BEGRIPPEN
UITLEG BIJ VGM NL AVG VERWERKERSOVEREENKOMST VVE MANAGEMENT
BEGRIPPEN
Voordat we ingaan op de verschillende artikelen, geven we u de betekenis van de belangrijkste begrippen.
AVG Algemene Verordening Gegevensbescherming
Per 25 mei 2018 zijn de regels rondom privacy in heel de EU gelijk. Voor Nederland betekende dat, dat er een aanpassing moest komen op de bestaande Wet Bescherming Persoonsgegevens. Deze aanpassing heeft een nieuwe naam gekregen: de AVG.
Waar de wet in het kort op neer komt is dat organisaties die de beschikking hebben over persoonsgegevens, daarmee zeer zorgvuldig moeten omgaan. Ze mogen ten eerste alleen gegevens opvragen en opslaan indien die noodzakelijk zijn voor het uitvoeren van hun werk. Extra informatie, die wellicht handig is voor de bedrijfsvoering, mag niet gevraagd worden en ook niet worden opgeslagen.
De gegevens die wél terecht worden verzameld, moeten goed beveiligd worden. Dat betekent aan de ene kant dat de computeromgeving van een organisatie goed beveiligd moet zijn tegen “inbraak/hacks” van buiten de organisatie. Tevens zijn er maatregelen nodig om verlies te voorkomen, bijvoorbeeld door verlies of diefstal van een USB stick of een laptop. Aan de andere kant betekent het ook, dat binnen de organisatie bekend moet zijn welke medewerkers welke persoonsgegevens mogen zien en bewerken. Niet alle informatie mag door alle medewerkers gezien worden. Hiervoor hebben wij een inventarisatie gemaakt
van de bedrijfsprocessen waarbij persoonsgegevens verzameld en/of bewerkt worden. Per 1
proces hebben wij de personeelsleden benoemd die toegang moeten krijgen tot bepaalde persoonsgegevens om hun werk te kunnen uitvoeren. Verder moeten er regels zijn over de bewaartermijn van persoonsgegevens. Zodra persoonsgegevens niet meer nodig zijn, moeten ze op een veilige manier verwijderd worden uit de systemen. Ze mogen ook dusdanig versleuteld worden, dat een derde de persoonsgegevens niet kan lezen.
Verwerkersovereenkomst, Gegevensverantwoordelijke en Gegevensverwerker
• Een Verwerkersovereenkomst regelt de afspraken tussen een Gegevensverantwoordelijke (VvE) en een Gegevensverwerker (VvE beheerder) of subverwerker (verzekeringsfirma, incassobureau etc.) over de uitwisseling van persoonsgegevens.
• De VvE, vertegenwoordigd door het bestuur, gaat een Verwerkersovereenkomst aan met de VvE beheerder.
• De VvE stelt persoonsgegevens aan de VvE beheerder ter beschikking, zodat de VvE beheerder zijn administratieve en technische werk kan uitvoeren.
• Als er een derde partij ingeschakeld wordt (bijvoorbeeld een verzekeringsfirma), dan is dat een subverwerker. Zij krijgen uw persoonsgegevens om contact met u op te nemen en een claim in behandeling te nemen.
• Het delen van persoonsgegevens met een derde organisatie mag, maar er moeten wel goede afspraken gemaakt worden. In een (sub)Verwerkersovereenkomst tussen de VvE beheerder en een derde (bijvoorbeeld verzekeringsfirma) wordt vastgelegd welke gegevens tussen hen uitgewisseld worden, met welk doel, op grond waarvan, hoe de derde (bijvoorbeeld de verzekeringsfirma) de gegevens bewerkt en bewaart, beveiligt en uiteindelijk vernietigt of versleutelt en wat partijen doen als er tóch iets met de persoonsgegevens gebeurt.
