze verwerkersovereenkomst, gelden de definities zoals genoemd in de in artikel 2.1 genoemde hoofdovereenkomst en de daarop eventueel toepasselijke algemene voorwaarden.


Artikel 2. Onderwerp van deze verwerkersovereenkomst

2.1 Als “hoofdovereenkomst” geldt de overeenkomst tussen partijen van ………. (datum) betreffende ………….. (onderwerp).

2.2 (Uitsluitend indien de opdrachtnemer slechts voor een deel van de werkzaamheden die op grond van de hoofdovereenkomst worden verricht als verwerker optreedt en voor het overige deel als verantwoordelijke:)

Deze overeenkomst is daarbij echter uitsluitend van toepassing op de navolgende:

2.3 De opdrachtnemer zal uitsluitend gedurende de looptijd van de in artikel 2.1 genoemde hoofdovereenkomst ten behoeve van de opdrachtgever persoonsgegevens verwerken.

2.4 Een overzicht van de categorieën persoonsgegevens en de doeleinden waarvoor de persoonsgegevens ten behoeve van de opdrachtgever worden verwerkt is opgenomen in bijlage 1 bij deze verwerkersovereenkomst.


Artikel 3. Uitvoering verwerking en schriftelijke instructies

3.1 De opdrachtnemer zal optreden als verwerker en de opdrachtgever als de verwerkingsverantwoordelijke in de zin van de AVG.

3.2 De opdrachtnemer garandeert dat hij ten behoeve van de opdrachtgever uitsluitend persoonsgegevens zal verwerken voor zover dit noodzakelijk is ter uitvoering van de hoofdovereenkomst. Overige verwerkingen zullen uitsluitend plaatsvinden als de opdrachtgever daartoe uitdrukkelijk schriftelijke opdracht geeft of als daartoe een wettelijke verplichting bestaat, in welk geval de opdrachtnemer de opdrachtgever daarover vooraf zal informeren waarbij de verwerking dan nog steeds onder verantwoordelijkheid van de opdrachtgever zal geschieden. In geen geval zal de opdrachtnemer persoonsgegevens verwerken voor eigen doeleinden.

3.3 De opdrachtnemer mag uitsluitend persoonsgegevens verwerken of laten verwerken buiten de Europese Unie indien de opdrachtnemer daartoe toestemming heeft van de opdrachtgever en voldoende waarborgen worden geboden voor een passend beveiligingsniveau zoals vereist door de AVG.

3.4 De opdrachtnemer zal alle redelijke instructies van de opdrachtgever in verband met de verwerking van de persoonsgegevens opvolgen. De opdrachtnemer stelt de opdrachtgever onmiddellijk op de hoogte indien instructies naar zijn oordeel in strijd zijn met de toepasselijke wetgeving betreffende de verwerking van persoonsgegevens.


Artikel 4. Vertrouwelijkheid

4.1 De opdrachtnemer zal de persoonsgegevens verwerken op een behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als verwerker op grond van de AVG en overige wetgeving rustende verplichtingen.

4.2 Onverminderd enige andere contractuele geheimhoudingsverplichting die op de opdrachtnemer xxxx, garandeert de opdrachtnemer dat hij vertrouwelijkheid in acht zal nemen ten aanzien van alle persoonsgegevens die hij in opdracht van de opdrachtgever verwerkt en dat hij een zelfde verplichting tot vertrouwelijkheid zal opleggen aan alle werknemers, vertegenwoordigers en/of hulppersonen die betrokken zijn bij de verwerking van de persoonsgegevens.

4.3 De opdrachtnemer zal de persoonsgegevens betreffende de opdrachtgever opslaan en verwerken aldus dat deze strikt zijn gescheiden van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.


Artikel 5. Rechten van betrokkene(n)

5.1 De opdrachtnemer verleent de opdrachtgever voor zover mogelijk met passende technische en organisatorische maatregelen bijstand bij het nakomen van de verplichting van de opdrachtgever om verzoeken om uitoefening van de wettelijke rechten van betrokkene(n), als bedoeld in hoofdstuk III van de AVG, te beantwoorden. Daarbij wordt rekening gehouden met de aard van de verwerking.

5.2 De opdrachtnemer stelt aan de opdrachtgever alle informatie ter beschikking die de opdrachtgever nodig heeft om te voldoen aan wettelijke of contractuele verplichtingen betreffende de verwerking van persoonsgegevens of om die nakoming aan te tonen. Daarbij wordt rekening gehouden met de aard van de verwerking en de aan de opdrachtnemer ter beschikking staande informatie.

