Contract

Shape1

Modelovereenkomst Gezamenlijke Verwerkingsverantwoordelijken op grond van uitvoering <naam uitvoering wettelijke regeling/Hoofdovereenkomst>



Toelichting bij Modelovereenkomst:


Titel: Hier zijn verschillende mogelijkheden. Meestal is er sprake van een gezamenlijke uitvoering van een wettelijke taak. Die samenwerking kan worden vormgegeven in een hoofdovereenkomst, een convenant, of in prestatie-, of samenwerkingsafspraken. Voor het gemak wordt hier hoofdovereenkomst gebruikt. Partijen kunnen hier een eigen keuze in maken.


Aanhef: Het kan zijn dat er meer dan twee partijen zijn. Voeg dan de naam van de partij en de vertegenwoordiger toe.


Overwegingen: het uitgangspunt is dat er een Hoofdovereenkomst aan deze overeenkomst ten grondslag ligt. In het geval er geen hoofdovereenkomst is, verwijs dan naar het document dat aan deze overeenkomst ten grondslag ligt.


1.1: De definities van art. 4 AVG hebben in deze overeenkomst dezelfde betekenis.

2.1: Het uitgangspunt is dat de overeenkomst ingaat op het moment dat de hoofdovereenkomst tot stand is gekomen. Partijen kunnen daar echter van afwijken. De ingangsdatum staat bij de ondertekening vermeld. Die datum is leidend. De ingangsdatum ligt in ieder geval voor het moment dat de verwerking, als bedoeld in artikel 3.2, wordt gestart.

4.4: In het register met verwerkers staan de verwerkers die op de ingangsdatum van de hoofdovereenkomst waren ingeschakeld. Later ingeschakelde verwerkers worden na overleg toegevoegd.

6.1 Partijen leggen in ieder geval vast voor welke verwerkingsactiviteiten zij gezamenlijk verantwoordelijk zijn. Dat doen partijen in Tabel 1. De mate van aansprakelijkheid kan vaak pas achteraf worden vastgelegd, want deze is ook afhankelijk van omstandigheden zoals een goede beveiliging, het volgen van protocollen, menselijke fouten, etc.).

7.1: Afspraken over beëindiging van deze overeenkomst horen in de Hoofdovereenkomst. Als hierover geen afspraken zijn gemaakt adviseren wij partijen om dat alsnog te doen, hetzij in de hoofdovereenkomst, of in een addendum bij de hoofdovereenkomst. In die gevallen dat er helemaal geen hoofdovereenkomst is, kunnen partijen er voor kiezen om deze afspraken te maken in een addendum bij deze overeenkomst. Partijen kunnen ook kiezen om te verwijzen naar de GIBIT 2020, of delen daarvan overnemen.

8.1 Als er geen hoofdovereenkomst is, kunnen partijen verwijzen naar een ander onderliggend document, zoals een offerte. Over de rangorde van documenten maken partijen nadere afspraken.


Ondertekening: als er meer dan twee partijen zijn, vul dit onderdeel dan aan met deze partijen.


Bijlage 1:


Tabel 1: In het eerste deel wordt ingevuld:

  • Welke verwerking: zie hiervoor: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxx-xxxxxxxxx/ Kolom ‘H’.

  • Verwerkingsdoeleinden, zie hiervoor: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxx-xxxxxxxxx/ Kolom ‘L’.

  • Categorieën van betrokkenen: dit zijn voorbeelden van categorieën van betrokkenen:

  • Aanvragers/Indieners

  • Belanghebbenden

  • Bestuurders/Raadsleden

  • Ambtenaren gemeente

  • Websitebezoekers

  • Personeel leveranciers

  • Scholieren

  • Studenten

  • Ouderen

  • Gehandicapten

  • Kinderen

  • Categorieën persoonsgegevens: dit zijn voorbeelden van persoonsgegevens:


Persoonsgegevens

Arbeidsgegevens

Functie, werktijden

Beeldmateriaal

Videomateriaal, audiomateriaal

Contactgegevens

e-mailadres, telefoonnummer, adres

Identiteitsgegevens

Identificatienr., paspoortnr., BTW nummer ZZP-er

Inloggegevens

Gebruikersnaam, wachtwoord

Internetgegevens

IP-adres, online surfgedrag, cookies

Locatiegegevens

Lengtegraad, breedtegraad

Persoonlijke gegevens

Naam, geboortedatum, geboorteplaats, geslacht, gezinssamenstelling


Bijzondere en gevoelige persoonsgegevens

Biometrische gegevens met het oog op de unieke identificatie van een persoon

BSN

Financiële gegevens

Genetische gegevens

Gezondheidsgegevens

Lidmaatschap van een vakbond

Politieke opvattingen

Ras of etnische afkomst

Religieuze of levensbeschouwelijke overtuigingen

Seksueel gedrag of seksuele gerichtheid

Strafrechtelijke persoonsgegevens



Doorgifte derde landen

Als persoonsgegevens worden doorgegeven naar (of toegankelijk zijn in) een land buiten de EER moet dat hier worden aangegeven.

