Disclaimer: opties zijn weergegeven tussen haken, deze zijn niet uitputtend, maar moeten worden ge- zien als voorbeelden.

Bijlage C Verwerkersovereenkomst Voorbeeld verwerkersovereenkomst

Disclaimer: opties zijn weergegeven tussen haken, deze zijn niet uitputtend, maar moeten worden ge- zien als voorbeelden.

Voorbeeld Verwerkersovereenkomst

[Organisatie] ingeschreven bij de Kamer van Koophandel onder nummer statutair gevestigd te

……. en kantoorhoudende aan ………………, ten deze rechtsgeldig vertegenwoordigd door ,

hierna te noemen de “Verwerkingsverantwoordelijke”

en

[organisatie] ingeschreven bij de Kamer van Koophandel onder nummer ………. en statutair gevestigd te ………..

en kantoorhoudende aan ……. te ……. , ten deze rechtsgeldig vertegenwoordigd door , hierna te

noemen “Verwerker”,

gezamenlijk aan te duiden als Partijen; overwegende dat:

1. Verwerkingsverantwoordelijke [optie: een wegbeheerder is] en in dat kader persoonsgegevens ver- werkt;

2. Verwerker [optie: een IT-leverancier, een software ontwikkelaar, een onderzoeksbureau is];

3. Partijen in dat kader op [datum hoofdovereenkomst] een overeenkomst hebben gesloten onder de titel [titel hoofdovereenkomst] (hierna: Hoofdovereenkomst);

4. Partijen het voorzienbaar achten dat Verwerker bij de uitvoering van de Hoofdovereenkomst Persoons- gegevens ten behoeve van Verwerkingsverantwoordelijke zal Verwerken respectievelijk potentieel toe- gang zal hebben tot Persoonsgegevens die onder de verantwoordelijkheid van Verwerkingsverant- woordelijke vallen;

5. Partijen hun onderlinge verhoudingen ten aanzien van de (potentieel) te Verwerken Persoonsgegevens wensen vast te leggen in deze Verwerkersovereenkomst;

verklaren te zijn overeengekomen een Verwerkersovereenkomst als bedoeld in artikel 28, derde lid, van de Algemene Verordening Gegevensbescherming (hierna: AVG), tussen de Verwerkingsverantwoordelijke en de Verwerker.

Artikel 1 Definities

1. Betrokkene: betrokkene zoals gedefinieerd in artikel 4 AVG.

2. Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die na door beide partijen te zijn gepara- feerd, deel uitmaken van deze Verwerkersovereenkomst.

3. Normen en standaarden: de door de Verwerkingsverantwoordelijke vastgestelde normen en stan- daarden ter zake van methoden, technieken, procedures, projecten, productiekenmerken en docu- mentatievoorschriften welke bij de uitvoering van de werkzaamheden door de Verwerker zullen wor- den gevolgd als vastgelegd in Bijlage 1.

4. Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Ne- derland bij wet als toezichthouder in de zin van artikel 51 AVG is aangesteld voor het toezicht op het verwerken van persoonsgegevens.

4. (Verwerkings)verantwoordelijke: de verwerkingsverantwoordelijke zoals gedefinieerd in artikel 4

AVG.

4. Verwerker: de verwerker zoals gedefinieerd in artikel 4 AVG. Degene die ten behoeve van de Ver- werkingsverantwoordelijke persoonsgegevens verwerkt, in opdracht van de Verwerker, is een sub- Verwerker.

5. Verwerken: verwerken zoals gedefinieerd in artikel 4 AVG.

6. Persoonsgegevens: persoonsgegevens zoals gedefinieerd in artikel 4 AVG.

Artikel 2 Ingangsdatum en duur

1. Deze Verwerkersovereenkomst gaat in op het moment van [opties: ondertekening/eerste feitelijke Verwerking in het kader van de Hoofdovereenkomst] en duurt voort zolang de Verwerker als Ver- werker van Persoonsgegevens optreedt in het kader van de door de Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens voor het leveren van de diensten uit hoofde van de Hoofd- overeenkomst.