Artikel 6. Beveiligingsmaatregelen

6.1 Onverminderd de beveiligingsnormen die partijen op mogelijk andere wijze zijn overeengekomen, zal de opdrachtnemer passende technische en organisatorische beveiligingsmaatregelen treffen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, ter bescherming van de persoonsgegevens tegen onder meer verlies, onbevoegde kennisname, verminking of onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. De opdrachtgever verplicht zich om daaraan zo nodig de vereiste medewerking te verlenen.

6.2 De in lid 1 bedoelde maatregelen omvatten in ieder geval:

        1. het pseudonimisering en versleutelen van de te verwerken persoonsgegevens;

        2. het op permanente basis garanderen van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten;

        3. het tijdig herstellen van de toegang tot de verwerkte persoonsgegevens bij een fysiek of technisch incident;

        4. het voorzien in een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;

        5. eventuele overige maatregelen die partijen in bijlage 2 en/of in de hoofdovereenkomst zijn overeengekomen.


Artikel 7. Gebruik hulppersonen

7.1 De opdrachtnemer zal zijn activiteiten, die (deels) bestaan uit het verwerken van persoonsgegevens of die vereisen dat persoonsgegevens verwerkt worden, niet uitbesteden aan een derde partij zonder voorafgaande schriftelijke toestemming van de opdrachtgever.

7.2 De opdrachtnemer zal aan de door hem ingeschakelde derde tenminste dezelfde verplichtingen opleggen als voor hemzelf uit deze verwerkersovereenkomst en uit de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. De opdrachtnemer zal de opdrachtgever op verzoek een afschrift verstrekken van deze overeenkomst(en).

7.3 Niettegenstaande de toestemming van de opdrachtgever voor het inschakelen van een derde partij blijft de opdrachtnemer jegens de opdrachtgever volledig aansprakelijk voor de gevolgen van het uitbesteden van werkzaamheden aan een derde.


Artikel 8. Verplichtingen opdrachtgever en verlening van assistentie door de opdrachtnemer

8.1 Uit hoofde van de artikelen 32 tot en met 36 van de AVG, gelden voor de opdrachtgever, naast de verplichting omtrent de beveiliging van de verwerking als hiervoor omschreven in artikel 6, kort weergegeven de navolgende verplichtingen:

  1. De opdrachtgever moet passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

  2. De opdrachtgever zal in het geval van een inbreuk in verband met persoonsgegevens (datalek) die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de Autoriteit Persoonsgegevens informeren over de aard van de inbreuk, de mogelijke impact van de inbreuk op de betrokkene(n), alsmede de maatregelen die de opdrachtnemer heeft genomen of voornemens is te nemen om de beveiliging te corrigeren en/of de gevolgen te beperken.

  3. De opdrachtgever zal in het geval van een inbreuk in verband met persoonsgegevens (datalek) welke waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de betrokkene(n) informeren over de aard van de inbreuk, de mogelijke impact van de inbreuk op de betrokkene(n), alsmede de maatregelen die de opdrachtnemer heeft genomen of voornemens is te nemen om de beveiliging te corrigeren en/of de gevolgen te beperken.

  4. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de opdrachtgever vóór de verwerking een beoordeling uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (de “gegevensbeschermingseffectbeoordeling”).

  5. Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de opdrachtgever geen maatregelen neemt om het risico te beperken, raadpleegt de opdrachtgever voorafgaand aan de verwerking de Autoriteit Persoonsgegevens.

8.2 De opdrachtnemer zal, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, de opdrachtgever bijstand verlenen bij het doen nakomen van de verplichtingen als bedoeld in lid 1.

8.3 In verband met het bepaalde in lid 2, gelden voor de opdrachtnemer meer concreet onder meer de navolgende verplichtingen jegens de opdrachtgever:

  1. De opdrachtnemer zal onmiddellijk alle maatregelen treffen die redelijkerwijs van de opdrachtnemer mogen worden verwacht om de nadelige gevolgen van de inbreuk voor de verwerking van de persoonsgegevens (datalek) te beperken of op te heffen.

  2. De opdrachtnemer zal onmiddellijk alle maatregelen treffen die redelijkerwijs van de opdrachtnemer mogen worden verwacht om de ongunstige gevolgen van de inbreuk voor betrokkenen te beperken of op te heffen.