Doorgifte-instrument

Als er sprake is van een verwerking buiten de EER moet aangegeven worden welk doorgifte-instrument wordt gebruikt. De doorgifte-instrumenten zijn:

  1. Adequaatheidsbesluit

  2. Specifieke uitzonderingen (art. 49).

  3. Standaard bepalingen (standard contractual clauses SCCs);

  4. Bindende bedrijfsvoorschriften (binding corporate rules, BCRs);

  5. Gedragsregels (codes of conduct;-certificationmechanisms);

  6. Ad hoc modelcontractbepalingen (ad hoc contractual clauses).


Volgens de aanbevelingen van de EDPB n.a.v. de Xxxxxxx XX uitspraak van het Hof van Justitie van de EU (Recommendations 01/2020, d.d. 10 november 2020) moeten aanvullende maatregelen genomen worden als gebruik wordt gemaakt van doorgifte-instrument 3 – 6. Zo wordt nl. een aan de AVG gelijkwaardig beschermingsniveau bewerkstelligd (zie Bijlage 2 van de EDPB aanbevelingen).



Hieronder een voorbeeld :

Naam verwerking/Welke dienst en/of product

Verwerkings-doeleinden

Categorieën van betrokkenen

(Bijzondere) persoonsgegevens

Doorgifte naar derde landen

Doorgifte instrument

Aanvullende maatregelen (indien van toepassing)

Xxxxxxsite CMS

" - identificatie binnen de applicatie - content kunnen plaatsen - registreren nieuwsbrief abonnees - reactiemogelijk op content (bv vacature)"

Gebruiker van de dienstverlening (medewerkers en inwoners)

NAW / Gebruikersnaam en wachtwoord / emailadres / telefoonnummer / pasfoto / politieke partij

Nee



Xxxform

"Benodigd om bepaalde diensten te kunnen afnemen. Bijvoorbeeld het doorgeven van een verhuizing"

Gebruiker van de dienstverlening (bezoeker website)

NAW / BSN / Overige formuliergegevens (afhankelijk van uitvraag)

Nee






Tabel 2: hier wordt ingevuld:

  • Wie zijn (ook buiten kantooruren!) de contactpersonen van de verwerkingsverantwoordelijken en de IBD.


Tabel 3: hier wordt ingevuld:

  • Indien er sprake is van verwerkers, dan vullen partijen dat hier in. Partijen zorgen ervoor dat vanaf de start van de verwerkersovereenkomst inzichtelijk is welke verwerkers zijn ingeschakeld.




Bijlage 2:

Bijlage 2 is een praktische uitwerking van artikel 32 AVG. Dus partijen geven hier aan welke passende technische en organisatorische maatregelen zij hebben genomen die een op het risico afgestemd beveiligingsniveau waarborgen. Dus de verwerker geeft aan welk normenstelsel hij voldoet, hoe de toereikendheid van de informatiebeveiliging is gewaarborgd. En in dat kader kan verwerker aangeven of hij is aangesloten bij een door de AP goedgekeurde gedragscode.


Normenstelsel: Hier wordt een keuze gemaakt voor het normenstelsel dat van toepassing is op de verwerking waarover de overeenkomst wordt afgesloten. Dit is bij voorkeur de BIO maar, indien een partij kan aantonen dat hij voldoet aan een andere vergelijkbare norm, kan die hier ook worden ingevuld om de punten 1 en 2 van deze bijlage met elkaar in één lijn te brengen.


Toereikendheid: Omdat het onder de AVG belangrijk is om te kunnen aantonen dat de verwerking voldoet aan de afgesproken eisen over een niveau van beveiliging dat past bij de verwerking, wordt hier aangegeven hoe een partij dit kan aantonen. Hierbij zijn diverse mogelijkheden aan te kruisen. Het is aan desbetreffende partij om te beoordelen of deze verantwoording voldoende is voor de betreffende verwerking en ook aan deze partij om actief te controleren of aan deze paragraaf van de bijlage gevolg wordt gegeven. Voor meer informatie over hoe je kunt bepalen of een certificaat valide is, kunt u de IBD factsheet over assurance lezen.


Verder kan een partij aangeven of deze is aangesloten bij een goedgekeurde gedragscode.




