VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

Partijen

− Huurdersvereniging Lemsterland, gevestigd te (Postbus 8530 ÀG) Lemmer, te dezen rechtsgeldig vertegenwoordigd door de mevrouw X xx Xxxxx- v.d. Knoop , hierna te noemen “Verwerkingsverantwoordelijke”;

En

− St. Lyaemer Wonen], gevestigd te (Postbus 21 8530 AA) Lemmer, te dezen rechtsgeldig

vertegenwoordigd door de xxxx X Xxxxxx, hierna te noemen “Verwerker”;

Verwerkingsverantwoordelijke en Verwerker worden gezamenlijk ook aangeduid met “Partijen” en afzonderlijk als “Partij”.

in aanmerking nemende dat

• Partijen op 23-07-2018 een overeenkomst (hierna: “Overeenkomst”) zijn aangegaan met betrekking

tot het innen van de contributie voor de huurdersvereniging..

• Op grond van de Overeenkomst persoonsgegevens zullen worden verwerkt;

• Waar in deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) bedoeld worden;

• Verwerkingsverantwoordelijke aangemerkt kan worden als verwerkingsverantwoordelijke in de zin

van artikel 4 lid 7 van de AVG;

• Verwerker aangemerkt kan worden als verwerker in de zin van artikel 4 lid 8 van de AVG;

• Verwerker, in het kader van de uitvoering van de Overeenkomst, in opdracht van Verwerkingsverantwoordelijke persoonsgegevens zal verwerken;

• Partijen in deze Verwerkersovereenkomst hun afspraken schriftelijk wensen vast te leggen over de wijze waarop Xxxxxxxxx de persoonsgegevens zal verwerken.

zijn als volgt overeengekomen

ARTIKEL 1. ALGEMEEN

1.1. Verwerker zal in opdracht van Verwerkingsverantwoordelijke persoonsgegevens verwerken voor de doeleinden zoals vermeldt in Bijlage 1. De Verwerker is niet gerechtigd de persoonsgegevens voor enig ander doel te verwerken.

1.2. De Verwerker heeft geen zelfstandige zeggenschap over het doel van verwerking van de persoonsgegevens en de daartoe gebruikte middelen. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van deze Verwerkersovereenkomst of andere overeenkomsten tussen Partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij de Verwerkingsverantwoordelijke.

1.3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

ARTIKEL 2. VERPLICHTINGEN VERWERKER

2.1. Verwerker garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.

2.2. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.3. Verwerker verplicht zich om alle instructies van de Verwerkingsverantwoordelijke op te volgen ten aanzien van de verwerking van de persoonsgegevens in het kader van deze Verwerkersovereenkomst.

2.4. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de AVG.

2.5. Verwerker vrijwaart Verwerkingsverantwoordelijke van eventuele claims en procedures van derde partijen, waaronder uitdrukkelijk begrepen toezichthouders zoals de Autoriteit Persoonsgegevens en betrokkenen, gebaseerd op of voortvloeiend uit een schending van de AVG en/of deze Verwerkersovereenkomst door Xxxxxxxxx.

ARTIKEL 3. LOCATIE VAN DE VERWERKING

3.1. Persoonsgegevens mogen enkel worden verwerkt in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie zonder voorafgaande uitdrukkelijke toestemming van de Verwerkingsverantwoordelijke is niet toegestaan.

3.2. Verwerker zal Verwerkingsverantwoordelijke melden in welk land of landen de persoonsgegevens worden verwerkt.

ARTIKEL 4. MELDPLICHT DATALEKKEN

4.1. Onder een Datalek wordt in deze Verwerkersovereenkomst verstaan: een beveiligingsincident(en) waarbij persoonsgegevens verloren zijn gegaan of een onrechtmatige verwerking daarvan redelijkerwijs niet uit te sluiten is.

4.2. In het geval van een Datalek zal Verwerker de Verwerkingsverantwoordelijke direct, dan wel binnen 24 uur na het ontdekken van het Datalek, daarover informeren, naar aanleiding waarvan de Verwerkingsverantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is. De meldplicht geldt ongeacht de impact van het Datalek.

4.3. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en/of betrokkenen.

4.4. De Verwerker zal in geval van een Datalek in ieder geval de volgende informatie verstrekken aan Verwerkingsverantwoordelijke:

• De aard en de oorzaak van de inbreuk;

• De (mogelijk) getroffen persoonsgegevens;

• De vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van de persoonsgegevens en de daarbij betrokken personen;

• De maatregelen die de Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te bepalen;

• Een overzicht van de personen / instanties die zijn geïnformeerd (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder);

• De contactgegevens voor de opvolging van de melding.

ARTIKEL 5. BEVEILIGING

5.1. De Verwerker neemt, rekening houdend met de stand van de techniek, de uitvoeringskosten alsook de aard, omvang, context, verwerkingsdoeleinden en risico’s, voldoende technische en organisatorische maatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, om deze adequaat te beveiligen tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatig gebruik of verwerking. De Verwerker zal uit eigen beweging de beveiligingsmaatregelen zodanig aanpassen dat ten aanzien van de persoonsgegevens steeds een passend beschermingsniveau door Verwerker wordt gegarandeerd.

