Verwerkersovereenkomst

Verwerkersovereenkomst

Partijen:

A (Verwerkingsverantwoordelijke) Naam: <klant / opdrachtgever> Rechtsgeldig vertegenwoordigd door:

Contactgegevens (email, telefoon):

B (Verwerker)

Naam: DataRun, kvk 74157183

Rechtsgeldig vertegenwoordigd door: Xxxxxx Xxxxxxx Contactgegevens (email, telefoon):xxxx@xxxxxxx.xx, 06-54358827

Algemene omschrijving:

Partij A beschikt als Verwerkingsverantwoordelijke over persoonsgegevens en laat deze door Verwerker verwerken. Het onderwerp van de verwerking is (bijv productnaam of dienstnaam): @@

Het doel van de verwerking is (verlenen dienst, opsporen fraude, uitbetalen salaris): @@

De categorie betrokkenen / de groep mensen over wie de gegevens gaan is: @@ (klanten, kandidaten, gebruikers, leerlingen,…)

De soort gegevens die worden gedeeld (weghalen wat niet van toepassing is, toevoegen extra info, en uitsplitsen naar categorie betrokkenen als er meerdere categorieën betrokkenen zijn):

Voornaam Achternaam Adres en woonplaats Telefoonnummer Email

Geboortedatum IP-adres

MAC-adres Browser type

Tijdstippen useractiviteit Studie/testresultaten Bestellingen / opdrachten @@

De duur van de verwerking begint op @@ Deze eindigt op @@

Overeengekomen punten:

Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De verwerker zal zich in ieder geval houden aan de volgende punten:

1. De verwerking vindt uitsluitend plaats op basis van de schriftelijke instructies van Verwerkingsverantwoordelijke.

2. De verwerker zal de persoonsgegevens niet voor eigen doeleinden gebruiken.

3. Personen in dienst van of werkzaam voor de verwerker die in aanraking komen met de betreffende gegevens hebben een geheimhoudingsplicht.

4. Xxxxxxxxx neemt passende technische en organisatorische maatregelen zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen zijn gewaarborgd. (zie laatste sectie)

5. De verwerker schakelt geen Subverwerker(s) in zonder voorafgaande schriftelijke toestemming van / of overeenkomst met Verwerkingsverantwoordelijke.

6. De verwerker legt aan een Subverwerker in een Subverwerkersovereenkomst minimaal dezelfde verplichtingen vast als in deze overeenkomst.

7. Bij het niet nakomen van de verplichtingen van de subverwerker, is de verwerker nog steeds aansprakelijk voor het nakomen van verplichtingen aan Verwerkingsverantwoordelijke

8. De verwerker helpt om te voldoen aan de plichten van Verwerkingsverantwoordelijke als Betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). De verwerker brengt hier niet meer dan redelijke kosten voor in rekening (max. € 100,- per uur voor alleen directe uren)

9. De verwerker helpt mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat verwerker mogelijke datalekken direct, en in ieder geval binnen 24 uur, meldt aan Verwerkingsverantwoordelijke en meewerkt aan onderzoek/analyse. De Verwerker mag een datalek niet melden aan de AP, dit doet de Verwerkingsverantwoordelijke. De verwerker brengt voor afhandeling mogelijke datalekken ontstaan bij verwerker geen kosten in rekening.

10. De verwerker helpt mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment. ). De verwerker brengt hier niet meer dan redelijke kosten voor in rekening (max. € 100,- per uur voor alleen directe uren).

11. De verwerker werkt mee aan audits door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke ingeschakelde derde partij. Verwerker stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen

12. Na afloop van de verwerkingsdiensten verwijdert de Verwerker de gegevens (of retourneert aan Verwerkingsverantwoordelijke), tenzij men wettelijk verplicht is deze te bewaren. Dit gebeurt zo snel mogelijk maar in ieder geval binnen vier weken na afloop van de verwerkingsdiensten of de termijn van de bewaarplicht.

13. De Verwerker mag de gegevens alleen verwerken in landen binnen de Europese Economische Ruimte, of landen waarvoor een adequaatheidsbesluit bestaat, tenzij schriftelijk anders overeengekomen.

Overzicht beveiligingsmaatregelen

De verwerker past minimaal de volgende beveiligingsmaatregelen toe:

@@ (Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten, het hebben van een informatiebeveiligingsbelied opgezet volgens ISO 27001)

Aldus getekend:

Verwerkingsverantwoordelijke:
Naam:
Plaats, Datum: Verwerker:
Naam:
Plaats, Datum:

Achtergrondinformatie bij template

Dit template is opgesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens, om te voldoen aan de AVG / GDPR. Een verwerkersovereenkomst moet gesloten worden tussen alle opdrachtgevers en leveranciers die persoonsgegevens uitwisselen.

Aan dit template hebben bijgedragen: Xxxxxxxx xxx Xxxxxxxx en Xxxxx Xxxxxxx van xxx.xxxxxxxxxxxx.xx en Xxxx Xxxxxxx (xxxxx://xxxxxxxxxxxxxxxxxx.xx).

De Autoriteit Persoonsgegeven is de leidende toezichthouder voor GDPR in Nederland. Deze heeft het volgende gepubliceerd over de verwerkersovereenkomst. Hier is dit template op gebaseerd.

Bron: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxx-xxxxxx-xxxxxxxx- privacywetgeving/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst- staan-6344

Voor achtergrondinformatie, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxx-xxx-xx-00-xxxxxxx/ Voor meer informatie over melden datalekken, zie:

xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx/ Voor meer informatie over rechten van betrokkenen, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxx-xxx-xxxxxxxxxxx/

Citaat:

Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

U moet de volgende onderwerpen vastleggen:

Algemene beschrijving

Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als Verwerkingsverantwoordelijke

Instructies verwerking

De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht

Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging

De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Subverwerkers

De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

Privacyrechten

De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen

De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Gegevens verwijderen

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits

De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).