2. De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst, of indien langer, de duur van de feitelijke Verwerking van Persoonsgegevens.

Artikel 3 Onderwerp van deze Verwerkersovereenkomst

3.1 De Verwerker Verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst. De door de Verwerker uit te voeren werkzaamheden waar deze Verwerkersovereenkomst betrekking op heeft, worden nader omschreven in Bijlage 2. Verwerker zal de persoonsgegevens niet voor enig ander doel Verwerken, behoudens afwijkende wettelijke verplichtingen (in welk geval hij zelfstandig verwerkingsverantwoordelijke in de zin van art. 4 AVG wordt) of voor het opvolgen van instructies van de Verwerkingsverantwoordelijke. De Verwerker verbindt zich om in het kader van die werkzaamheden de door of via de Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens zorgvuldig te Verwerken.

Artikel 4 Verplichtingen Verwerker

1. Verwerker Verwerkt Persoonsgegevens, in overeenstemming met de instructies van Verwerkings- verantwoordelijke.

2. De Verwerker heeft geen zeggenschap over de Verwerkte Persoonsgegevens. Zo neemt hij geen be- slissingen over ontvangst en gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.

3. De Verwerker zal bij de Verwerking van Persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de in Nederland toepasselijke wet- en regelge- ving betreffende de verwerking van Persoonsgegevens.

4. De Verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in artikel 12.2, door Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens met betrekking tot deze Verwerkersovereenkomst ter hand stellen.

5. De Verwerker stelt de Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, ver- wijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangete- kendverzet.

6. In het geval dat een Betrokkene een verzoek tot inzage, verbetering, aanvulling, verwijdering of af- scherming van zijn of haar Persoonsgegevens, richt aan Verwerker, zal Verwerker het verzoek ui- terlijk binnen een week door sturen aan Verwerkersverantwoordelijke.

7. De Verwerker werkt op verzoek van Verwerkingsverantwoordelijke te allen tijde mee aan een gege- vensbeschermingseffectbeoordeling (GEB), ook wel Privacy Impact Assesment (PIA) genoemd.

8. De door Verwerker gemaakte redelijke kosten voor een dergelijke beoordeling zijn voor rekening van de Verantwoordelijke voor zover deze activiteiten van Verwerker vergen die verder strekken dan de uit de Hoofdovereenkomst voortvloeiende informatieverplichtingen van Verwerker aan Verwerkings- verantwoordelijke .

Artikel 5 Geheimhoudingsplicht

5.1 Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Ver- werker zelf, zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waar- van zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht. De medewerkers van de Verwerker tekenen hiertoe een geheimhoudingsverklaring. Laatstgenoemde geheimhoudingsverklaring valt onder het con- trolerecht van artikel 7.

Artikel 6 Meldplicht datalekken en beveiligingsincidenten

1. De Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 36 uur na de eerste ontdekking – informeren over alle (vermoedelijke) inbreuken op de beveiliging van de Persoonsgegevens en/of gebeurtenissen die tot een (vermoedelijke) onrechtmatige Verwerking van de Persoonsgegevens heeft geleid, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de bevoegde toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.

2. De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en de afhan- deling van inbreuken. De meldingsprocedure is als bijlage opgenomen bij deze Verwerkersovereen- komst. Verwerker stelt de verwerkingsverantwoordelijke op de hoogte van materiele wijzigingen in het plan van aanpak.

3. De Verwerker zal het doen van meldingen aan de bevoegde toezichthouder(s) overlaten aan de Verwerkingsverantwoordelijke.

4. De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n). Daarbij verschaft Verwerker in ieder geval de informatie, zoals beschreven in Bijlage 3, aan de Verwerkings- verantwoordelijke.

