VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Partijen
[verwerkingsverantwoordelijke], hierna te noemen verwerkingsverantwoordelijke, en
[verwerker], hierna te noemen verwerker, overwegende dat:
1. verwerkingsverantwoordelijke de uitvoering van haar wettelijke taken heeft uitbesteed aan verwerker
2. verwerker is aan te merken als verwerker in de zin van de Algemene verordening gegevensbescherming (AVG) en verwerkingsverantwoordelijke is aan te merken als verwerkingsverantwoordelijke in de zin van de AVG, aangezien eerstgenoemde ten behoeve van laatstgenoemde gegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en deze verwerkingsverantwoordelijke het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt
3. verwerker op grond van zijn dienstverlening aan verwerkingsverantwoordelijke persoonsgegevens verwerkt
4. de AGV de verwerkingsverantwoordelijke in de zin van die wet verplicht een verwerkersovereenkomst te sluiten met een verwerker
5. zowel verwerkingsverantwoordelijke als verwerker groot belang hechten aan het beschermen van de privacy
6. de gegevens die door de verwerkingsverantwoordelijke aan de verwerker worden verstrekt privacygevoelig zijn
7. de AVG aan de verwerkingsverantwoordelijke de plicht oplegt om er zorg voor te dragen dat de verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen
8. de AVG daarnaast aan de verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen
verklaren te zijn overeengekomen als volgt:
Artikel 1: Opvolgen van opdracht en instructies door verwerker
1. De verwerker verwerkt de persoonsgegevens slechts in opdracht van de verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
2. De verwerker verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid.
3. Onder het verwerken van gegevens wordt tevens verstaan het ontvangen van gegevens van het Uitvoeringsinstituut werknemersverzekeringen (UWV) ten behoeve van de uitvoering van de wettelijke taken.
4. De verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Zo neemt hij geen beslissingen over de ontvangst en het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt nimmer bij de verwerker te berusten.
5. Naast de verplichting van de verwerker om de instructies van de verwerkingsverantwoordelijke te volgen, dient hij ook zorg te dragen voor de naleving van de voorwaarden die – met name op grond van de AVG - worden gesteld aan het verwerken van persoonsgegevens.
Artikel 2: Ondertekenen overeenkomsten
Overeenkomsten betreffende levering van gegevens door UWV ten behoeve van de uitvoering van de wettelijke taken worden gesloten en ondertekend door de verantwoordelijke en UWV.
Artikel 3: Geheimhoudingsplicht
Eenieder die betrokken is bij de uitvoering van deze overeenkomst en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan, behoudens voor zover enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van deze regeling de noodzaak tot bekendmaking voortvloeit.
Artikel 4: Beveiligingsmaatregelen en melding incidenten
• De verwerker neemt alle passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau gelet op de aard van de persoonsgegevens die de verwerker verwerkt. Deze maatregelen hebben in ieder geval betrekking op:
• continuïteitsbeheer: verlies en/of beschadiging door brand, water, straling, lucht verontreiniging en/of andere calamiteiten;
• transport van de persoonsgegevens;
• fysieke beveiliging en beveiliging van apparatuur;
• toegangsbeveiliging;
• beveiligingsmaatregelen in toepassingssystemen;
• logging en controle;
• beheer van technische kwetsbaarheden;
• incidentenbeheer;
• afhandeling van datalekken en beveiligingsincidenten;
• waarborgen zodat bij verlies en/of beschadiging van de persoonsgegevens herstel kan plaatsvinden.
• De verwerker is verplicht om alle al dan niet op dat moment nog beheersbare incidenten onverwijld aan de verwerkingsverantwoordelijke mee te delen. Onder een incident wordt in ieder geval verstaan een inbreuk op de beveiliging van persoonsgegevens.
• De verwerker betracht transparantie over opgetreden beveiligingsincidenten. De verwerker rapporteert beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen onverwijld. De verwerker werkt waar nodig ook mee aan het adequaat informeren van betrokkenen.
Artikel 5: Verantwoordingsplicht
1. De verwerker voorziet de verwerkingsverantwoordelijke van de noodzakelijke informatie waardoor UWV een oordeel kan vormen over de naleving van deze overeenkomst door de verwerker.
2. De verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op de naleving van deze overeenkomst.
Artikel 6: Medewerkers van de verwerker
De verplichtingen van de verwerker die uit deze overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van de verwerker.
Artikel 7: Aansprakelijkheid
Indien de verwerker schade veroorzaakt door het niet naleven van de afspraken in deze overeenkomst, de wettelijke regels en voorschriften op het gebied van bescherming van persoonsgegevens of het beveiligingsbeleid, is de verwerker voor deze schade aansprakelijk.
Artikel 8: (Gedeeltelijke) opzegging, beëindiging overeenkomst
1. Elk van de partijen is gerechtigd de overeenkomst met inachtneming van een opzegtermijn van drie maanden schriftelijk op te zeggen.
2. De verwerkingsverantwoordelijke is gerechtigd de overeenkomst met onmiddellijke ingang op te zeggen ingeval de verwerker zich niet houdt aan de in deze overeenkomst aangegane verplichtingen.
3. Elk van de partijen is gerechtigd de overeenkomst met onmiddellijke ingang te beëindigen in geval van overmacht, waaronder mede wordt begrepen een zodanige wijziging van de wettelijke regels dat een verdere voortzetting van de overeenkomst niet kan worden verlangd.
4. Bij het beëindigen van de overeenkomst met onmiddellijke ingang wordt in de brief de reden van beëindiging vermeld.
Artikel 9: De overeenkomst
1. Deze overeenkomst treedt in werking op [datum].
2. De overeenkomst wordt aangegaan voor de periode dat de verwerker de wettelijke taken voor de verwerkingsverantwoordelijke uitvoert.
3. Deze overeenkomst kan slechts met instemming van partijen worden gewijzigd en heeft eerst werking tussen partijen indien de overeenkomst schriftelijk tussen partijen is overeengekomen.
4. Zodra de samenwerking is beëindigd, vernietigt de verwerker de persoonsgegevens die hij van de verwerkingsverantwoordelijke heeft ontvangen, tenzij partijen iets anders overeenkomen.
Aldus in tweevoud overeengekomen te
Plaats en datum: Plaats en datum:
Handtekening verwerkingsverantwoordelijke: Handtekening verwerker:
Naam en functie: Naam en functie: