VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

De ondergetekenden:

1. Van den Berg Verzekeringen BV
   

gevestigd te Hierden

aan Xxxxxxxxxxxxxxxxxx 000x

ingeschreven in de Kamer van Koophandel onder nummer 08084408, hierbij rechtsgeldig vertegenwoordigd door H.A. xxx Xxx hierna ook “Verwerkingsverantwoordelijke”,

e

Instructie:

- < OF >: bij artikelen waar < OF > staat, dient een keuze gemaakt te worden tussen verschillende mogelijkheden.

- < OPTIONEEL>: voor zover een bepaling optioneel is, staat dit aangegeven in de tekst.

N.B. Bij gebruik van de Verwerkersovereenkomst, deze instructie verwijderen.

n

2. [• kantoornaam]
   

gevestigd te [• plaatsnaam ]

aan [• adres ]

ingeschreven in de Kamer van Koophandel onder nummer [• volledige nummer ]
hierbij rechtsgeldig vertegenwoordigd door [• naam ]
hierna ook hierna ook “Verwerker”,

De Verwerkingsverantwoordelijke en de Verwerker hierna gezamenlijk te noemen Partijen en ieder voor zich Partij;

Nemen het volgende in aanmerking:

• Partijen zijn een Overeenkomst aangegaan in het kader waarvan Persoonsgegevens van derden door Verwerker (kunnen) worden verwerkt;

• De Verwerker zal in het kader van de Overeenkomst ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerken, waarbij Verwerkingsverantwoordelijke te beschouwen is als “verwerkingsverantwoordelijke”, en Verwerker als “verwerker”, zoals bedoeld in de Algemene Verordening Gegevensbescherming;

• Partijen zullen beiden voldoen aan de verplichtingen uit de Algemene Verordening Gegevensbescherming en nationale wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens;

• De Verwerker zal ten behoeve van de Verwerkingsverantwoordelijke waarborgen bieden ten aanzien van het naleven van deze regelgeving ten aanzien van de bescherming van Persoonsgegevens, waaronder ook het bieden van passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd adequaat beveiligingsniveau te garanderen;

• Partijen leggen in deze Overeenkomst de afspraken vast die gelden voor het verwerken van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke;

Verklaren het volgende te zijn overeengekomen:

Artikel 1: Definities en uitgangspunten

1. In deze Verwerkersovereenkomst worden de volgende definities gehanteerd:

AVG	de Algemene Verordening Gegevensbescherming en overige (nationale) wet­ en regelgeving met betrekking tot de bescherming van Persoonsgegevens;
Betrokkene	een natuurlijk persoon van wie de Persoonsgegevens worden verwerkt door Verwerkingsverantwoordelijke en Verwerker, zoals nader beschreven in Bijlage 1;
Datalek	een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, die een risico inhoudt op de rechten en vrijheden van Betrokkene;
Overeenkomst	de overeenkomst tussen partijen van
	betreffende [•] ;
Persoonsgegevens	de (categorieën van) persoonsgegevens met betrekking tot Xxxxxxxxxxx, zoals nader beschreven in Bijlage 1;
Sub­verwerker	de derde partij die in opdracht van Verwerker de Persoonsgegevens zal verwerken;
Verwerken	elke handeling met betrekking tot Persoonsgegevens, waaronder in ieder geval het vastleggen, ordenen, opslaan, bijwerken, actualiseren, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, met elkaar in verband brengen, uitwisselen, wissen, vernietigen of beperken;
Verwerkersovereenkomst	deze overeenkomst.

Artikel 2: Reikwijdte van deze overeenkomst

1. Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve en in opdracht van Verwerkingsverantwoordelijke en steeds in overeenstemming met de bepalingen van de Verwerkersovereenkomst, dan wel met overige schriftelijke instructies van Verwerkingsverantwoordelijke.

2. Indien Verwerker op enig moment van mening is dat een bepaling uit deze Verwerkersovereenkomst of een schriftelijke instructie van Verwerkingsverantwoordelijke zich niet of niet volledig verhoudt met de AVG, dan informeert Verwerker de Verwerkingsverantwoordelijke daar direct over. Partijen overleggen alsdan over de mogelijke gevolgen en de voortgang van de Verwerkersovereenkomst.

3. Verwerker zal de Persoonsgegevens van Betrokkenen alleen verwerken ten behoeve van de verwerkingsdoeleinden, zoals allen beschreven in Bijlage 1. De verwerkingsdoeleinden zijn vastgesteld door Verwerkingsverantwoordelijke.