5. De Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie zoals bedoeld in Bijlage 3 is opgenomen, en geeft daar op eerste ver- zoek van de Verwerkingsverantwoordelijke inzage in.

Artikel 7 Beveiligingsmaatregelen en controle

1. De Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsge- gevens die worden Verwerkt ten dienste van de Verwerkingsverantwoordelijke te beveiligen en be- veiligd te houden tegen verlies of tegen enige vorm van onrechtmatige Verwerking. De wijze van beveiliging wordt nader omschreven in Bijlage 4.

2. De Verwerkingsverantwoordelijke is gedurende de looptijd van de Overeenkomsten gerechtigd om pe- riodiek of indien omstandigheden hiertoe aanleiding geven, de Verwerking van persoonsgegevens te (laten) controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke, de Autoriteit Per- soonsgegevens, of, de onder geheimhouding, controlerende instantie in opdracht van Xxxxxx-

kingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daad- werkelijk uitgevoerd kan worden.

3. De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een vooraf- gaande schriftelijke melding aan de Verwerker, tenzij dit redelijkerwijze niet van hem ge- vergd kan worden. Hiervoorgaande meldingsplicht kan naar zijn aard niet afdoen aan de controlerechten van de Autoriteit Persoonsgegevens.

4. De Verwerker verbindt zich om binnen een door de Verwerkingsverantwoordelijke te bepalen termijn de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingescha- kelde derde, te voorzien van de verlangde informatie. Hierdoor kan de Verwerkingsverantwoor- delijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vor- men over de naleving door de Verwerker van deze Verwerkersovereenkomst. De Verwerkings- verantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, is gehou- den alle informatie betreffende deze controles vertrouwelijk te behandelen en domeinkennis van verkeersregelingsinstallaties te hebben.

5. Verwerker staat ervoor in, de door de Verwerkingsverantwoordelijke of ingeschakelde derde, aan- gegeven aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren. Indien de door Verwerkingsverantwoordelijke gevergde verbeteringen in zwaarte en reikwijdte de voor wegbeheerders gangbare, en/of de door de Auto- riteit Persoonsgegevens gevergde, beveiligings- en continuïteitsmaatregelen substantieel over- stijgen is Verwerker gerechtigd a) de redelijke kosten hiervan in rekening te brengen aan Verwer- kingsverantwoordelijke of, naar indien Verwerkingsverantwoordelijke genoemde kosten niet aan- vaardt, b) de Hoofdovereenkomst te beëindigen in het geval Partijen ook na overleg geen over- eenstemming kunnen bereiken over de gevergde maatregelen.

6. De Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst. De met de rapportage ge- moeide kosten zijn voor rekening van de Verwerker.

7. Naast rapportages door de Verwerker en controles door de Verwerkingsverantwoordelijke of contro- lerende instantie in opdracht van de Verwerkingsverantwoordelijke, kunnen beide partijen ook over- eenkomen gebruik te maken van een Third Party Memorandum (TPM) opgesteld door een onafhan- kelijke externe deskundige.

8. De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de Verwerker enig punt uit deze Verwerkersovereenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de Verwerker.

Artikel 8 Inschakeling derden

1. De Verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande, duidelijk gespecificeerde, schriftelijke toestemming van de Verwerkingsverantwoordelijke.

2. De Verwerkingsverantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze Verwerkersover- eenkomst.

3. De Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst. De Verwerker garandeert dat deze derden schriftelijk minimaal dezelfde plichten op zich nemen als tussen de Verwerkingsverantwoordelijke en de Verwerker zijn overeengekomen en zal de Verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.

4. Doorgifte naar andere landen dan lidstaten van de Europese Economische Ruimte (EER) of Zwitser- land is uitsluitend toegestaan na voorafgaande schriftelijke toestemming van de Verwerkingsverant- woordelijke en met inachtneming van de toepasselijke wet- en regelgeving.