UITLEG VVE VERWERKERSOVEREENKOMST
De ondergetekenden:
I {Uw VvE}, rechtsgeldig vertegenwoordigd door haar bestuur, hierna te noemen:
“Verwerkingsverantwoordelijke”;
en
II {VvE Beheerder}, statutair gevestigd te {Plaats} en kantoorhoudend te {Postcode} {Plaats} aan de {Adres}, geregistreerd bij de kamer van koophandel onder nummer {KvK nummer}, rechtsgeldig vertegenwoordigd door haar directeur, hierna te noemen “Verwerker”;
gezamenlijk te noemen: “Partijen”
OVERWEGENDE
1. Dat {Uw VvE} en {VvE Beheerder}, onder de AVG regels vallen;
2. Op grond van een VvE Beheerovereenkomst;
3. Dat (sub) leveranciers worden beschouwd als zelfstandig opererende bedrijven met een eigen verantwoordelijkheid. Zij vallen dus niet onder de AVG;
4. Persoonsgegevens zijn bijvoorbeeld uw naam, adres, geboortedatum, bankrekeningnummer et cetera;
5. Dat {XxX Xxxxxxxxx} persoonsgegevens van {Uw VvE} krijgt als gevolg van de afgesloten Beheerovereenkomst;
6. Met als doel om die Beheerovereenkomst te kunnen uitvoeren; 2
7. Dat {Uw VvE} en {VvE Beheerder}, afspraken maken over de verwerking van de
Persoonsgegevens zodat zij aan de AVG voldoen.
KOMEN PARTIJEN HET NAVOLGENDE OVEREEN:
Onderwerp
8. {Uw VvE} geeft op basis van de Beheerovereenkomst opdracht aan {XxX Xxxxxxxxx} voor het verwerken van de Persoonsgegevens.
9. In een apart overzicht wordt vermeld welke persoonsgegevens van welke personen dat zijn, wat
{VvE Beheerder} met die gegevens mag doen en met welk doel.
10. {Uw VvE} is volledig verantwoordelijk voor het vaststellen van het doel en de middelen voor de verwerking van de Persoonsgegevens. Indien {Uw VvE} iets onwettigs aan {VvE Xxxxxxxxx} vraagt, dan komen eventuele boetes voor rekening van {Uw VvE}.
Verplichtingen {VvE Beheerder}
11. De verwerking van de Persoonsgegevens door {XxX Xxxxxxxxx} gebeurt volgens de instructies van de Beheerovereenkomst, de Verwerkersovereenkomst en de schriftelijke instructies van {Xx XxX}
12. De {VvE Beheerder} verplicht zich:
12.1.alle instructies van de {Uw VvE} in het kader van de verwerking van de Persoonsgegevens op te volgen, mits wettig;
12.2. de Persoonsgegevens voor niets anders te verwerken dan voor {Uw VvE}, om daarmee de Beheerovereenkomst uit te voeren en voor niets anders;
12.3. te houden aan alle toepasselijke wet- en regelgeving en gedragscodes inzake de bescherming van de Persoonsgegevens, waaronder in ieder geval de AVG; en,
12.4. Om het gebruik te controleren, moet de {VvE Beheerder} op verzoek van {Uw VvE}, (vertegenwoordigd door het bestuur), gratis toegang verlenen tot de Persoonsgegevens, of de
Persoonsgegevens aan {Uw VvE} ter beschikking stellen op een vooraf afgesproken manier. Als dit vaker dan eenmaal per jaar gebeurt, zal {VvE Beheerder} hiervoor een redelijke vergoeding ontvangen van {Uw VvE}. Partijen zullen dat bedrag onderling overeenkomen.
13. De {VvE Beheerder} krijgt de persoonsgegevens voor eigen gebruik. {VvE Beheerder} mag de persoonsgegevens niet wijzigen, aanvullen, aan derden geven of laten zien, en/of te kopiëren, tenzij dat
(i) noodzakelijk is voor de uitvoering van zijn werk,
(ii) duidelijk anders is bepaald in de Beheerovereenkomst of deze Verwerkersovereenkomst, of
(iii) nadat {Uw VvE} de {XxX Xxxxxxxxx} schriftelijke toestemming heeft gegeven.
