Voorbeeld Verwerkersovereenkomst Partijen

Voorbeeld Verwerkersovereenkomst


Partijen


  1. xxx, gevestigd te [vestigingsplaats, zie statuten] en kantoorhoudende te xxx, [adres], vertegenwoordigd door xxx, hierna “Opdrachtgever”;

en

  1. xxx , vertegenwoordigd door de heer xxx, hierna “Opdrachtnemer”;

Opdrachtgever en Opdrachtnemer hierna afzonderlijk ook aan te duiden als “Partij” en gezamenlijk als “Partijen”;


Overwegingen

  1. Opdrachtgever heeft Opdrachtnemer opdracht gegeven diensten te verrichten, zoals omschreven in de samenwerkingsovereenkomst van [datum] tussen Partijen (hierna: “de Opdrachtovereenkomst”), waarbij Opdrachtnemer ten behoeve van Opdrachtgever Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679) (hierna: de “AVG”) zal verwerken;

  2. Opdrachtnemer verwerkt onder verantwoordelijkheid van Opdrachtgever persoonsgegevens in de zin van de AVG en Opdrachtnemer heeft (al dan niet op afstand) toegang tot de systemen en/of applicaties van Opdrachtgever. Opdrachtgever stelt – naast hetgeen in de Opdrachtovereenkomst is omschreven - de doelen en middelen voor de verwerking van Persoonsgegevens vast;

  3. Partijen komen dienaangaande in deze Verwerkersovereenkomst en in overeenstemming met Artikel 28 van de AVG, het volgende overeen :


Overeenkomst

  1. Doelen en middelen

    1. Opdrachtgever bepaalt het doel en de middelen van de Verwerking en heeft volledige en eenzijdige zeggenschap over de Persoonsgegevens die Opdrachtgever in het kader van de uitvoering van de Opdrachtovereenkomst aan Opdrachtnemer verstrekt. Dit geldt ook voor alle updates, wijzigingen, correcties en/of uitbreidingen van die Persoonsgegevens.


    1. Opdrachtnemer garandeert dat hij de Persoonsgegevens zal verwerken op behoorlijke en zorgvuldige wijze, in overeenstemming met de doelen van verwerking van Opdrachtgever, de AVG, de “CBP Richtsnoeren Beveiliging Van Persoonsgegevens” van de Autoriteit Persoonsgegevens en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens, alsmede eventuele aanwijzingen of aanbevelingen van de Autoriteit Persoonsgegevens of een andere toezichthouder.


    1. Opdrachtnemer zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Opdrachtgever. Opdrachtnemer heeft geen zelfstandige zeggenschap over de Persoonsgegevens die door hem worden verwerkt. Opdrachtnemer mag de Persoonsgegevens niet voor eigen doeleinden verwerken en/of aan derden verstrekken en/of voor andere doeleinden verwerken, behoudens op hem rustende afwijkende wettelijke verplichtingen.

    1. Opdrachtnemer legt geen afgeleide bestanden aan met wetenschappen over betrokkenen, waarvan de Persoonsgegevens onder verantwoordelijkheid van Opdrachtgever door Opdrachtnemer worden verwerkt, waaronder maar niet beperkt tot de wetenschap dat de betrokkene een relatie (klant, lid, donateur, etc.) van Opdrachtgever is of met welk resultaat er een eventueel contact met betrokkene is geweest.



  1. Beveiliging en auditrecht

    1. Opdrachtnemer zal, conform artikel 32 van de AVG en de “CBP Richtsnoeren Beveiliging Van Persoonsgegevens”, passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Opdrachtnemer zal, uit technische en organisatorische maatregelen van Opdrachtgever voortvloeiende werkinstructie, direct en nauwgezet opvolgen. Een opsomming van de beveiligingsmaatregelen is opgenomen in Bijlage I.


    1. Opdrachtnemer heeft een aantoonbaar en gedocumenteerd informatiebeveiligingsbeleid en heeft hieruit voortvloeiende interne controles op de werking van (privacy) compliance gerelateerde (productie)systemen, processen en voorzieningen bij Opdrachtnemer ontwikkeld.


