Verwerkersovereenkomst uitvoering Dienstverleningsovereenkomst Gemeente Nijmegen en Stichting Bureau Kredietregistratie

Standaard verwerkersovereenkomst gemeenten

Verwerkersovereenkomst uitvoering Dienstverleningsovereenkomst Gemeente Nijmegen en Stichting Bureau Kredietregistratie

Het College van Burgemeester en Wethouders van de gemeente Nijmegen, verder te noemen Verwerkingsverantwoordelijke, hierbij krachtens het ondermandaatbesluit van 24 maart 2016 rechtsgeldig vertegenwoordigd door …., Afdelingshoofd Maatschappelijke Ontwikkeling

Stichting Bureau Kredietregistratie, statutair gevestigd te (4006 EB) Tiel aan de Xxxxxxxxxxxxxxx 0x, ingeschreven in het handelsregister onder nummer 11009074, verder te noemen Verwerker, hierbij rechtsgeldig vertegenwoordigd door X.X. xxx xxx Xxxxx, Bestuursvoorzitter,

hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen” Overwegen het volgende:

Partijen hebben op 5 december 2019 de Dienstverleningsovereenkomst Gemeente Nijmegen en Stichting Bureau Kredietregistratie, hierna Hoofdovereenkomst, afgesloten, op grond waarvan Verwerker de volgende dienst(en) levert aan de Verwerkingsverantwoordelijke: Vindplaats van Schulden;
Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;
Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;
Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);

Artikel 1 Definities

Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.
Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die deel uitmaken van deze Verwerkersovereenkomst.

Artikel 2 Ingangsdatum en duur

Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.
Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd.

Artikel 3 Onderwerp van deze Verwerkersovereenkomst

Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies van Verwerkingsverantwoordelijke. Afwijking hiervan kan alleen als wettelijke verplichtingen of bindende uitspraken van de toezichthoudende autoriteit of een bevoegde rechter anders bepalen, of een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan in kennis stellen, tenzij deze kennisgeving om gewichtige redenen van algemeen belang is verboden.
De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.

Artikel 4 Inhoudelijke afspraken

Beveiligingsmaatregelen

Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.

Audits

Verwerker verleent alle benodigde medewerking aan audits over de nakoming van de afspraken binnen deze Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel van certificering heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten van deze controle worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke.

Verwerking buiten de EER

Verwerker mag Persoonsgegevens alleen buiten de Europese Economische Ruimte verwerken als hij daarvoor uitdrukkelijk schriftelijk toestemming heeft gekregen van Verwerkingsverantwoordelijke.

Geheimhouding

Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Xxxxxxxxx en subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.

Subverwerkers

De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van subverwerkers. Verwerker houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde inschakeling van nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven artikel

28.2 en 28.4 AVG onverkort van kracht.

Rechten van betrokkenen

Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.

Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.

Artikel 5 Inbreuk in verband met Persoonsgegevens

Verwerker zal Verwerkingsverantwoordelijke zo snel mogelijk, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het aantal betrokkenen.
In geval van een Inbreuk neemt Xxxxxxxxx zo snel mogelijk alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.
Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.
Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene.

Artikel 6 Aansprakelijkheid

6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst.

Artikel 7 Beëindigen verwerkersovereenkomst

Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens.
De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.

Artikel 8 Overige bepalingen

8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend,

Ingangsdatum: 1 januari 0000

Xxxxxxxx Xxxxxxxx Stichting Bureau Kredietregistratie

namens deze:, namens deze: X.X. xxx xxx Xxxxx

Afdelingshoofd Maatschappelijke Ontwikkeling Bestuursvoorzitter

plaats: Nijmegen plaats: Tiel

datum: 5 december 2019 datum: 5 december 2019

Bijlage 1: Overzicht van te verwerken persoonsgegevens

Naam verwerking, doeleinden categorieën van betrokkenen, soort persoonsgegevens.

Naam verwerking	Verwerkings-doeleinden	Categorieën van Betrokkenen	Soort Persoonsgegevens (waaronder bijzondere persoonsgegevens)	Doorgifte naar derde landen
BKR klantportal Vindplaats van Schulden	Melding: melding in VPS door partners bij het convenant van inwoners/ adressen van inwoners van Nijmegen met een betalings-achterstand bij partners aan het Convenant	Gebruikers namens partners aan het Convenant Inwoners van de Gemeente Nijmegen met betalingsachter-standen	Contactgegevens (NAW) referentienummers Betalingsgegevens Betalingsachterstand	n.v.t.
idem	Xxx xxxxxxx naar signaal: Selecteren van adressen van inwoners van Nijmegen met een betalings-achterstand bij partners aan het Convenant	Gebruikers namens partners aan het Convenant Inwoners van de Gemeente Nijmegen met betalings-achterstanden	Contactgegevens (NAW) referentienummers	n.v.t.
idem	Opvolgen signal en terugkoppeling	Gebruikers namens partners aan het Convenant Inwoners van de Gemeente Nijmegen met betalings- achterstanden	Contactgegevens (NAW) referentienummers Gegevens omtrent al of niet betalings-regeling en plan van aanpak	n.v.t.