Modelovereenkomst Gezamenlijke Verwerkingsverantwoordelijken op grond van uitvoering <naam uitvoering wettelijke regeling/Hoofdovereenkomst>



Gemeente <naam gemeente>, waarvan <het college van Burgemeester en Wethouders/de Gemeenteraad> de verwerkingsverantwoordelijke is, verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door de <heer of mevrouw> <persoonsnaam>, <functie>


en


<Naam organisatie>, gevestigd te <plaatsnaam>, KVK-nummer <nummer> Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door de <de heer of mevrouw>, <persoonsnaam> , <functie>,


hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen”


Overwegen het volgende:

  1. Partijen <maak keuze: voeren op grond van <naam wettelijke regeling> taken uit of <hebben op <datum> de <titel Hoofdovereenkomst>, hierna naam Hoofdovereenkomst/, afgesloten>;

  2. Partijen zullen ter uitvoering van de hiervoor vermelde <Hoofdovereenkomst> gezamenlijk Persoonsgegevens verwerken;

  3. Op de verwerking van Persoonsgegevens door Partijen zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;

  4. Partijen zijn ieder Verwerkingsverantwoordelijke als bedoeld in artikel 4.7 AVG voor de verwerkingen die zij uitvoeren;

  5. Partijen stellen vast dat zij gezamenlijk verwerkingsverantwoordelijke zijn voor de verwerking, als bedoeld in artikel 3.2 van deze overeenkomst (hierna: Overeenkomst);

  6. Partijen willen als invulling overeenkomstig artikel 26 AVG en de UAVG de volgende afspraken over de gezamenlijke verwerking van Persoonsgegevens vastleggen in deze Overeenkomst;


Artikel 1 Definities

1.1 Begrippen uit de AVG en de UAVG die in deze Overeenkomst worden gebruikt, hebben dezelfde betekenis.

1.2 Bijlagen: aanhangsels bij deze Overeenkomst die onlosmakelijk deel uitmaken van deze Overeenkomst.


Artikel 2 Ingangsdatum en duur

2.1 Deze Overeenkomst gaat in op het moment dat de Xxxxxxxxxxxxxxxxx tot stand is gekomen, tenzij Partijen anders overeenkomen.

2.2 Deze Overeenkomst eindigt op het moment dat Partijen de verwerking van Persoonsgegevens hebben beëindigd.


Artikel 3 Onderwerp van deze Overeenkomst

3.1 Partijen verwerken de Persoonsgegevens uitsluitend voor de uitvoering van de hierboven genoemde <naam Hoofdovereenkomst>. Afwijking hiervan kan alleen als wettelijke verplichtingen of bindende uitspraken van de toezichthoudende autoriteit of een bevoegde rechter anders bepalen, of een op Partijen van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling Partijen tot verwerking verplicht. De betrokken Partij brengt de andere Partij(en) daarvan zo spoedig mogelijk op de hoogte.

3.2 Partijen vullen gezamenlijk de uit te voeren verwerkingen in tabel 1 van Bijlage 1 in.


Artikel 4 Inhoudelijke afspraken

4.1 Beveiligingsmaatregelen

Partijen zorgen ervoor dat de gemaakte afspraken ten aanzien van de passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG, in Bijlage 2 worden vastgelegd en nageleefd.

4.2 Verwerking buiten de EER

Partijen besluiten gezamenlijk over de eventuele verwerking van Persoonsgegevens buiten de Europese Economische Ruimte (hierna: EER). Partijen houden hierbij rekening met de voorwaarden van artikel 45 of 46 van de AVG. Partijen leggen een eventuele verwerking buiten de EER vast in Bijlage 1.

4.3 Geheimhouding

Personen die werken voor Partijen moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Partijen en eventueel ingeschakelde derden hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden hebben aan de geheimhouding.

4.4 Verwerkers

Partijen houden - indien van toepassing - gezamenlijk een register bij van ingeschakelde Verwerkers.

4.5 Rechten van betrokkenen

Partijen leggen in Bijlage 3 afspraken vast over hun afzonderlijke verhouding met de Betrokkenen en over de manier waarop Xxxxxxxxxxx hun rechten op grond van artikel 12 tot en met 22 AVG kunnen uitoefenen. Partijen dragen gezamenlijk zorg voor de bekendmaking van Bijlage 3. Op deze manier moet voor Betrokkenen duidelijk zijn waar zij hun rechten kunnen uitoefenen.

4.6 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Partijen bepalen gezamenlijk of een gegevensbeschermingseffectbeoordeling (DPIA) en/of een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG noodzakelijk zijn (is).


Artikel 5 Inbreuk in verband met Persoonsgegevens

5.1 Partijen maken in Bijlage 4 nadere afspraken over hoe zij omgaan met Inbreuken, waaronder in ieder geval welke Partij de melding doet bij de toezichthoudende autoriteit en/of de Betrokkene(n).


Artikel 6 Aansprakelijkheid

6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van de aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst. Partijen regelen de aansprakelijkheid in de hoofdovereenkomst.


Artikel 7 Beëindigen Overeenkomst

7.1 Partijen maken afspraken over de beëindiging van de gezamenlijke verwerking van Persoonsgegevens.

7.2 De geheimhouding geldt ook nog na beëindiging van deze Overeenkomst.


Artikel 8 Overige bepalingen

8.1 Deze Overeenkomst maakt onlosmakelijk deel uit van de Hoofdovereenkomst.

8.2 Partijen maken afspraken over regulier overleg waarin onder andere eventuele wijzigingen in de verwerkingen worden besproken die leiden tot wijziging van de Bijlagen.




Ondertekening

Aldus overeengekomen en ondertekend,


Ingangsdatum: <……………>



Gemeente <naam gemeente> <Naam organisatie>

namens deze: <naam, functie> namens deze: <naam, functie>



plaats: <……………..> plaats: <………………………>



datum: <………………….> datum: <…………………….>

Bijlage 1: Overzicht van te verwerken Persoonsgegevens



  1. Partij vullen gezamenlijk Bijlage 1 in voor de verwerkingen die voortvloeien uit de Hoofdovereenkomst.



Naam verwerking (begin en eind), doeleinden, categorieën van betrokkenen, soort persoonsgegevens en eventuele doorgifte naar derde landen.

Naam verwerking

Verwerkings-doeleinden

Grondslag

Categorieën van Betrokkenen

Categorieën Persoonsgegevens (waaronder bijzondere persoonsgegevens)

Doorgifte naar derde landen

Doorgifte-instrument

Aanvullende maatregelen (indien van toepassing)














2. Contactgegevens <naam Partij>

Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren)

Naam:

Contactgegevens:

Functionaris Gegevensbescherming

Contactgegevens:




Contactgegevens <naam Partij>


Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren)

Naam:

Contactgegevens:

Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren)

Naam:

Contactgegevens:

Functionaris Gegevensbescherming

Contactgegevens:


NB: Eventuele wijzigingen in bovenstaande tabellen leggen Partijen vast in deze tabellen en geven zij op korte termijn aan elkaar door.


  1. Ingeschakelde verwerkers

Naam en contactgegevens verwerker

KvK-nummer

Uitbestede verwerkingen

Toepassing



















Bijlage 2: Aantonen passend niveau van beveiliging


NB: Partijen vullen gezamenlijk Bijlage 2 in.

Partijen werken volgens een algemeen erkende overheidsnorm zoals de BIO, of vergelijkbaar, te weten: ……………………………………………………………………………………………………..,


Partijen werken volgens een algemeen erkende norm voor informatiebeveiliging, te weten:

………………………………………….. (vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS) en is volgens deze norm wel/niet gecertificeerd.


Partijen werken volgens een andere norm, te weten: ……………………………………………………………………………………..


Toereikendheid

De toereikendheid van de informatiebeveiliging blijkt uit het volgende:


  • Certificering en verklaring van toepasselijkheid (VVT);

  • Rapportages van periodieke externe controles zoals audits, pentesten of TPM’s (bijv. ISAE3xxx SOC type II);

  • Een assurance rapport (TPM) van een auditor die is aangesloten bij NOREA;

  • Eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven (in lijn met de aanpak uit hoofdstuk 4.4 uit de BIO, een ICV): ……………………………………………………………………………………………


NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in Bijlage 1.



Aansluiting bij goedgekeurde gedragscode

    • Partijen zijn aangesloten bij een door een toezichthoudende autoriteit goedgekeurde gedragscode, te weten ………………………………………………………………………………………………………………….









Bijlage 3: Afspraken afhandeling verzoeken van Betrokken


Partijen leggen hier in ieder geval het volgende vast:

  • Wat hun afzonderlijke verhouding met de Betrokkenen is;

  • Hoe en bij welke partij Betrokkenen hun rechten op grond van artikel 12 tot en met 22 AVG kunnen uitoefenen;

  • Dat de ontvangende van een verzoek op grond van artikel 12 t/m 22 AVG het verzoek z.s.m. naar de juiste partij doorstuurt als een betrokkene een verzoek bij de verkeerde partij indient;

  • Dat partijen elkaar - indien noodzakelijk – helpen bij de afhandeling van verzoeken op grond van artikel 12 t/m 22 AVG;

  • Hoe Partijen de gemaakte afspraken bekend gaan maken.





Bijlage 4: Inbreuken



Partijen leggen hier in ieder geval het volgende vast:

  • Hoe informeren Partijen elkaar over een Inbreuk (tijdigheid, op welke manier);

  • Wat is de uiterste termijn om elkaar te informeren over een inbreuk;

  • Welke partij doet een eventuele melding bij de toezichthoudende autoriteit en/of de Betrokkene(n).

10


Document Metadata

Filed: May 31st, 2021