4. Eventuele (intellectuele) eigendomsrechten met betrekking tot de Persoonsgegevens of de dragers waarop deze zijn opgeslagen, blijven uitsluitend voorbehouden aan Verwerkingsverantwoordelijke.

Artikel 3: Algemene verplichtingen Verwerker

1. Verwerker verplicht zich om alle instructies van Verwerkingsverantwoordelijke op te volgen ten aanzien van de verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst.
   
   
   

2. Verwerker zal zich houden aan de verplichtingen op grond van de AVG en alle overige toepasselijke wet- en regelgeving en gedragscodes betreffende de bescherming en beveiliging van persoonsgegevens, zoals die van tijd tot tijd zullen gelden. Verwerker verklaart met deze regelgeving bekend te zijn en zich tijdig van eventuele wijzigingen daarvan op de hoogte te zullen houden. Zo nodig kan Verwerkingsverantwoordelijke dienaangaande instructies uitvaardigen aan Verwerker.
   

3. Verwerker zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze in overeenstemming met de AVG Verwerken.

4. Verwerker instrueert medewerkers, Sub-verwerkers en overige derden die werkzaamheden verrichten in het kader van de uitvoering van de Overeenkomst, opdat zij niet in strijd handelen met deze Verwerkersovereenkomst. Verwerker draagt hiervoor de verantwoordelijkheid.
   
   
   

5. Het is Verwerker niet toegestaan om de Persoonsgegevens voor eigen doeleinden of enig ander doel dan de in deze Verwerkersovereenkomst genoemde verwerkingsdoeleinden te verwerken en/of aan derden te verstrekken.
   
   
   

6. Verwerker voorziet Verwerkingsverantwoordelijke op eerste verzoek van redelijkerwijze noodzakelijke informatie, op basis waarvan de Verwerkingsverantwoordelijke zich een oordeel kan vormen over de naleving van deze Verwerkersovereenkomst door Verwerker. Verwerker licht op eerste verzoek van Verwerkingsverantwoordelijke de opzet en werking toe van het stelsel aan maatregelen en procedures, dat dient tot naleving van deze Verwerkersovereenkomst.
   
   
   

7. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke toegang verlenen aan Verwerkingsverantwoordelijke tot de Persoonsgegevens, dan wel de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking stellen op een wijze die door Verwerkingsverantwoordelijke zal worden bepaald.
   

8. Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren over enig verzoek of onderzoek van de Autoriteit Persoonsgegevens of enige overheids- of gerechtelijke of toezichthoudende instantie met betrekking tot de verstrekking of verwerking van de Persoonsgegevens.

Artikel 4: Sub-verwerkers en doorgifte

1. Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de Verwerkersovereenkomst uitsluitend Sub-verwerkers inschakelen, indien Verwerkingsverantwoordelijke daaraan uitdrukkelijk vooraf schriftelijk toestemming heeft gegeven. Verwerkingsverantwoordelijke kan deze toestemming niet zonder redelijke grond weigeren.

< OF >

4.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de Verwerkersovereenkomst uitsluitend Sub-verwerkers inschakelen, indien Verwerkingsverantwoordelijke daaraan uitdrukkelijk vooraf schriftelijk toestemming heeft gegeven. Verwerkingsverantwoordelijke kan steeds eisen stellen aan de Sub-verwerker of de aard van de door de Sub-verwerker te verrichten verwerking van Persoonsgegevens.

< OF >

4.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de Verwerkersovereenkomst Sub-verwerkers inschakelen. Verwerkingsverantwoordelijke verleent hierbij zijn algemene toestemming voor de toevoeging of vervanging van een Sub-verwerker door Verwerker. Verwerkingsverantwoordelijke en Verwerker kunnen voorwaarden overeenkomen voor inschakeling van een Sub-verwerker.

2. Indien (een deel van) de verwerking van de Persoonsgegevens wordt uitbesteed aan een Sub­verwerker, is Verwerker jegens Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de uitvoering door Sub-verwerker conform de plichten die uit hoofde van deze Verwerkersovereenkomst op Verwerker rusten. Verwerker staat er jegens Verwerkingsverantwoordelijke voor in dat de verwerking van de Persoonsgegevens door een Sub-verwerker slechts plaatsvindt binnen de reikwijdte van deze Verwerkersovereenkomst.
   
   
   

3. Verwerker en eventuele Sub-verwerkers zullen Persoonsgegevens niet verwerken in of doorgeven aan derde landen of doorgeven aan internationale organisaties, een en ander zoals bedoeld in de AVG, tenzij daarover voorafgaand schriftelijke afspraken zijn gemaakt tussen Partijen. Verwerker dient instructies van Verwerkingsverantwoordelijke met betrekking tot het verwerken of doorgeven van Persoonsgegevens in derde landen of aan internationale organisaties strikt op te volgen.
   