  3. De opdrachtnemer zal samenwerken met de opdrachtgever om de oorzaak van de inbreuk te onderzoeken, alsmede om de omvang of de gevolgen voor de verwerking van de persoonsgegevens en de gevolgen voor de betrokkenen vast te stellen.

  4. De opdrachtnemer zal zo spoedig mogelijk alle maatregelen nemen die de opdrachtgever nodig acht om herhaling van de inbreuk te voorkomen of tekortkomingen in de beveiliging van de persoonsgegevens op te heffen.

  5. Zodra de opdrachtnemer kennis heeft genomen van een inbreuk in verband met persoonsgegevens (datalek), stelt de opdrachtnemer de opdrachtgever daarvan, zonder onredelijke vertraging, in kennis.

  6. In de onder e) bedoelde melding wordt ten minste het volgende omschreven of meegedeeld (indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt):

    • de aard van de inbreuk in verband met persoonsgegevens (datalek), waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

    • de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

    • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens (datalek);

    • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

8.4 De opdrachtnemer zal de opdrachtgever direct informeren als de Autoriteit Persoonsgegevens toegang tot de Persoonsgegevens vraagt of de Autoriteit Persoonsgegevens maatregelen neemt tegen de opdrachtnemer, tenzij de opdrachtnemer deze informatie op grond van wetgeving niet mag geven.

8.5 Het is de opdrachtnemer niet toegestaan informatie te verstrekken over een inbreuk in verband met persoonsgegevens (datalek) aan betrokkenen of andere derde partijen, behoudens voor zover de opdrachtnemer daartoe wettelijk verplicht is.

8.6 Partijen hebben de in de bijlage 3 vermelde personen aangesteld als contactpersonen waarmee contact dient te worden opgenomen in geval van een inbreuk in verband met persoonsgegevens (datalek). Niet bereikbaarheid van deze contactpersonen ontslaat een partij niet van nakoming van de verplichtingen uit deze overeenkomst. In geval van niet bereikbaarheid van de contactpersonen dient zo nodig contact te worden opgenomen met de directie van de wederpartij.


Artikel 9. Medewerking aan audit

9.1 De opdrachtgever heeft het recht toe te (laten) zien op de naleving van het bepaalde in deze overeenkomst, waaronder met name de nakoming van het bepaalde in artikel 6 ter zake van beveiligingsmaatregelen. De opdrachtnemer stelt de opdrachtgever hiertoe op diens verzoek steeds binnen een redelijke termijn in de gelegenheid en stelt de opdrachtgever of een door de opdrachtgever gemachtigde controleur alle informatie ter beschikking die nodig is voor dit toezicht (audit).

9.2 De opdrachtnemer zal eventuele door de opdrachtgever naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.


Artikel 10. Bewaartermijnen, teruggave en vernietiging van persoonsgegevens

10.1 De opdrachtnemer bewaart de persoonsgegevens niet langer dan strikt noodzakelijk is en in geen geval langer dan tot het einde van deze verwerkersovereenkomst of, indien tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.

10.2 Bij beëindiging van de verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, zal de opdrachtnemer de persoonsgegevens naar keuze van de opdrachtgever vernietigen of teruggeven aan de opdrachtgever.

10.3 De verplichting als bedoeld in lid 2 is niet van toepassing indien opslag van de persoonsgegevens op grond van een wettelijk voorschrift of een Europeesrechtelijk voorschrift verplicht is.

10.4 Indien teruggave, vernietiging of verwijdering niet mogelijk is, stelt de opdrachtnemer de opdrachtgever daarvan onmiddellijk op de hoogte. In dat geval garandeert de opdrachtnemer dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.


Uitsluitend als de opdrachtgever tenminste 250 werknemers heeft, als de opdrachtgever persoonsgegevens verwerkt met een hoog risico, of als de opdrachtgever hoeven geen verwerkingsregister bij te houden, tenzij sprake is van een verwerking met een hoog risico voor de rechten en vrijheden van de betrokkenen of indien de opdrachtgever bijzondere persoonsgegevens (bijvoorbeeld gegevens over gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden) verwerkt:


Artikel 11. Verwerkingsregister

11.1 De opdrachtnemer en (in voorkomend geval:) de vertegenwoordiger en/of hulppersoon van de opdrachtnemer, dienen een register bij te houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van de opdrachtgever zijn verricht.

11.2 In het verwerkingsregister dient in elk geval de navolgende informatie te worden opgenomen:

  • de naam en contactgegevens van de opdrachtnemer en in voorkomend geval: van de vertegenwoordiger van de verwerker en van de functionaris voor de gegevensbescherming indien die is aangesteld;

  • een beschrijving van de categorieën van verwerkingen die de opdrachtnemer in opdracht van de opdrachtgever uitvoert;

  • eventuele doorgiften van persoonsgegevens aan andere landen of aan een internationale organisatie met wie de opdrachtnemer persoonsgegevens deelt en indien van toepassing: de daarbij vereiste documenten inzake de passende waarborgen;

  • een algemene beschrijving van de technische en organisatorische maatregelen die de opdrachtnemer heeft genomen om persoonsgegevens te beveiligen die de opdrachtnemer verwerkt.

11.3 Indien de Autoriteit Persoonsgegevens daar om vraagt, moet het verwerkingsregister direct kunnen worden getoond. De opdrachtnemer zal de opdrachtgever direct informeren als de Autoriteit Persoonsgegevens toegang tot het verwerkingsregister vraagt.


Uitsluitend indien de opdrachtnemer hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen of indien de opdrachtnemer hoofdzakelijk belast is met grootschalige verwerking van bijzondere persoonsgegevens (bijvoorbeeld gegevens over gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden):


Artikel 12. Functionaris voor gegevensbescherming

12.1 Gelet op het feit dat de opdrachtnemer een organisatie is die hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie van personen vereisen of die hoofdzakelijk bijzondere persoonsgegevens verwerkt, is de opdrachtnemer op grond van artikel 37 en volgende van de AVG verplicht om een functionaris voor gegevensbescherming aan te stellen.

12.2 De opdrachtnemer en de opdrachtgever zorgen er voor dat de door de opdrachtnemer aangestelde functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

12.3 De opdrachtnemer en de opdrachtgever ondersteunen de door de opdrachtnemer aangestelde functionaris voor gegevensbescherming bij de vervulling van diens taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.

12.4 De opdrachtnemer en de opdrachtgever zien af van het geven van instructies aan de functionaris voor gegevensbescherming voor zover die instructies betrekking hebben op de uitvoering van zijn taken als functionaris voor gegevensbescherming.

12.5 Indien ook de opdrachtgever – al dan niet verplicht – in diens organisatie een functionaris voor gegevensbescherming heeft aangesteld, gelden de in lid 2 en lid 3 genoemde verplichtingen tevens voor de opdrachtnemer jegens de door de opdrachtgever aangestelde functionaris voor gegevensbescherming.


Artikel 13. Aansprakelijkheid

13.1 De opdrachtnemer is aansprakelijk voor directe schade als gevolg van het door de opdrachtnemer toerekenbaar tekortkomen in de nakoming van deze verwerkersovereenkomst en/of handelen in strijd met de AVG.

13.2 Onder directe schade wordt verstaan alle directe kosten en schade als gevolg van de toerekenbare tekortkoming niet-nakoming ofwel handelen in strijd met de AVG als bedoeld in lid 3, waaronder wordt begrepen:

  • een boete opgelegd aan de opdrachtgever wegens het niet tijdig melden van een inbreuk in verband met persoonsgegevens (datalek) voor zover dit niet tijdig melden toe te rekenen is aan de opdrachtnemer;

  • een boete opgelegd aan de opdrachtgever wegens een tekortkoming in de maatregelen ter beveiliging van de persoonsgegevens voor zover deze tekortkoming is toe te rekenen aan de opdrachtnemer;

  • de kosten van het door de opdrachtgever inschakelen van deskundigen op het gebied van informatiebeveiliging om de inbreuk in verband met persoonsgegevens te onderzoeken en corrigerende maatregelen voor te stellen;

  • de kosten van de melding aan de bevoegde toezichthouder(s) die opdrachtgever op grond van de toepasselijke wet- en regelgeving moet doen;

  • de kosten van de melding aan de betrokkene(n) die opdrachtgever op grond van de toepasselijke wet- en regelgeving moet doen;

  • de kosten van de maatregelen die de opdrachtgever voorstelt aan betrokkene(n) om de gevolgen van de inbreuk in verband met persoonsgegevens te beperken, voor zover die kosten voor rekening van de opdrachtnemer komen.