14. De {VvE Beheerder} garandeert dat uw persoonsgegevens voldoende beveiligd zijn. De {VvE Beheerder} zorgt naar redelijkheid gratis voor aanpassing van de beveiliging als dat gedurende de looptijd ( en indien nodig daarna) nodig is. De {VvE Beheerder} zal {Uw VvE} informeren over de technische en organisatorische maatregelen die {VvE Beheerder} heeft genomen en gebruikt.
15. Indien in de loop van de tijd nieuwe afspraken ten aanzien van de beveiliging van de Persoonsgegevens noodzakelijk zijn, zullen {VvE Beheerder} en {Uw VvE} de beveiligingsnormen aanpassen.
16. Alle eisen die gelden voor {VvE Beheerder} gelden ook voor derde partijen die ingeschakeld worden en die subverwerker zijn.
Informatieverzoeken 17 t/m 23
Zowel een overheidsinstantie als een lid van een VvE kan informatie opvragen of vragen om Persoonsgegevens te wijzigen, verwijderen, aanvullen et cetera.
Als een overheidsinstantie om persoonsgegevens vraagt, dan laat {VvE Xxxxxxxxx} dat meteen aan
{Uw VvE} weten, behalve wanneer dat niet mag van de desbetreffende overheidsinstantie. Als lid 3
van een VvE kunt u uw eigen Persoonsgegevens inzien, laten wijzigen, corrigeren of aanvullen. {VvE
Beheerder} zal dat in redelijkheid aan {Uw VvE} melden. Als een dergelijk verzoek om xxxxxx in of wijziging van persoonsgegevens rechtstreeks aan {VvE Beheerder} gedaan wordt, dan mag die de gevraagde handeling niet uitvoeren. Dat mag alleen als er vooraf schriftelijke toestemming is van {Uw VvE} of als de {VvE Beheerder} wettelijk verplicht is om de persoonsgegevens te geven. Bij een wettelijke verplichting worden alleen de persoonsgegevens afgegeven die noodzakelijk zijn om aan de wet te voldoen.
Soms heeft {Uw VvE} de hulp van {XxX Xxxxxxxxx} nodig om een vraag van een overheidsinstantie of van een VvE lid te beantwoorden. {VvE Beheerder} doet zijn best hierbij op korte termijn helpen. Als daar kosten aan verbonden zijn, dan worden die in rekening gebracht bij {Uw VvE}. Bij een informatieverzoek heeft {XxX Xxxxxxxxx} 10 dagen de tijd om de informatie te geven. Soms zijn 10 dagen niet voldoende. Dan kan er (bij een aantoonbare reden) om 5 dagen extra tijd gevraagd worden aan {Uw VvE}. Dat moet wel binnen vijf werkdagen na het eerste verzoek gedaan worden.
Bij gevraagde wijzigingen in Persoonsgegevens, zal {VvE Beheerder} die wijzigingen binnen tien werkdagen uitvoeren volgens de instructies van {Uw VvE}. Ook deze termijn kan op verzoek en bij een aantoonbare reden verlengd worden met vijf werkdagen. Dat moet wel binnen vijf werkdagen na het eerste verzoek gedaan worden.
Verwerking van Persoonsgegevens binnen de Europese Economische Ruimte een doorgifte van Persoonsgegevens 24 en 25
Alle persoonsgegevens moeten in de Europese Economische Ruimte (EER) opgeslagen en verwerkt worden, tenzij anders is overeengekomen (eventueel met extra voorwaarden). Mochten de persoonsgegevens toch buiten de EER opgeslagen of bewerkt worden, dan moeten dezelfde regels en
eisen gelden als wanneer de persoonsgegevens wél binnen de EER opgeslagen en bewerkt zouden worden.
Geheimhouding 26
Uw persoonsgegevens moeten veilig zijn bij {XxX Xxxxxxxxx}. Daarom zal {VvE Beheerder} er voor dienen te zorgen dat haar medewerkers of personen die met uw persoonsgegevens werken daarover niet met anderen praten, behalve wanneer zij wettelijk verplicht zijn om gegevens kenbaar te maken. Personeelsleden krijgen alleen toegang tot die persoonsgegevens die zij voor hun eigen taak nodig hebben. Andere personeelsleden of mensen buiten de organisatie mogen geen toegang hebben tot persoonsgegevens.