    1. De in artikel 2.2 genoemde interne controles worden door Opdrachtnemer minimaal één maal per jaar uitgevoerd en hiervan wordt een overzicht met datum en tijd van de controles en de uitvoerende functionaris(sen) bijgehouden. Van iedere controleronde wordt een Beveiligingsrapport opgesteld. Dit rapport bevat minimaal de status van (privacy) compliance gerelateerde (productie)systemen, processen en voorzieningen van Opdrachtnemer, geregistreerde (mogelijke) downtime van de technische beveiligingsmaatregelen, (niet) naleving van de organisatorische maatregelen, wat de bevindingen tot verbetering en optimalisatie zijn en wat mogelijke directe herstelacties zijn geweest.


    1. Opdrachtgever is te allen tijde gerechtigd om (privacy) compliance voorzieningen bij Opdrachtnemer in het algemeen en naleving van deze Verwerkersovereenkomst in het bijzonder, waaronder maar niet beperkt tot de door Opdrachtnemer getroffen maatregelen als in dit artikel omschreven, door een naar oordeel van Opdrachtgever onafhankelijke deskundige te laten onderzoeken. Het in artikel 2.3 genoemde Beveiligingsrapport dient op aanvraag direct ter beschikking te worden gesteld van Opdrachtgever en/of de onafhankelijke deskundige. De kosten van een externe onafhankelijke deskundige komen voor rekening van Opdrachtgever. Opdrachtnemer brengt geen kosten in rekening aan Opdrachtgever voor het faciliteren en begeleiden van het onderzoek.


    1. Indien Opdrachtnemer nalaat passende technische en organisatorische maatregelen in de zin van artikel 2.1 te nemen en betreffende maatregelen niet alsnog binnen een door Opdrachtgever gestelde termijn neemt, dan is Opdrachtgever gerechtigd die maatregelen op kosten van Opdrachtnemer te laten uitvoeren.


  1. Inschakelen derden / onder aanneming

    1. Opdrachtnemer is slechts gerechtigd bij de uitvoering van haar werkzaamheden een derde in te schakelen indien Opdrachtgever daarvoor voorafgaande schriftelijk toestemming heeft gegeven en indien voor betreffende derde bij de verwerking van de Persoonsgegevens dezelfde voorwaarden gelden als in deze overeenkomst omschreven. Met overeenstemming van Opdrachtgever schakelt Opdrachtnemer bij de uitvoering van haar werkzaamheden de in Bijlage I opgenomen subverwerker(s)/ derde(n) in.


    1. Opdrachtnemer zal bij de uitvoering van haar werkzaamheden geen derden buiten de EU inschakelen, tenzij Opdrachtgever daarvoor voorafgaande schriftelijke toestemming heeft gegeven en Opdrachtnemer garandeert dat betreffende derde een passend niveau van bescherming en veiligheid van Persoonsgegevens waarborgt in de zin van de AVG en daarvan het bewijs aan Opdrachtgever overlegt.


    1. Ongeacht het in artikel 3.1 en 3.2 bepaalde zal Opdrachtnemer een schriftelijke sub-Verwerkersovereenkomst sluiten met elke eventueel door Opdrachtgever toegestane onderaannemer (subverwerker) en daarbij de onderaannemer dezelfde verplichtingen opleggen als die op hemzelf rusten uit hoofde van deze Verwerkersovereenkomst. In aanvulling hierop zal Opdrachtnemer in de eventuele sub-Verwerkersovereenkomst de onderaannemer verbieden om (sub sub) Opdrachtnemers in te schakelen. Bedoelde sub-Verwerkersovereenkomsten worden bewaard ten kantore van Opdrachtnemer en worden digitaal en/of fysiek beschikbaar gesteld aan Opdrachtgever op eerste verzoek daartoe.


  1. Geheimhouding

    1. Opdrachtnemer is verplicht de Persoonsgegevens geheim te houden en deze niet direct of indirect ter beschikking te stellen aan derden.


    1. Opdrachtnemer zal ervoor zorgen dat die leden van het personeel en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen zich houden aan onderhavige geheimhoudingsverplichting, door hen een geheimhoudings- en integriteitsverklaring te laten ondertekenen. Bedoelde verklaringen worden in file gehouden bij Opdrachtnemer en worden digitaal en/of fysiek beschikbaar gesteld aan Opdrachtgever op eerste verzoek daartoe.


    1. Indien Opdrachtnemer een verzoek van een toezichthouder, waaronder maar niet beperkt tot de Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt, ontvangt om inzage in Persoonsgegevens of (privacy)compliance gerelateerde (productie)systemen, processen of voorzieningen te verschaffen, zal Opdrachtnemer hier uitsluitend gehoor aan geven na kennisgeving aan en onder regie van Opdrachtgever. Opdrachtnemer zal Opdrachtgever van een dergelijk verzoek per ommegaande in kennis stellen.