   
   

4. Verwerker zorgt ervoor dat aan Sub-verwerkersdoor middel van een schriftelijke verwerkersovereenkomst tenminste dezelfde verantwoordelijkheden en verplichtingen worden opgelegd als die aan Verwerker zijn opgelegd in deze Verwerkersovereenkomst.

Artikel 5: Geheimhouding

1. Verwerker mag geen Persoonsgegevens aan derden kenbaar maken of derden daartoe toegang geven, tenzij Verwerkingsverantwoordelijke daar vooraf uitdrukkelijk schriftelijk toestemming voor heeft gegeven. Onder derden wordt ook personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de Overeenkomst kennisneemt van de Persoonsgegevens. Deze geheimhoudingsplicht blijft onverminderd van kracht na het einde van deze Verwerkersovereenkomst.
   
   
   

2. Verwerker verplicht zich om medewerkers en Sub-­verwerkers, of overige derden die werkzaamheden verrichten in het kader van de uitvoering van de Overeenkomst, bekend te maken met de inhoud van de Verwerkersovereenkomst en hen schriftelijk te conformeren aan de verplichtingen uit de Verwerkersovereenkomst ten aanzien maar niet beperkt tot onder meer het geheimhouden en vertrouwelijk behandelen van Persoonsgegevens als bedoeld in dit artikel.

Artikel 6: Beveiliging

1. Verwerker zal uit eigen beweging zodanige technische en organisatorische beveiligingsmaatregelen treffen en aanhouden dat de Persoonsgegevens adequaat beveiligd zijn tegen verlies of enige vorm van onzorgvuldige, ondeskundige of onrechtmatige verwerking en dat ten aanzien van de Persoonsgegevens steeds sprake is van een adequate bescherming die, gelet op de stand van de techniek, passend is. Verwerker zal zich er daarbij voor inspannen dat de beveiligingsmaatregelen minimaal het niveau hebben dat gebruikelijk is in de branche waarin Verwerker werkzaam is. Verwerker zal periodiek (door middel van audits of certificering) aantonen dat aan de overeengekomen beveiligingsmaatregelen is voldaan.

2. Verwerker treft in ieder geval de in Bijlage 2 opgenomen beveiligingsmaatregelen.

3. Partijen evalueren periodiek de in dit artikel en in Bijlage 2 genoemde maatregelen. Zodra Verwerkingsverantwoordelijke ten aanzien van de beveiliging van de Persoonsgegevens nieuwe of gewijzigde afspraken wenselijk acht, dan treden partijen hierover in overleg. Verwerker is verplicht nieuwe of aanvullende beveiligingsmaatregelen te treffen, indien dat redelijkerwijze nodig is om een adequaat niveau van bescherming blijvend te garanderen.

Artikel 7: Controle

1. Verwerker stelt Verwerkingsverantwoordelijke en eventueel door Verwerkingsverantwoordelijke aangewezen derden (auditors) in staat om op verzoek van Verwerkingsverantwoordelijke binnen een redelijke termijn de naleving door Verwerker van deze Verwerkersovereenkomst te (laten) controleren.

< OPTIONEEL >

7.1 De Verwerker zal hieraan de redelijkerwijze benodigde medewerking verlenen en alle voor de (uitvoering van de) controle relevante informatie tijdig, maar in ieder geval uiterlijk een week, voor aanvang van de controle ter beschikking stellen.

2. De Verwerkingsverantwoordelijke en eventueel door de Verwerkingsverantwoordelijke aangewezen derden (auditors) zullen zich conformeren aan de op enig moment geldende beveiligingsmaatregelen van Verwerker en zullen geheimhouding betrachten met betrekking tot de informatie die hen bekend wordt van Verwerker tijdens de controle. Indien gewenst zullen Verwerkingsverantwoordelijke en door deze aangewezen derden een geheimhoudingsverklaring ondertekenen.

3. De kosten voor een door Verwerkingsverantwoordelijke geïnitieerde controle als beschreven in dit artikel komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat Verwerker aantoonbaar in strijd handelt of heeft gehandeld met de Verwerkersovereenkomst. Verwerkingsverantwoordelijke kan de kosten van de controle in zo’n geval (deels) verhalen op Verwerker.

4. Verwerker verstrekt jaarlijks, dan wel op eerste verzoek van Verwerkingsverantwoordelijke, een rapportage aan Verwerkingsverantwoordelijke waarin Verwerker informatie verstrekt over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 6 en Bijlage 2, alsmede over datalekken en mogelijke beveiligingsrisico’s ten aanzien van de Persoonsgegevens.