Toezicht op naleving en evaluatie 27 t/m 30
Als u een aantoonbare reden hebt om aan de uitvoering van deze Verwerkersovereenkomst te twijfelen, dan kan {Uw VvE} (laten) controleren of {VvE Beheerder} de afspraken uit deze Verwerkers- overeenkomst goed uitvoert. {VvE Beheerder} werkt volledig en op korte termijn mee aan controle door een derde. {VvE Beheerder} maakt tijd en personeelsleden vrij om vragen te beantwoorden en processen te tonen. {VvE Xxxxxxxxx} krijgt hiervoor een vergoeding, die van tevoren wordt overeengekomen.
{Uw VvE} laat {VvE Beheerder} tijdig weten wanneer een controle gewenst is. De datum wordt in gezamenlijk overleg gekozen.
De eventuele kosten van derden zijn voor rekening van {Uw VvE}, behalve wanneer blijkt dat {VvE Xxxxxxxxx} zich niet aan de Verwerkersovereenkomst heeft gehouden. In dat geval zijn de kosten in redelijkheid voor rekening van {VvE Beheerder}. Als er bij een controle tekortkomingen naar voren
komen, dan zal {VvE Beheerder} die op een redelijke, door {Uw VvE} te bepalen termijn verhelpen. Als 4
dat niet gebeurt, dan kan {Uw VvE} de Verwerkersovereenkomst kosteloos per direct schriftelijk
opzeggen.
Aansprakelijkheid 31
Als {VvE Beheerder} aantoonbaar onjuist heeft gehandeld in het kader van de Beheerovereenkomst of de Verwerkersovereenkomst en dat hem aan te rekenen is, dan komen eventuele boetes vanuit de AVG voor rekening van {XxX Xxxxxxxxx}. Het maximale bedrag waarvoor {VvE Beheerder} aansprakelijk is, is gelijk aan de gehele jaarvergoeding die op grond van de Beheerovereenkomst is betaald door {Uw VvE} aan {VvE Beheerder} in het jaar voorafgaand aan de boete.
Om aanspraak te kunnen maken op deze vergoeding, moet {Uw VvE}:
1. {VvE Beheerder} op de hoogte brengen van enig onderzoek of andere aanleiding die zou kunnen resulteren in een boete of last onder dwangsom;
2. Samen met {XxX Xxxxxxxxx} handelen en communiceren met de betrokken autoriteit; en
3. Tegen opgelegde boetes in bezwaar en/of beroep te gaan als daar redelijkerwijs aanleiding voor is.
Inbreuken op de beveiliging – meldplicht 32 t/m 37
Als er ondanks alle zorgvuldigheid en beveiliging tóch iets mis gaat, dan meldt {VvE Beheerder} een inbreuk op persoonsgegevens zo snel mogelijk, maar in ieder geval binnen 72 uur na het ontdekken van deze inbreuk bij de contactpersoon van {Uw VvE}.
De melding bevat in ieder geval (i) wat voor inbreuk het is, (ii) welke persoonsgegevens getroffen zijn,
(iii) de gevolgen en te verwachten gevolgen van de inbreuk, (iv) de maatregelen die getroffen zijn of worden en (v) de maatregelen die {VvE Beheerder} voorstelt om de gevolgen van de inbreuk (zo veel mogelijk) te beperken.
Mocht het {VvE Beheerder} niet lukken om alle informatie binnen 72 uur te leveren, dan probeert hij alsnog z.s.m. de informatie te verzamelen en aan {Uw VvE} te geven. {VvE Beheerder} houdt {Uw VvE} op de hoogte over de inbreuk en de beveiliging van de persoonsgegevens en de maatregelen die worden genomen om herhaling te voorkomen. Daarnaast beperkt {VvE Beheerder} de schade als gevolg van de inbreuk zoveel mogelijk en neemt hij alle redelijke maatregelen, waar {Uw VvE} om vraagt. De kosten van deze maatregelen komen voor rekening van {XxX Xxxxxxxxx}, voor zover redelijk.