  1. Vernietiging en back-up

    1. Opdrachtnemer stelt alle Persoonsgegevens op eerste verzoek van Opdrachtgever, doch uiterlijk binnen tien werkdagen na het einde van deze Overeenkomst of het einde van de Opdracht, ter beschikking aan Opdrachtgever.


    1. Opdrachtnemer is verplicht de Persoonsgegevens te vernietigen conform de termijn en wijze van vernietiging uit bijlage I.


    1. Opdrachtnemer is verplicht al haar bestanden met de Persoonsgegevens onverwijld na beëindiging van deze overeenkomst en op verzoek van Opdrachtgever te vernietigen. Op eerste verzoek van Opdrachtgever toont Xxxxxxxxxxxxx aan dat dit daadwerkelijk gebeurd is. Opdrachtgever is gerechtigd de vernietiging van Persoonsgegevens door een onafhankelijke derde te laten onderzoeken en beoordelen.


    1. Opdrachtnemer dient minimaal één keer per week reservekopieën te maken van de Persoonsgegevens en dient betreffende reservekopieën buiten het pand van Opdrachtnemer of via (in de cloud ) gehoste opslag te bewaren.


    1. Opdrachtnemer dient de in bijlage I vastgestelde bewaartermijnen en wijze van verwijdering te honoreren.


  1. Informatie-uitwisseling en meldplicht datalekken

    1. Opdrachtnemer zal de Opdrachtgever informeren over feiten waarvan zij redelijkerwijze kan verwachten dat deze invloed kunnen hebben op de verwerking van Persoonsgegevens onder verantwoordelijkheid van de Opdrachtgever.

    2. Opdrachtnemer zal Opdrachtgever onmiddellijk op de hoogte stellen van ieder incident of nog niet eerder onderkend gevaar voor incidenten, waarvan voorzienbaar is dat zij de vertrouwelijkheid van de gegevensverwerking zou kunnen aantasten. Zulks mede conform de instructie in bijlage II bij deze overeenkomst.


    1. Opdrachtnemer is verplicht om Opdrachtgever actief bij te staan ingeval sprake is van een datalek en een eventuele daaruit volgende meldplicht voor Opdrachtgever aan de Autoriteit Persoonsgegevens en/of betrokkenen. Voorbeelden van datalekken zijn diefstal en verlies van Persoonsgegevens, diefstal van gegevensdragers waarop Persoonsgegevens zijn opgeslagen en/of hacking hiervan.


    1. Opdrachtnemer zal Opdrachtgever periodiek informeren in hoeverre het beveiligingsplan wordt uitgevoerd en actueel is en overleggen ter zake van eventuele noodzakelijk te achten bijstellingen.


    1. Opdrachtnemer draagt er zorg voor dat:

  1. op eerste verzoek van Opdrachtgever, Opdrachtnemer Opdrachtgever in staat stelt de kennisgevingsverplichtingen die, op grond van artikel 33 en 34 AVG (de Meldplicht Datalekken, toelichting bijgevoegd in bijlage II), op Opdrachtgever rusten na te komen, indien sprake is van een inbreuk op de beveiliging van Persoonsgegevens, zoals uiteengezet in artikel 6 van deze Verwerkersovereenkomst;

  2. Opdrachtnemer een overzicht bijhoudt van alle beveiligingsincidenten en in het bijzonder iedere inbreuk op de bescherming van de Persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, als bedoeld in artikel 33 en 34 AVG (de Meldplicht Datalekken, toelichting bijgevoegd in bijlage II).


  1. Rechten van de Betrokkene

    1. Opdrachtnemer zal rekening houdend met de aard van de verwerking passende technische en organisatorische maatregelen treffen en een medewerker aanwijzen als contactpersoon, om adequaat en in elk geval binnen een termijn van één week assistentie te kunnen verlenen aan Opdrachtgever bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de betrokkene te beantwoorden.


    1. Opdrachtnemer zal de Opdrachtgever onmiddellijk in kennis stellen indien de Opdrachtnemer een verzoek ontvangt van een betrokkene om uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de betrokkene.


    1. Opdrachtnemer zal ervoor zorgen dat Opdrachtnemer of door hem ingeschakelde sub-Opdrachtnemers niet direct reageren naar betrokkene op verzoeken als bedoeld in artikel 7.2 van deze overeenkomst, tenzij hiertoe schriftelijk instructie is afgegeven, in welk geval de Opdrachtnemer de Opdrachtgever in kennis stelt van het verzoek van betrokkene, zodat deze zelf op het verzoek van betrokkene kan reageren of aan Opdrachtnemer de instructie kan geven om op het verzoek van betrokkene te reageren en op welke wijze dat geschiedt.


  1. Gegevensbeschermingseffectbeoordeling

    1. Opdrachtnemer zal medewerking verlenen aan Opdrachtgever bij het vervullen van diens plicht om te voldoen aan artikel 35 en artikel 36 van de AVG, inzake het uitvoeren van een gegevensbeschermingseffectbeoordeling, indien dat van toepassing is.


  1. Aansprakelijkheid en vrijwaring

    1. Opdrachtnemer is aansprakelijk voor en vrijwaart Opdrachtgever voor alle boetes, lasten onder dwangsom en schade veroorzaakt door Opdrachtnemer en/of haar eventuele onderaannemers voortvloeiende uit het niet nakomen van deze overeenkomst alsmede verband houdende met overtreding door Opdrachtnemer van de AVG, CBP Richtsnoeren voor beveiliging van Persoonsgegevens, de Telecommunicatiewet en alle overige geldende (Europese) privacyregelgeving en zelfregulering.


  1. Omvang overeenkomst & recht op heronderhandeling

    1. Deze Verwerkersovereenkomst vervangt eventuele eerder gemaakte afspraken tussen Partijen over de verwerking van Persoonsgegevens en prevaleert boven afwijkende bepalingen met betrekking tot privacy-recht in de algemene voorwaarden van Opdrachtnemer en de Opdrachtovereenkomst alsmede boven afwijkende bepalingen met betrekking tot privacy-recht in overige op deze overeenkomst van toepassing zijnde overeenkomst(en) tussen Partijen. Bij tegenspraak tussen de bepalingen uit deze Verwerkersovereenkomst en eerder gemaakte afspraken over de verwerking van Persoonsgegevens en/of andere overeenkomsten waarin de verwerking van Persoonsgegevens wordt behandeld, prevaleren de bepalingen uit deze Verwerkersovereenkomst, tenzij uitdrukkelijk in deze Verwerkersovereenkomst anders is bepaald.


    1. Indien een wijziging in omstandigheden/ wet- en regelgeving daartoe gerede aanleiding geeft, is Opdrachtgever gerechtigd om deze Verwerkersovereenkomst te heronderhandelen. Indien Partijen bij de heronderhandelingen geen overeenstemming bereiken, is Opdrachtgever gerechtigd om de Opdracht te beëindigen, zonder aansprakelijk te zijn voor enige daaruit voortvloeiende schade.


    1. Opdrachtnemer stemt hierbij bij voorbaat in met wijzigingen in de Verwerkersovereenkomst die wegens gewijzigde omstandigheden noodzakelijk zijn voor naleving van de toepasselijke wet- en regelgeving, de CBP Richtsnoeren of een opvolger daarvan.


    1. Xxxxxxxxxxx van deze overeenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.


    1. Deze overeenkomst is een aanvulling op de Opdrachtovereenkomst en heeft dezelfde looptijd als de Opdrachtovereenkomst en eindigt als en indien de Opdrachtovereenkomst eindigt. De bepalingen in artikel 4 en 5 van deze overeenkomst blijven evenwel van kracht.


    1. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe is bepaald in de Opdrachtovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Opdrachtovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien :

  1. de andere partij wordt ontbonden of anderszins ophoudt te bestaan;

  2. de andere partij aantoonbaar tekort schiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende ingebrekestelling;

  3. een partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.


    1. Opdrachtnemer informeert ogenblikkelijk Opdrachtgever indien een faillissement dreigt dan wel een surséance van betaling, zodat de Opdrachtgever tijdig kan beslissen de Persoonsgegevens terug te vorderen alvorens het faillissement wordt uitgesproken.




  1. Slotbepalingen

    1. Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.


    1. Op deze overeenkomst is Nederlands recht van toepassing.




Ondertekening


Aldus overeengekomen en in tweevoud opgemaakt te [plaats] op [datum]






………………………………………… …………………………………………


door:

(voor opdrachtgever) door: (voor opdrachtnemer)


Bijlage I Verwerking, bewaartermijnen en vernietiging, beveiliging, Subverwerkers


Verwerking:

Opdrachtnemer heeft in opdracht van Opdrachtgever de volgende typen Persoonsgegevens onder handen:

  1. Voornaam en achternaam,

  2. Geslacht

  3. Adres, postcode en plaats

  4. E-mailadres

van medewerkers van [organisatienaam] met als doel, het uitvoeren van een overeenkomst tot het aanbieden van een extranet.


