Verwerkers- overeenkomst
Verwerkers-
overeenkomst
Inzake het Gemeentelijk Incidenten
Registratiesysteem (GIR)
Gemeentelijk Incidenten Registratiesysteem (GIR)
Versie 22 december 2020
De ondergetekenden:
(1) Het college van burgemeesters en wethouders van gemeente
en
(2) Carthago ICT B.V., gevestigd te Hengelo (OV) aan de Hazenweg 70, KVK-nummer 06088789, verder te noemen Verwerker, hierbij rechtsgeldig vertegenwoordigd door Stichting Arbeidsmarkt en Opleidingsfonds Gemeenten (gevestigd aan de Xxxxxxxx Xxxxxxx 00, 0000XX Xxx Xxxx, hierna te noemen: A&O fonds op basis van een door A+O fonds) op basis van een door Carthago aan A&O fonds afgegeven volmacht.
hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen”
Overwegen het volgende:
a) Partijen hebben een licentieovereenkomst, hierna Hoofdovereenkomst, afgesloten, op
grond waarvan Xxxxxxxxx de volgende dienst(en) levert aan de Verwerkingsverantwoordelijke: gebruikersrechten op het Gemeentelijk Incidenten Registratiesysteem (GIR)
b) Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;
c) Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;
d) Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkers- overeenkomst);
En komen het volgende overeen:
Artikel 1 Definities
1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.
1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die onlosmakelijk deel uitmaken van deze Verwerkersovereenkomst.
Artikel 2 Ingangsdatum en duur
2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.
2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd en de afspraken over het teruggeven en/of wissen van Persoonsgegevens zijn nagekomen.
Artikel 3 Onderwerp van deze Verwerkersovereenkomst
3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke
instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan zonder onredelijke vertraging in kennis stellen, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.2 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.
Artikel 4 Inhoudelijke afspraken
4.1 Beveiligingsmaatregelen
Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.
4.2 Audits
Verwerker verleent alle benodigde medewerking aan audits uitgevoerd door een gecertificeerde auditor over de nakoming van de afspraken binnen deze
Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel van een geldige certificering, die periodiek door een geaccrediteerde instelling wordt getoetst, heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten van deze audit worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke.
4.3 Verwerking buiten de EER
Verwerker mag Persoonsgegevens buiten de Europese Economische Ruimte (laten) verwerken wanneer is voldaan aan de voorwaarden van artikel 45 en 46 AVG. Wanneer er sprake is van een verwerking buiten de EER, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan vooraf op de hoogte.
4.4 Geheimhouding
Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Xxxxxxxxx en subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.
4.5 Subverwerkers
De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van subverwerkers. Verwerker houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde inschakeling van nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven de artikelen 28.2 en 28.4 AVG onverkort van kracht.
4.6 Rechten van betrokkenen
Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.
4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.
Artikel 5 Inbreuk in verband met Persoonsgegevens
5.1 Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar
uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het aantal betrokkenen.
5.2 In geval van een Inbreuk neemt Verwerker zonder onredelijke vertraging alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.
5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.
5.4 Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Verwerker ondersteunt de Verwerkingsverantwoordelijke waar nodig bij de melding aan de toezichthoudende autoriteit en/of Betrokkene.
Artikel 6 Aansprakelijkheid
6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van de aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst. De aansprakelijkheid staat beschreven in bijlage 3.
Artikel 7 Beëindigen verwerkersovereenkomst
7.1 Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens. De afspraken over de beëindiging van de Hoofdovereenkomst staan beschreven in bijlage 4.
7.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.
Artikel 8 Overige bepalingen
8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.
Aldus overeengekomen en getekend:
.......................................................................
Stichting arbeidsmarkt en opleidingsfonds gemeenten Naam: Drs. K.J.E. Sleeking
Functie: Directeur
Datum: 22 december 2020
Bijlage 1:
Overzicht van te verwerken persoonsgegevens
1 Naam verwerking, doeleinden categorieën van betrokkenen, soort persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerking
Verwerkings- doeleinden
Categorieën van Betrokkenen
Categorie Persoonsgegevens (waaronder bijzondere persoonsgegevens)
Doorgifte naar derde landen
Identificatie van de behandelend ambtenaar betrokken bij de registratie van het agressie incident
Identificatie van de burger betrokken bij het agressie incident
Signaleren, onderkennen, voorkomen, onderzoeken, oplossen en bestrijden van ernstige misstanden op de werkvloer, laakbare en/of strafbare gedragingen en/ of ernstige incidenten
Voldoen aan (wettelijke) voorschriften en procedures
1 Burgers binnen de Gemeente, die onderwerp zijn van een incident melding
2 Ambtenaren binnen de Gemeente die een incident melden
3 Ambtenaren binnen de Gemeente die een incident afhandelen
4 Ambtenaren binnen de Gemeente die
toezichthouden dat incident afgehandeld worden.