13.3 De totale aansprakelijkheid van dnd e e opdrachtnemer zal in geen geval meer bedragen dan het bedrag dat op grond van een door de opdrachtnemer gesloten en door tijdige premiebetaling in stand te houden aansprakelijkheidsverzekering in het voorkomende geval daadwerkelijk wordt uitgekeerd. Een of meerdere schadevorderingen uit hoofde van deze verwerkersovereenkomst kan c.q. kunnen niet tot overschrijding van deze beperking leiden.

13.4 Indien de opdrachtgever schade lijdt die door diens verzekering wordt gedekt, is de opdrachtnemer voor die schade niet aansprakelijk.

13.5 De opdrachtnemer is nimmer aansprakelijk voor indirecte schade, daaronder begrepen gevolgschade, gederfde winst, gederfde inkomsten, gemiste besparingen, verminderde goodwill en schade door bedrijfsstagnatie.


Artikel 14. Duur en beëindiging

14.1 Deze verwerkersovereenkomst gaat in op ………. (begindatum) en de duur van deze verwerkersovereenkomst is gelijk aan de duur van de in artikel 1 van deze verwerkersovereenkomst genoemde hoofdovereenkomst.

14.2 Er bestaat samenhang tussen de verwerkersovereenkomst en de hoofdovereenkomst, in die zin dat beëindiging van de verwerkersovereenkomst, op welke grond dan ook (opzegging/ontbinding), tot gevolg heeft dat de hoofdovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij partijen in voorkomend geval anders overeenkomen.

14.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze verwerkersovereenkomst voort te duren, blijven na beëindiging van de verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.

14.4 Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de hoofdovereenkomst, de uitvoering van deze verwerkersovereenkomst en de daarmee samenhangende hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:

      1. de andere partij wordt ontbonden of anderszins ophoudt te bestaan;

      2. de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen na een daartoe strekkende schriftelijke ingebrekestelling is hersteld;

      3. een partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.

14.5 De opdrachtgever is gerechtigd deze verwerkersovereenkomst en de hoofdovereenkomst per direct te ontbinden indien de opdrachtnemer te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Het bepaalde in 14.2 is alsdan van overeenkomstige toepassing.

Artikel 15. Slotbepalingen

15.1 De overwegingen maken onderdeel uit van deze verwerkersovereenkomst.

15.2 In het geval van strijdigheid tussen de bepalingen uit deze verwerkersovereenkomst en bepalingen uit de in artikel 1.1 genoemde hoofdovereenkomst zullen de bepalingen van deze verwerkersovereenkomst leidend zijn.

15.3 Het is partijen zonder schriftelijke toestemming van de andere partij, niet toegestaan om deze verwerkersovereenkomst en de rechten en plichten die samenhangen met deze verwerkersovereenkomst over te dragen aan een ander.

15.4 Op deze verwerkersovereenkomst is uitsluitend het Nederlandse recht van toepassing.

15.5 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.

15.6 Geschillen over of in verband met het bepaalde in deze verwerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van de opdrachtgever.


Aldus overeengekomen, opgemaakt in ….voud en ondertekend


te.: te.:


d.d.: d.d.:


de opdrachtgever de opdrachtnemer



Bijlage 1: Te verwerken persoonsgegevens en doeleinden


In het kader van de hoofdovereenkomst zullen persoonsgegevens worden verwerkt met de volgende doeleinden:

  • ..

  • ..


In het kader van de hoofdovereenkomst worden de volgende soorten persoonsgegevens verwerkt:

  • ..

  • ..


Deze verwerking van de persoonsgegevens betreft de volgende categorieën personen:

  • ..

  • ..



Bijlage 2: Beveiligingsmaatregelen


Teneinde de persoonsgegevens te beveiligen zijn de volgende maatregelen genomen:


  • ..

  • ..


Let op dat deze zien op alle aspecten van beveiliging, dus ook op betrouwbaarheid van gegevens (beschikbaarheid, integriteit en vertrouwelijkheid). Zie de CBP Richtsnoeren Beveiliging van persoonsgegevens (2013).



Bijlage 3: Contactgegevens


De contactgegevens van de medewerker van de opdrachtgever waarmee contact kan worden opgenomen in het geval van een inbreuk in verband met persoonsgegevens zijn de volgende:


  • ..

  • ..


Indien aanwezig bijvoorbeeld de functionaris voor de gegevensbescherming (FG) of de information security officer (ISO).


Document Metadata

Filed: May 24th, 2018