Artikel 8: Datalek

1. Verwerker richt haar beveiligingsmaatregelen en organisatie zodanig in, dan zij steeds in staat is om een Datalek te signaleren.
   
   
   

2. Zodra Verwerker kennisneemt van een Datalek, van welke aard dan ook, stelt Verwerker Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging (d.w.z. maar in ieder geval zo mogelijk binnen 24 uur) op de hoogte.

3. Verwerker verstrekt daarbij in ieder geval de volgende informatie:

• de aard en omvang van het Datalek en de feitelijke toedracht voor zover bekend of vermoed;

• het tijdstip van het Datalek en het tijdstip van vaststelling ervan;

• of het Datalek bij Verwerker heeft plaatsgevonden of bij een derde;

• de (mogelijk) getroffen (categorieën van) Persoonsgegevens en de mogelijke ontvangers van de Persoonsgegevens;

• de vastgestelde en te verwachten gevolgen van het voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen; en

• de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van het Datalek te verhelpen of beperken en herhaling daarvan te voorkomen.

4. Verwerker verleent op verzoek van Verwerkingsverantwoordelijke de gevraagde medewerking die Verwerkingsverantwoordelijke nodig acht voor de beoordeling en afhandeling van het Datalek c.q. het melden bij de Autoriteit Persoonsgegevens en/of de betrokkenen. Verwerker zal een dergelijke melding van een Datalek nimmer zelfstandig doen zonder uitdrukkelijke voorafgaande toestemming van Verwerkingsverantwoordelijke.

5. Verwerker zal Verwerkingsverantwoordelijke steeds van eventuele nieuwe ontwikkelingen omtrent een Datalek op de hoogte stellen en informeren. Voorts zal Verwerker zich steeds beschikbaar houden voor overleg.

Artikel 9: Aansprakelijkheid

1. Verwerker is aansprakelijk voor alle schade die voor Verwerkingsverantwoordelijke voortvloeit uit een aan Verwerker en/of Sub­verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens of niet-nakoming van verplichtingen ingevolge deze Verwerkersovereenkomst.

< OPTIONEEL>:

2. Verwerker zal Verwerkingsverantwoordelijke vrijwaren van enige boete of schade die door Verwerkingsverantwoordelijke verschuldigd of geleden wordt als gevolg van toerekenbare niet­nakoming door Verwerker van deze Verwerkersovereenkomst of als gevolg van toerekenbare niet­nakoming van de AVG.

Artikel 10: Rechten van betrokkenen

1. Verzoeken van Betrokkenen in verband met het recht op inzage, rectificatie, wissen, beperken van de verwerking over overdracht met betrekking tot de Persoonsgegevens van Betrokkenen zullen door Verwerker onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijk verzoek, worden doorgestuurd aan Verwerkingsverantwoordelijke. Tenzij Partijen anders overeenkomen worden verzoeken van Betrokkenen door Verwerkingsverantwoordelijke afgehandeld.

2. Verwerker zal aan Verwerkingsverantwoordelijke voor zover mogelijk ondersteuning bieden om uitvoering te geven aan rechtmatige verzoeken van Betrokkenen, voor zover (wettelijk) is toegestaan en voor zover Verwerkingsverantwoordelijke geen (directe) toegang heeft tot de Persoonsgegevens.

3. Indien Verwerker een klacht ontvangt van een Betrokkene over de wijze waarop de Persoonsgegevens door haar worden verwerkt, dan informeert Verwerker de Verwerkingsverantwoordelijke daar onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijke klacht, over. Tenzij anders overeengekomen, wordt een klacht afgehandeld door de Verwerkingsverantwoordelijke. Verwerker zal aan Verwerkingsverantwoordelijke alle redelijke en benodigde medewerking verlenen in verband met de afhandeling van een klacht van een Betrokkene.

Artikel 11: Omgang met Persoonsgegevens bij beëindiging Overeenkomst

1. Bij beëindiging van de Overeenkomst, ongeacht de grond of reden daarvan zal Verwerker binnen 10 werkdagen, dan wel op eerste verzoek van Verwerkingsverantwoordelijke:

• aan Verwerkingsverantwoordelijke alle Persoonsgegevens ter beschikking stellen; partijen kunnen aanvullend afspraken maken over het format dat door Verwerkingsverantwoordelijke is gewenst;

• onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden;

• ervoor zorg dragen dat eventuele Sub-verwerkersonmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden;

• alle documenten waarin Persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen;

• alle Persoonsgegevens die elektronisch zijn opgeslagen permanent verwijderen of, voor zover permanente verwijdering van de gegevensdrager redelijkerwijze niet mogelijk is, de Persoonsgegevens of gegevensdrager vernietigen; en

• desgevraagd schriftelijk aan Verwerkingsverantwoordelijke bevestigen dat aan alle verplichtingen uit hoofde van dit artikel is voldaan.