5.2. Verwerker heeft bij de totstandkoming van deze Verwerkersovereenomst in ieder geval de volgende maatregelen genomen:

• Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de

persoonsgegevens die in het kader van de Overeenkomst worden verwerkt;

• logische toegangscontrole, gebruik makend van wachtwoorden;

• fysieke maatregelen voor toegangsbeveiliging;

• automatische logging van alle handelingen rond de persoonsgegevens;

• encryptie (versleuteling) van digitale bestanden met persoonsgegevens;

• organisatorische maatregelen voor toegangsbeveiliging;

• beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;

• doelgebonden toegangsbeperkingen;

• controle op toegekende bevoegdheden.

5.3. In het geval dat uit een Privacy Impact Assessment (PIA) of een risico analyse ten aanzien van de verwerking van persoonsgegevens maatregelen gevraagd worden die betrekking hebben op de dienstverlening van Verwerker voor Verwerkingsverantwoordelijke, anders dan in artikel 5.2 genoemd, dan kan door Verwerkingsverantwoordelijke en Verwerker in onderling overleg besloten worden om voornoemde maatregelen te wijzigen.

ARTIKEL 6. OMGANG MET RECHTEN VAN BETROKKENEN

6.1. Indien betrokkene een verzoek tot inzage, verbetering, aanvulling, verwijdering, afscherming of overdraagbaarheid van de persoonsgegevens doet of indien zij bezwaar maakt tegen de verwerking van de persoonsgegevens bij Verwerker, zal Verwerker dit verzoek doorsturen aan Verwerkingsverantwoordelijke, en Verwerkingsverantwoordelijke zal het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.

6.2. In het geval dat een betrokkene bovenstaand verzoek richt aan de Verwerkingsverantwoordelijke zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover redelijk is.

ARTIKEL 7. INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS

7.1. Verwerker mag in het kader van de Overeenkomst geen gebruik maken van een derde, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, welke toestemming onderwerp kan zijn van nadere voorwaarden.

7.2. Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien. Verwerker vrijwaart Verwerkingsverantwoordelijke van dergelijke claims.

ARTIKEL 8. GEHEIMHOUDING

8.1. De Verwerker mag geen persoonsgegevens aan derden kenbaar maken. Onder derden wordt tevens het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de Overeenkomst kennis neemt van de persoonsgegevens. Verwerker zal de persoonsgegevens niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

8.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

ARTIKEL 9. AUDIT

9.1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles dat daarmee verband houdt.

9.2. Deze audit mag in ieder geval plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.

9.3. Verwerker zal aan de auditor alle informatie verstrekken die redelijkerwijs nodig is voor het uitvoeren van de audit.

9.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

9.5. De kosten van de audit worden door Verwerker gedragen indien er niet conform de Verwerkersovereenkomst blijkt te zijn gewerkt, en/of er fouten worden gevonden in de bevindingen, die toegerekend moeten worden aan Verwerker. In ieder ander geval zullen de kosten van de audit worden gedragen door Verwerkingsverantwoordelijke.

ARTIKEL 10. DUUR EN BEËINDIGING

10.1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de tussen Verwerkingsverantwoordelijke en Verwerker afgesloten Overeenkomst, en bij gebreke daarvan voor de duur van de samenwerking.

10.2. Het is Verwerker niet toegestaan deze Verwerkersovereenkomst tussentijds op te zeggen.

10.3. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

10.4. Verwerker zal zijn volledige medewerking verlenen deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe en/of herziene privacywetgeving.

10.5. Bij beëindiging, ontbinding of opzegging van deze Verwerkersovereenkomst, op verzoek, op welke grond of wijze dan ook, zal Verwerker uit eigen beweging (i) aan Verwerkingsverantwoordelijke alle persoonsgegevens en overige aan Verwerker toekomende gegevens ter beschikking stellen op de wijze en in het format dat Verwerkingsverantwoordelijke wenst, (ii) per direct de verwerking van de persoonsgegevens staken, (iii) alle documenten waarin de persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen, en (iv) alle persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.

ARTIKEL 11. AANSPRAKELIJKHEID

11.1. Verwerker is aansprakelijk voor schade die voortvloeit uit de aan Verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van persoonsgegevens in het kader van deze Verwerkersovereenkomst en/of niet-nakoming van verplichtingen van deze Verwerkersovereenkomst door Verwerker.

11.2. Verwerker zal Verwerkingsverantwoordelijke vrijwaren en stelt Verwerkingsverantwoordelijke schadeloos voor alle boetes, aanspraken, kosten en vorderingen, waaronder boetes van de Autoriteit Persoonsgegevens die Verwerkingsverantwoordelijke maakt of lijdt en die direct of indirect voortvloeien uit of tot stand komen in verband met een tekortkoming door Verwerker en/of diens onderaannemers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Xxxxxxxxx en/of diens onderaannemers van de van toepassing zijnde wetgeving op het gebied van verwerking van persoonsgegevens in verband met de Overeenkomst.

ARTIKEL 12. OVERIGE BEPALINGEN

12.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

12.2. Logs, gedane metingen en auditverslagen door Verwerkingsverantwoordelijke gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerker.

12.3. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

a. deze Verwerkersovereenkomst;

b. de Overeenkomst.

12.4. Alle geschillen in verband met deze Verwerkersovereenkomst of de uitvoering ervan zullen

worden voorgelegd aan de bevoegde rechter te (….).

Huurdersvereniging Lemsterland St. Lyaemer Wonen

  /   /  /   /    

Datum Datum

          (handtekening)   (handtekening)

Naam: Naam: