MODEL VERWERKERSOVEREENKOMST
MODEL VERWERKERSOVEREENKOMST
Versie 15 april 2020
Deze verwerkersovereenkomst regelt de plichten en rechten van Verwerkingsverantwoordelijke en Verwerker in het kader van de Algemene Verordening Gegevensbescherming.
Verwerkingsverantwoordelijke is de Kerkvoogdij Hersteld Hervormde Gemeente te (X, CONTACTGEGEVENS INVULLEN), hierna te noemen "Verantwoordelijke", in dezen vertegenwoordigd door de heer (NAAM) en (NAAM).
Verwerker is (CONTACTGEGEVENS VERWERKER INVULLEN), hierna te noemen "Verwerker" en in dezen vertegenwoordigd door (NAAM)
Partijen overwegen dat:
Verantwoordelijke en Verwerker met elkaar een hoofdovereenkomst hebben gesloten voor het uitvoeren van een opdracht door Verwerker voor Verantwoordelijke. Deze hoofdovereenkomst is getekend op DATUM en PLAATS ondertekening HOOFDOVEREENKOMST
de opdracht die Verwerker in het kader van de hoofdovereenkomst uitvoert voor Verantwoordelijke als volgt kan worden omschreven: (OPDRACHT OMSCHRIJVEN, bijvoorbeeld de verspreiding van het kerkblad).
Verantwoordelijke in het kader van de hiervoor genoemde opdracht persoonsgegevens aan Verwerker beschikbaar stelt, zoals omschreven in bijlage 1;
Verwerker zich bereid verklaart de verplichtingen op het gebied van de AVG en de daaraan verbonden technische en organisatorische beveiligingsmaatregelen na te komen, zoals omschreven in bijlage 2;
Partijen in overeenstemming met de AVG in deze Verwerkersovereenkomst hun afspraken en verantwoordelijkheden over het verwerken van de persoonsgegevens wensen vast te leggen. Deze overeenkomst is aan te merken als een Verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG;
Partijen zijn het volgende overeengekomen:
Artikel 1. Verwerking en doel
1.1 Verwerker zal persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verwerker verklaart en garandeert dat zij de persoonsgegevens uitsluitend verwerkt in het kader van de uitvoering van de met de Verantwoordelijke gesloten overeenkomst.
1.2 De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke. De zeggenschap over persoonsgegevens verstrekt onder deze Verwerkersovereenkomst, komt nimmer bij Verwerker te berusten.
Artikel 2. Verplichtingen Verwerker
2.1 Verwerker draagt bij verwerking van persoonsgegevens zorg voor de naleving van datgene wat hierover in de AVG is bepaald.
2.2 Verwerker zal zijn volledige medewerking verlenen deze Verwerkersovereenkomst aan te passen aan en geschikt te maken voor eventuele nieuwe privacywetgeving.
2.3 Verwerker zal een subverwerker toegang geven tot de persoonsgegevens wanneer dit nodig is om uitvoering te geven aan de instructie van Verantwoordelijke. Voor een subverwerker gelden dezelfde voorwaarden uit deze Verwerkersovereenkomst. Verwerker is verplicht om in geval van inschakeling van een subverwerker, alle rechten en plichten uit onderhavige overeenkomst één op één overeen te komen met deze subverwerker. Verwerker is verplicht om Verantwoordelijke altijd vooraf schriftelijk te informeren wanneer er een derde partij wordt ingeschakeld waarbij de Verantwoordelijke de mogelijkheid heeft de inschakeling van een derde partij tegen te houden.
2.4 Indien Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, verifieert Verwerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij, zo mogelijk voorafgaand aan de verstrekking, Verantwoordelijke ter zake.
2.5 De verwerking vindt uitsluitend plaats op basis van schriftelijke instructies van de verantwoordelijke.
2.6 Verwerker garandeert dat zij de persoonsgegevens in geen geval zal gebruiken voor eigen doeleinden.
2.7 Verwerker mag de persoonsgegevens niet langer bewaren dan nodig is voor het verwezenlijken van het doel waarvoor de persoonsgegevens door Verwerker worden verwerkt.
Artikel 3. Geheimhouding
3.1 Met deze bepaling wordt aan de Verwerker een geheimhoudingsplicht opgelegd. De Verwerker belooft vertrouwelijk om te gaan met de bij hem bekende persoonsgegevens waarvan zij in het kader van de uitvoering van de opdracht met de Verantwoordelijke kennis krijgt en kennis draagt.
3.2 Verwerker zal in zijn overeenkomsten met zijn Medewerkers bedingen dat door die personen op overeenkomstige wijze als in dit artikel bepaald geheimhouding zal worden betracht ten aanzien van alle (persoons)gegevens en informatie die zij in het kader van hun werkzaamheden voor Verwerker verwerken. Verwerker staat er jegens Verantwoordelijke voor in dat de bedoelde bedingen door de betrokken Medewerkers zullen worden nageleefd.
3.3 Het is Verwerker uitdrukkelijk verboden om persoonsgegevens aan derden te verstrekken.
3.4 In geval van overtreding van de in dit artikel neergelegde verplichtingen door Verwerker, is Verwerker zonder dat een nadere ingebrekestelling is vereist, een direct opeisbare boete verschuldigd van € 2.500,- voor iedere overtreding. Betaling van deze boete ontslaat Verwerker niet van de in dit artikel genoemde verplichtingen.