2. Voor eventuele werkzaamheden verbonden aan de onderdelen zoals beschreven in lid 1 zal Verwerker geen kosten in rekening brengen.

3. Het risico dat Persoonsgegevens in afwijking van het hiervoor bepaalde niet worden teruggeven, vernietigd of verwijderd, blijft bij Verwerker en Verwerker blijft in dat geval onverminderd gebonden aan alle afspraken uit deze Verwerkersovereenkomst ten aanzien van de omgang met Persoonsgegevens bij en na beëindiging van de Overeenkomst.

4. Verwerker zal alle derden en Sub-verwerkers die betrokken zijn bij de verwerking van Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en staat ervoor in dat alle derden en Sub-verwerkers de Persoonsgegevens zullen vernietigen, verwijderen of teruggeven aan de Verwerkingsverantwoordelijke op dezelfde manier als voor de Verwerker geldt.

Artikel 12: Inwerkingtreding, duur en wijziging van de overeenkomst

1. Deze Verwerkersovereenkomst treedt in werking na ondertekening door Partijen.
   
   
   

2. Deze Verwerkersovereenkomst geldt voor de duur dat Verwerker Persoonsgegevens verwerkt in het kader van de uitvoering van de Overeenkomst. Een beëindiging van de Overeenkomst betekent tevens een beëindiging van deze Verwerkersovereenkomst.

3. Partijen kunnen deze Verwerkersovereenkomst niet tussentijds opzeggen.

4. De bepalingen in deze Verwerkersovereenkomst blijven ook na het einde van de Overeenkomst onverminderd van kracht zolang Verwerker Persoonsgegevens onder

zich heeft, tenzij uit de aard van de verplichting voortvloeit dat deze langer van kracht dienen te blijven, zoals in het geval van algemene verplichtingen Verwerker (artikel 3), geheimhouding (artikel 5) en toepasselijk recht (artikel 13).

5. Indien een bepaling uit deze Verwerkersovereenkomst zich niet verhoudt met een bepaling uit de Overeenkomst, dan prevaleert de bepaling uit deze Verwerkersovereenkomst.
   
   
   

6. Wijzigingen in deze Verwerkersovereenkomst gelden uitsluitend indien deze door Partijen overeen zijn gekomen, schriftelijk zijn vastgelegd en ondertekend. Verwerker zal haar medewerking aan een wijziging verlenen, indien (een wijziging van) de AVG de aanleiding voor de wijziging vormt.

Artikel 13: Toepasselijk recht en bevoegde rechter

1. Deze Verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.

2. Bij geschillen naar aanleiding of in verband met deze Verwerkersovereenkomst, zullen Partijen zich inspannen om tot een gezamenlijk oplossing te komen. Indien Partijen niet tot een gezamenlijk oplossing komen door middel van mediation, worden geschillen voorgelegd aan de bevoegde rechter te [• plaatsnaam ]
   .

BIJLAGE 1

PERSOONSGEGEVENS EN DOELEINDEN

1. Persoonsgegevens

Verwerker zal de volgende (categorieën) Persoonsgegevens verwerken:

• [• categorie 1 ]
  

• [• categorie 2 ]
  

• [• categorie 3 ]
  

• [• categorie 4 ]
  

2. Betrokkenen

De Persoonsgegevens betreffen de volgende (categorieën) Betrokkenen:

• [• categorie 1 ]
  

• [• categorie 2 ]
  

• [• categorie 3 ]
  

• [• categorie 4 ]
  

3. Verwerkingsdoeleinden

De doeleinden waarvoor bovengenoemde Persoonsgegevens worden verwerkt zijn:

• [• doeleinde 1 ]
  

• [• doeleinde 2 ]
  

• [• doeleinde 3 ]
  

• [• doeleinde 4 ]
  

BIJLAGE 2

TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

1. Overzicht van technische en organisatorische beveiligingsmaatregelen

• [• beveiligingsmaatregel 1 ]
  

• [• beveiligingsmaatregel 2 ]
  

• [• beveiligingsmaatregel 3 ]
  

• [• beveiligingsmaatregel 4 ]
  

12 Model verwerkersovereenkomst – versie 1.0