{Uw VvE} beslist of en hoe de inbreuk beveiliging aan de Autoriteit Persoonsgegevens en/of aan de VvE leden wordt gemeld. Mocht {Uw VvE} niet tijdig (binnen 72 uur) een melding bij de Autoriteit Persoonsgegevens kunnen doen als gevolg van te late melding door {XxX Xxxxxxxxx}, dan komt een eventuele boete voor rekening van {XxX Xxxxxxxxx}.
Totstandkoming, looptijd en tussentijdse beëindiging 36 t/m 38
Deze Verwerkersovereenkomst gaat in op de datum van ondertekening. De duur is gelijk aan de Beheerovereenkomst. Als die eindigt, dan eindigt de Verwerkersovereenkomst ook, behalve wanneer er nog persoonsgegevens bij {VvE Beheerder} achterblijven of wanneer de verwerking van persoonsgegevens nog niet is gestopt.
{Uw VvE} kan schriftelijk op ieder gewenst moment de Verwerkersovereenkomst beëindigen zonder opzegtermijn. Aangezien de Verwerkersovereenkomst is gekoppeld aan de Beheerovereenkomst, zijn wel de opzegbepalingen van de Beheerovereenkomst van toepassing.
Teruggave, vernietiging Persoonsgegevens en overdracht 39 t/m 42
Als de Verwerkersovereenkomst stopt, dan heeft {VvE Beheerder} geen recht meer op de persoonsgegevens van {Uw VvE}. De persoonsgegevens moeten teruggegeven worden aan {Uw VvE}.
Dat gaat op een afgesproken wijze (op papier, digitaal) óf de persoonsgegevens worden door {VvE 5
Beheerder} vernietigd. {VvE Beheerder} geeft een verklaring af dat de persoonsgegevens vernietigd
zijn.
{VvE Beheerder} stopt het gebruik van de persoonsgegevens en geeft ook derden geen toegang meer tot deze gegevens, behalve wanneer {Uw VvE} schriftelijk daarom vraagt. Alle verplichtingen van de Verwerkersovereenkomst gelden in dat geval nog zolang {VvE Beheerder} de persoonsgegevens in zijn bezit heeft.
Er moeten nu afspraken gemaakt worden tussen {VvE Beheerder} en {Uw VvE}. {VvE Beheerder} en
{Uw VvE} werken volledig mee aan een nette en veilige overdracht van de persoonsgegevens aan ofwel
{Uw VvE} of een door {Uw VvE} aangewezen nieuwe VvE Beheerder. Dat gebeurt op een dusdanige manier, dat {VvE Beheerder} de verdere verwerking van de persoonsgegevens tegenhoudt.
Slotbepalingen 43 t/m 46
Deze Verwerkersovereenkomst regelt een veilige manier van omgaan met persoonsgegevens. Dat stopt niet meteen bij het einde van de overeenkomst. Daarom gaan sommige bepalingen ook door ná het einde van de Verwerkersovereenkomst. Denkt u daarbij aan de meldplicht als er tóch iets misgaat en persoonsgegevens in verkeerde handen vallen. Maar ook de geheimhouding, teruggave of vernietiging van de persoonsgegevens vallen hieronder.
Mochten er in de toekomst wijzigingen in de wetgeving zijn, dan kan {Uw VvE} zelf de Verwerkers- overeenkomst wijzigen om aan die nieuwe wet- en regelgeving te voldoen.
Deze Verwerkersovereenkomst valt onder Nederlands Recht. De geschillenregeling uit de Beheerovereenkomst is ook van toepassing op deze Verwerkersovereenkomst. Mochten er aanvullende aanspraken zijn tussen {VvE Beheerder} en {Uw VvE} over persoonsgegevens, dan gaan de bepalingen uit deze Verwerkersovereenkomst altijd voor.