Contactgegevens

Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren)

Contactgegevens: Functionaris

Gegevensbescherming Gemeente Nijmegen

06-

Contactpersoon Verwerker (NB: Ook buiten kantooruren)

Contactgegevens: Klantcontactcentrum Zakelijk

xxxxxxxxxxx@xxx.xx

Telefoonnummer 088-1502600

Contactgegevens IBD

Telefoonnummer 070-373 8011

NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.

Ingeschakelde subverwerkers

Naam en contactgegevens subverwerker	KvK-nummer	Uitbestede verwerkingen	Toepassing
n.v.t.

Bijlage 2: Aantonen passend niveau van beveiliging

Normenstelsel
- De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk:

……………………………………………………………………………………………………………

…….. (vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS).

De informatiebeveiliging vindt plaats volgens een algemeen erkende overheidsnorm zoals de BIG (of de BIR, BIO) of vergelijkbaar, namelijk:

……………………………………………………………………………………………………..

□ Xxxxxx, nl. Wij werken conform de algemeen erkende norm ISO 27001. Op dit moment loopt er een certificeringsaanvraag voor ISO 27001. De verwachting is dat deze positief wordt afgerond in april 2020. Zodra wij het certificaat hebben zullen wij de gemeente hierover informeren.

De toereikendheid van de informatiebeveiliging blijkt uit de volgende certificering en verklaring van toepasselijkheid:
- Periodieke externe controles zoals audits, pentesten of TPM’s (bijv. ISAE3xxx SOC type II). ;
- Een Assurance rapport van een auditor die is aangesloten bij NOREA;
- Eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven:

……………………………………………………………………………………………

NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in bijlage 1.

Document Metadata

Table of Contents

Verwerkersovereenkomst uitvoering Dienstverleningsovereenkomst Gemeente Nijmegen en Stichting Bureau Kredietregistratie

Document Metadata

Verwerkersovereenkomst uitvoering Dienstverleningsovereenkomst Gemeente Nijmegen en Stichting Bureau Kredietregistratie

Standaard verwerkersovereenkomst gemeenten

hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen” Overwegen het volgende:

Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;

Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;

Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);

Artikel 1 Definities

Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.

Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die deel uitmaken van deze Verwerkersovereenkomst.

Artikel 2 Ingangsdatum en duur

Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.

Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd.

Artikel 3 Onderwerp van deze Verwerkersovereenkomst

De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.

Artikel 4 Inhoudelijke afspraken

Beveiligingsmaatregelen

Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.

Audits

Verwerking buiten de EER

Verwerker mag Persoonsgegevens alleen buiten de Europese Economische Ruimte verwerken als hij daarvoor uitdrukkelijk schriftelijk toestemming heeft gekregen van Verwerkingsverantwoordelijke.

Geheimhouding

Subverwerkers

28.2 en 28.4 AVG onverkort van kracht.

Rechten van betrokkenen

Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.

Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.

Artikel 5 Inbreuk in verband met Persoonsgegevens

In geval van een Inbreuk neemt Xxxxxxxxx zo snel mogelijk alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.

Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.

Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene.

Artikel 6 Aansprakelijkheid

6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst.

Artikel 7 Beëindigen verwerkersovereenkomst

Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens.

De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.

Artikel 8 Overige bepalingen

8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend,

Ingangsdatum: 1 januari 0000

Xxxxxxxx Xxxxxxxx Stichting Bureau Kredietregistratie

plaats: Nijmegen plaats: Tiel

datum: 5 december 2019 datum: 5 december 2019

Bijlage 1: Overzicht van te verwerken persoonsgegevens

Bijlage 2: Aantonen passend niveau van beveiliging

Normenstelsel

De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk:

……………………………………………………………………………………………………………

…….. (vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS).

De informatiebeveiliging vindt plaats volgens een algemeen erkende overheidsnorm zoals de BIG (of de BIR, BIO) of vergelijkbaar, namelijk:

……………………………………………………………………………………………………..

□ Xxxxxx, nl. Wij werken conform de algemeen erkende norm ISO 27001. Op dit moment loopt er een certificeringsaanvraag voor ISO 27001. De verwachting is dat deze positief wordt afgerond in april 2020. Zodra wij het certificaat hebben zullen wij de gemeente hierover informeren.

De toereikendheid van de informatiebeveiliging blijkt uit de volgende certificering en verklaring van toepasselijkheid:

Periodieke externe controles zoals audits, pentesten of TPM’s (bijv. ISAE3xxx SOC type II). ;

Een Assurance rapport van een auditor die is aangesloten bij NOREA;

Eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven:

……………………………………………………………………………………………

NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in bijlage 1.

Document Metadata