5. De Verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onderaan- nemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen, alsmede eventuele door de Verwerkingsverantwoor-

delijke gestelde aanvullende voorwaarden. Dit register zal als Bijlage 5 aan deze Verwerkersover- eenkomst worden toegevoegd en zal door de Verwerker actueel worden gehouden.

Artikel 9 Wijziging en beëindigen Verwerkersovereenkomst

1. Wijziging van deze Verwerkersovereenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

2. Zodra de samenwerking is beëindigd, zal de Verwerker naar keuze van de Verwerkingsverantwoor- delijke:

   1. alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van aan hem (in het kader van deze Verwerkersovereenkomst) ter beschikking gestelde Persoonsgegevens aan de Ver- werkingsverantwoordelijke ter beschikking stellen;

   2. de Persoonsgegevens die hij van of wegens de Verwerkingsverantwoordelijke heeft ontvan- gen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij Partijen iets anders overeenkomen.

De Verwerkingsverantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt. De redelijke uitgaven die gemoeid zijn met deze inspanningen komen voor rekening van Verwerkingsverantwoordelijke, voor zover deze kosten niet inbegrepen zijn in de overeengekomen prijzen en vergoedingen van Verwerker voortvloeiende uit de uitvoering van de hoofdovereenkomst.

3. De Verwerker zal te allen tijde de in het vorig lid beschreven recht op overdraagbaarheid van gege- vens conform artikel 20 AVG waarborgen, zodanig dat er geen sprake is van verlies van functiona- liteit of (delen van) de Persoonsgegevens.

4. Verwerkingsverantwoordelijke en Verwerker treden met elkaar in overleg over wijzigingen in deze Ver- werkersovereenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.

5. Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij hem in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.

6. Indien de Verwerkersovereenkomst voortijdig wordt beëindigd is artikel 9 lid 2 en 3 van overeen- komstige toepassing

7. Het beëindigen of aflopen van deze Verwerkersovereenkomst zal Xxxxxxxxx niet ontslaan van zijn geheimhoudingsplicht ingevolge artikel 5.

Artikel 10 Aansprakelijkheid

1. De aansprakelijkheid (voor toerekenbare schade en boetes) van Partijen wordt beheerst door de bepalingen daarover in de Hoofdovereenkomst waarbij eventuele aansprakelijkheidsbeperkingen worden doorbroken in geval van opzet of grove schuld c.q. roekeloosheid.

2. Binnen de aansprakelijkheidsbeperkingen zoals bedoeld in artikel 10.1 vrijwaart Verwerker Verwer- kingsverantwoordelijke voor schade of nadeel voor zover toe te rekenen aan de Verwerker.

3. Binnen de aansprakelijkheidsbeperkingen zoals bedoeld in artikel 10.1 vrijwaart Verwerkingsverant- woordelijke Verwerker voor schade of nadeel voor zover toe te rekenen aan Verwerkingsverantwoor- delijke.

4. Hiervoorgaande vrijwaringen worden in het geval het nadeel of de schade bestaat uit een opgelegde bestuurlijke boete eerst inroepbaar nadat de partij die de boete opgelegd heeft gekregen alle moge- lijkheden tot bezwaar en beroep tegen de boeteoplegging heeft uitgeput, waarbij de vrijwarende Partij

de gevrijwaarde Partij op eigen kosten zal ondersteunen bij dergelijke bezwaar- en beroepschriftpro- cedures.

Artikel 11 Toepasselijk recht

11.1 Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht vantoepassing.

Artikel 12 Overige bepalingen

12.1 Deze Verwerkersovereenkomst kan worden aangehaald als 'Verwerkersovereenkomst [naam]’ Aldus opgemaakt op:

Ondertekend te [PLAATS] Ondertekend te [PLAATS]

[DATUM DD/MMM] 2019 [DATUM DD/MMM] 2019

Handtekening Opdrachtgever Handtekening Opdrachtnemer

pagina 1/35

15 oktober 2019

20191015WH Handreiking AVG voor wegbeheerders (versie 1 4)