Burger: [naam, BSN, geboortedatum, kenmerken van het incident en inhoud van de melding, naar aanleiding van het incident genomen maatregelen, andere op het incident betrekking hebben gegevens, meldings- en onderzoeksrapporten, informatie die in het kader van het onderzoek naar het incident is verzameld]
Ambtenaar: [naam, emailadres, functie, afdeling, leidinggevende, wijze en tijdstip melding, informatie over het incident, andere informatie die de ambtenaar geeft over het incident]
Niet van toepassing
2 Contactgegevens
De gemeente geeft in het systeem het emailadres aan van de functionaris die geïnformeerd behoort te worden bij datalekken.
Carthago ICT BV
Naam en functie
Telefoonnummers
Overige informatie, waaronder email adressen
Contactpersoon
Xxxxxxx Xxxxxxxx Manager Project & SLA’s
074 24 55 603
06 53 650 488
xxxxxxx.xxxxxxxx@xxxxxxxx-xxx.xx
Vervanger 1
Xxxxxx Xxxxxxxxxx Directeur
074 24 55 601
xxxxxx.xxxxxxxxxx@xxxxxxxx-xxx.xx
Vervanger 2
Helpdesk
074 24 55 604
NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.
Naam en contactgegevens subverwerker
KvK-nummer
Uitbestede verwerkingen
Toepassing
Previder B.V.
08078011
Het beheer, de uitbouw en implementatie- Ja ondersteuning ten aanzien van het Gemeentelijke Incidenten Registratiesysteem (GIR)
3 Ingeschakelde subverwerkers
Bijlage 2:
Aantonen passend niveau van beveiliging
Betrouwbaarheidseisen en beveiligingsmaatregelen
Waar van toepassing gedifferentieerd op basis van gevoeligheid van de in Bijlage 1 genoemde (categorieën) Persoonsgegevens.
Toepasselijke betrouwbaarheidseisen
Laag
Midden
Hoog
Beschikbaarheid Integriteit
Vertrouwelijkheid
Gemeente stelt hieronder vast aan welke eisen betreffende beschikbaarheid, integriteit en vertrouwelijkheid ter zake van de gegevensverwerking voldaan dient te worden. Met inachtneming van de onderstaande eisen draagt Xxxxxxxx ervoor zorg dat er sprake is van een passend beveiligingsniveau.
Deze betrouwbaarheidseisen zijn uitgewerkt in concrete beveiligingsmaatregelen.
• Vastgesteld beveiligingsbeleid dat ook is geïmplementeerd
• Logische toegangscontrole met behulp van iets wat iemand weet (wachtwoord of pincode)
• Automatische logging van toegang tot gegevens, inclusief een controleprocedure
• Controle op toegekende bevoegdheden
Carthago verwijst voor de beveiligingmaatregelen in dit verband naar de Informatie beveiligingsverklaring GIR-ARO-PAR, Versie 1.2. april 2018.
Bijlage 3:
Aansprakelijkheid
1 De totale aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke wegens een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst dan wel
uit onrechtmatige daad of anderszins, is beperkt tot vergoeding van directe schade tot maximaal het hoogste van de volgende bedragen per jaar: (i) € 500.000,-, of (ii) het bedrag gelijk aan het bedrag dat uitgekeerd wordt door de verzekeraar op grond van de beroepsaansprakelijkheidsverzekering van Verwerker.
2 In afwijking op het bepaalde in het voorgaande artikellid geldt dat indien sprake is van aanspraken van meerdere gemeenten – daaronder begrepen Verwerkingsverantwoordelijke
- over dezelfde schadeveroorzakende gebeurtenis, waarbij een reeks aan met elkaar samenhangende schadeveroorzakende gebeurtenissen als één gebeurtenis wordt gezien, wegens een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst dan wel uit onrechtmatige daad of anderszins, de aansprakelijkheid van Verwerker beperkt is tot het bedrag dat gelijk is aan het bedrag dat terzake uitgekeerd wordt door de verzekeraar op grond van de beroepsaansprakelijkheidsverzekering van Verwerker.
3 De aansprakelijkheid voor indirecte schade is uitgesloten. Onder indirecte schade wordt in ieder geval verstaan: gederfde winst, gemiste besparingen, imagoschade, rentederving,
verminderde xxxxxxxx, schade verband houdende met de inschakeling van door de Verwerkingsverantwoordelijke aan Verwerker voorgeschreven toeleveranciers, alsmede schade in verband met, voortvloeiende uit of als gevolg van zaakschade en personenschade (letsel
of aantasting van de gezondheid van personen al dan niet met de dood tot gevolg hebbende inclusief alle daaruit voortvloeiende schade).
4 Tenzij nakoming door de Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien de Verwerkingsverantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld,
en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van zijn verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
5 Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat de Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het ontdekken daarvan schriftelijk bij Verwerker meldt. Iedere vordering tot schadevergoeding tegen Verwerker vervalt door het enkele verloop van vierentwintig maanden na het ontstaan van de vordering, tenzij Verwerkingsverantwoordelijke vóór het verstrijken van die termijn een rechtsvordering tot vergoeding van de schade heeft ingesteld.
Bijlage 4
Na beëindiging van deze Verwerkersovereenkomst, zal Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens wissen of deze aan hem retourneren, en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens wettelijk is verplicht.