Bewaartermijnen en vernietiging:

Na beëindiging van de overeenkomst worden de gegevens binnen één maand volledig verwijderd.

Vernietiging: Volledige verwijdering van dedicated servers en eventueel gehoste servers, uit (interne) mailboxen, van back-up bestanden en uit het (bel)systeem van Opdrachtnemer.


Beveiligingsmaatregelen

Om toegang te verkrijgen tot deze gegevens heeft men een autorisatie-code / inlogaccount nodig. Deze worden beheerd door de eindverantwoordelijke van ‘Verantwoordelijke’.

Tevens is de online omgeving enkel via een beveiligde verbinding toegankelijk. Deze verbinding is afgeschermd d.m.v. een SSL-certificaat, waardoor alle informatie versleuteld wordt verstuurd.


Subverwerkers

Met overeenstemming van Opdrachtgever schakelt Opdrachtnemer bij de uitvoering van haar werkzaamheden de hieronder genoemde subverwerker(s)/ derde(n) in, conform artikel 3 van deze Verwerkersovereenkomst.

  1. xxx - hostingsprovider




Contactpersonen

Contactperso(o)n(en) Opdrachtgever


Naam

Telefoonnummer

Emailadres

Opmerkingen

[naam]

[tel]

[e-mail]

[note]







Contactperso(o)n(en) Opdrachtnemer


Naam

Telefoonnummer

Emailadres

Opmerkingen












Bijlage II Instructie meldplicht datalekken


Beleid beveiligingsincidenten Opdrachtgever met betrekking tot Opdrachtnemers

Wanneer Opdrachtnemer zich bewust wordt van een beveiligingsincident en/of onrechtmatige verwerking van Persoonsgegevens of een redelijk vermoeden heeft dat zo’n beveiligingsincident en/of onrechtmatige verwerking heeft plaatsgevonden of zal gaan plaatsvinden, meldt Opdrachtnemer dat onmiddellijk na het ontdekken van een beveiligingsincident en/of onrechtmatige verwerking bij Opdrachtgever zelf op xxxxxxx@xxxxxxxx.xx


Het melden van een beveiligingsincident door de Opdrachtnemer aan de Opdrachtgever


Om Opdrachtgever in staat te stellen aan de op haar rustende kennisgevingsverplichting te kunnen voldoen stelt Opdrachtnemer Opdrachtgever onmiddellijk na het ontdekken van een beveiligingsincident (maar uiterlijk binnen 24 uur na het ontdekken van het beveiligingsincident) in kennis van het beveiligingsincident. De kennisgeving aan Opdrachtgever omvat in ieder geval:


  1. de aard van het beveiligingsincident;

  2. de contactpersonen (inclusief hun exacte contactgegevens) bij Opdrachtnemer waar meer informatie over het beveiligingsincident kan worden verkregen;

  3. de door Opdrachtnemer aanbevolen maatregelen om de negatieve gevolgen van het beveiligingsincident te beperken;

  4. de geconstateerde en de vermoedelijke gevolgen van het beveiligingsincident voor de verwerking van de Persoonsgegevens en de maatregelen die de Opdrachtgever heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;

  5. het type Persoonsgegevens waar het beveiligingsincident betrekking op kan hebben;

  6. de hoeveelheid Persoonsgegevens (de omvang van de bestanden) waar het beveiligingsincident betrekking op kan hebben;

  7. de exacte datum en tijd van het beveiligingsincident.




Medewerking door de Opdrachtnemer

Met betrekking tot ieder beveiligingsincident zoals bedoeld in Artikel 6.2 van deze Verwerkersovereenkomst draagt Opdrachtnemer er zorg voor dat Opdrachtnemer alle medewerking aan Opdrachtgever verleent, die redelijkerwijs van Opdrachtnemer kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot onderzoeken van de toezichthouder


  1. om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;

  2. om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of

  3. om de schade van Opdrachtgever als gevolg van de inbreuk te beperken.


Opdrachtnemer rekent Opdrachtgever hiervoor geen extra kosten.







Paraaf Opdrachtgever: __________ Paraaf Opdrachtnemer: __________ Pagina 13 van 13

Document Metadata

Filed: May 20th, 2019