Artikel 4. Beveiliging
4.1
Verwerker implementeert noodzakelijke, passende, technische en
organisatorische beveiligingsmaatregelen als omschreven in bijlage
2. Deze maatregelen zullen, met inachtneming van de stand der
techniek en de kosten gemoeid met de implementatie en de uitvoering
van de maatregelen, een passend beschermingsniveau verzekeren, zulks
met inachtneming van de risico's die het verwerken van de
persoonsgegevens, en de aard daarvan, met zich meebrengen.
4.2
Verwerker zal Verantwoordelijke jaarlijks informeren over de
informatiebeveiliging en de door haar getroffen maatregelen ter
bescherming en beveiliging van persoonsgegevens.
Artikel 5. Meldplicht datalek
5.1 In het geval van een beveiligings- of datalek (ongeautoriseerde toegang tot persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens) bij Verwerker, zal Verwerker zich naar beste kunnen inspannen om Verantwoordelijke daarover zo spoedig mogelijk adequaat en volledig te infomeren.
5.2 Indien de wet- of regelgeving dit vereist, zal Verwerker meewerken aan het informeren van ter zake relevante autoriteiten en betrokkenen.
5.3 Verwerker spant zich naar beste kunnen in om zo spoedig mogelijk het lek te dichten en de eventuele schade voor Verantwoordelijke en betrokkene te beperken.
5.4 De melding van een datalek aan de Autoriteit Persoonsgegevens is altijd de eigen verantwoordelijkheid van de Verantwoordelijke. Het is Verwerker verboden om zonder toestemming van Verantwoordelijke een incident met betrekking tot de persoonsgegevens van Verantwoordelijke zelf rechtstreeks te melden aan genoemde Autoriteit.
5.5 Het is Verwerker verboden mededelingen (ongeacht de wijze waarop) te doen aan derden en/of de media bij een incident aangaande de persoonsgegevens van Verantwoordelijke.
5.6 In geval van overtreding van de in dit artikel neergelegde verplichtingen door Verwerker, is Verwerker zonder dat een nadere ingebrekestelling is vereist, een direct opeisbare boete verschuldigd van € 2.500,- voor iedere overtreding en € 1.250,- voor iedere dag dat de overtreding voortduurt. Betaling van deze boete ontslaat Verwerker niet van de in dit artikel genoemde verplichtingen.
Artikel 7. Medewerking door Verwerker
6.1 De Verwerker verleent de Verantwoordelijke assistentie bij verplichtingen zoals het uitvoeren van een privacy impact assessment.
6.2 De Verwerker werkt mee aan een audit door de Verantwoordelijke indien deze na wil gaan of de verplichtingen uit de verwerkersovereenkomst worden nagekomen;
Artikel 8. Rechten van betrokkenen
8.1 De rechten van betrokkenen -van inzage, correctie en verzet- worden gefaciliteerd door Verantwoordelijke. De Verwerker assisteert de Verantwoordelijke bij het vervullen van zijn plicht.
Artikel 9. Aansprakelijkheid
9.1
De Verantwoordelijke staat ervoor in dat de verwerking van
persoonsgegevens in het kader van de overeengekomen dienstverlening
niet onrechtmatig is en geen inbreuk maakt op de rechten van
betrokkenen.
9.2 Verwerker is jegens Verantwoordelijke
aansprakelijk voor alle schade die Verantwoordelijke lijdt of zal
lijden als gevolg van het niet, niet-tijdig of ondeugdelijk nakomen
van haar verplichtingen uit deze verwerkersovereenkomst en de
verplichtingen uit hoofde van de AVG rond de bescherming en
beveiliging van persoonsgegevens.
Artikel 10. Duur en beëindiging
10.1 Deze verwerkersovereenkomst komt tot stand door ondertekening van Partijen op de datum van die ondertekening.
10.2 De duur van deze verwerkersovereenkomst is gelijk aan die van de tussen Partijen gesloten hoofdovereenkomst, inclusief eventuele verlengingen daarvan.
10.3. Deze verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de hoofdovereenkomst. Beëindiging van de hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en andersom). Partijen kunnen in een voorkomend geval schriftelijk anders overeenkomen.
10.4 Bij beëindiging, ontbinding of opzegging van deze verwerkersovereenkomst, op verzoek, op welke grond of manier dan ook, zal Verwerker uit eigen beweging
(I) aan Verantwoordelijke alle persoonsgegevens ter beschikking stellen;
(II) per direct verwerking van de persoonsgegevens staken;
(III) alle documenten waarin persoonsgegevens zijn vastgelegd aan Verantwoordelijke ter beschikking stellen, en
(IV) alle persoonsgegevens die digitaal zijn opgeslagen, inclusief daarvan gemaakte backups, permanent van gegevensdragers verwijderen.
10.5 Verwerker zal op eerste verzoek van Verantwoordelijke schriftelijk bevestigen aan
Verantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.
Is getekend,
Verantwoordelijke Verwerker
------------------------------ ------------------------------
Functie:
Datum en plaats:
------------------------------ ------------------------------
Bijlage 1. Persoonsgegevens
Hieronder een omschrijving van de persoonsgegevens die Verantwoordelijke aan Verwerker ter beschikking stelt.
Bijlage 2. Beveiligingsmaatregelen
Hieronder een omschrijving geven van beveiligingsmaatregelen die door Verwerker getroffen zijn