verwerkingsovereenkomst

verwerkingsovereenkomst

Verwerkersovereenkomst LEF! Friesland

De ondergetekenden:

1. «Naam», statutair gevestigd en kantoorhoudende te «Plaats» aan de

«ADRES», ingeschreven in het handelsregister onder «KVK nr.» hierna te noemen: ‘Verwerkings- verantwoordelijke’

2. LEF! Friesland (onderdeel van Univogue), statutair gevestigd en kantoorhoudende te Sneek aan de Hegedyk 2, ingeschreven in het handelsregister onder nummer KVK 66151147 hierna te noe- men: ‘Verwerker’;

Gezamenlijk hierna te noemen ‘Partijen’ en ieder afzonderlijk te noemen ‘Partij’. In aanmerking nemende dat:

• Verwerkingsverantwoordelijke werkzaamheden laat uitvoeren door Verwerker;

• Partijen in dit kader hun afspraken met betrekking tot de verwerking van persoonsgegevens in onderhavige Verwerkersovereenkomst (hierna de ‘Overeenkomst’) wensen vast te leggen.

Artikel 1. Definities

1. Verwerkersovereenkomst: een verwerkersovereenkomst als bedoeld in artikel 28, derde lid, Al- gemene Verordening Gegevensbescherming (hierna: AVG), tussen de Verwerker en de Verwer- kingsverantwoordelijke. Waar in de Verwerkersovereenkomst termen worden gebruikt die over- eenstemmen met definities uit artikel 4 AVG, wordt aan deze termen de betekenis van de defini- ties uit de AVG toegekend.

2. Bijlagen: aanhangsels bij deze overeenkomst die een onlosmakelijk deel uitmaken van de over- eenkomst.

3. Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van per- soonsgegevens.

4. Verwerker: LEF! Friesland.

5. Verwerkingsverantwoordelijke: «Naam»

Artikel 2. Ingangsdatum en duur

1. Deze overeenkomst gaat in op het moment van ondertekening en duurt voort:

• voor de duur dat Verwerkingsverantwoordelijke gebruik maakt van de diensten en faciliteiten van Verwerker; en

• zolang de Verwerker als Verwerker van persoonsgegevens optreedt in het kader van de door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens voor de uitvoering van de diensten en faciliteiten van Verwerker.

Artikel 3. Onderwerp van deze Overeenkomst

1. De Verwerker verwerkt voor de Verwerkingsverantwoordelijke ter beschikking gestelde per- soonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de diensten en faciliteiten van Verwerker.

2. Partijen zijn overeengekomen dat Xxxxxxxxx in het kader van de verwerking van persoonsgege- vens alleen de verwerking van persoonsgegevens zal verrichten als beschreven in bijlage 1 van deze Overeenkomst. Het is Verwerker niet toegestaan om de persoonsgegevens

welke de Verwerker in het kader van de Overeenkomst ontvangt, dan wel beschikking over krijgt, op enig andere wijze te verwerken.

3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan door Verwerkingsverantwoordelijke is vastgesteld c.q. is beschreven in bijlage 1 van deze Overeen- komst. Verwerkingsverantwoordelijke zal Verwerker op diens verzoek op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Overeenkomst zijn genoemd.

4. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens afwijken- de wettelijke verplichtingen.

5. De Verwerker verbindt zich om in het kader van die werkzaamheden de door of via de Verwer- kingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.

6. De Verwerker verplicht zich om strikte geheimhouding te betrachten ten aanzien van alle activi- teiten en vertrouwelijke informatie zoals prijzen, werkwijzen, programma’s, apparatuur, gegevens en diensten van Verwerkingsverantwoordelijke en/of diens klanten.

7. Partijen zijn verplicht tegenover onbevoegden tot strikte geheimhouding ten aanzien van alles wat Partijen ten gevolge waarvan zij in hun hoedanigheid betrokken zijn bij de uitvoering van de onderhavige Overeenkomst mee bekend worden en waarvan Partijen weten of redelijkerwijs kun- nen vermoeden dat deze informatie van vertrouwelijke aard kan zijn.

8. Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Verwer- ker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht. De medewerkers van de Verwerker tekenen hiertoe een geheimhoudings- verklaring.

9. Indien de Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de Verwerkeringsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.

Artikel 4. Verplichtingen Verwerker

1. De Verwerker verwerkt gegevens ten behoeve van de Verwerkingsverantwoordelijke, in over- eenstemming met diens instructies en zorgvuldig.

2. De Verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan der- den en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens ver- strekt onder deze Overeenkomst komt nimmer bij de Verwerker te berusten.

3. De Verwerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 ge- noemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. De Verwerker zal alle redelijke instructies van de contactpersoon, als bedoeld in artikel 10 onder 4, opvolgen, behoudens afwijkende wettelijke verplichtingen.

4. De Verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in artikel 10 onder 4, door Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens met betrekking tot deze Overeenkomst ter hand stellen.

5. De Verwerker stelt de Verwerkeringsverantwoordelijke te allen tijde in staat om binnen de wet- telijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aan- vulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

6. De Verwerker mag in het kader van deze overeenkomst en bijlagen persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande toestemming te hebben verkregen van Verwerkingsverantwoorde- lijke, onder voorwaarde dat met de subverwerker voldoende waarborgen worden overeengeko- men ter bescherming van de persoonsgegevens.

Artikel 5. Meldplicht datalekken en beveiligingsincidenten

1. De Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 72 uur na de eerste ontdekking – informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezicht- houder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en inci- denten zo snel mogelijk ongedaan te maken dan wel te beperken, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 9 van deze Overeenkomst. Verwerker zal voorts, op het eerste verzoek van de Verwerkingsverantwoordelijke, alle inlichtingen verschaffen

die de Verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de Verwerkingsverantwoor- delijke:

• de aard van de inbreuk op de persoonsgegevens;

• de categorie persoonsgegevens;

• het mogelijk aantal betrokkenen/belanghebbenden;

• de categorie en mogelijk aantal records van persoonsgegevens;

• naam en contactgegevens contactpersoon van Verwerker;

• naam en contactgegevens van de persoon waar meer informatie kan worden verkregen;

• de te verwachten gevolgen van de inbreuk;

• beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de inbreuk op te lossen en te voorkomen in de toekomst;

• beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de gevolgen van de inbreuk zoveel mogelijk te beperken en inzichtelijk te krijgen.

2. De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de Verwerkingsverantwoordelijke, op diens verzoek, inzage ver- schaffen in het plan. Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van materiële wijzigingen in het plan van aanpak.

3. De Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verwer- kingsverantwoordelijke.

4. De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mo- gelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n). Daarbij verschaft Verwerker in ieder geval de informatie, zoals beschreven in bijlage 2, aan de Verwerker.

5. De Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie zoals bedoeld in artikel 5 onder 1 is opgenomen en geeft daar op eerste verzoek van de Verwerkingsverantwoordelijke inzage in.

Artikel 6. Beveiligingsmaatregelen en controle

1. De Verwerker neemt alle passende technische en organisatorische maatregelen om de per- soonsgegevens welke worden verwerkt ten dienste van de Verwerkingsverantwoordelijke te be- veiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking. De wijze van beveiliging wordt nader omschreven tussen Verwerker en Verwerkingsverantwoorde- lijke en als bijlage 3 aan deze Overeenkomst gehecht.

2. De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgege- vens te (doen) controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke of, de on- der geheimhouding, controlerende instantie in opdracht

van Verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

3. De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker.

4. De Verwerker verbindt zich om binnen een door de Verwerkingsverantwoordelijke te bepalen termijn de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingescha- kelde derde, te voorzien van de verlangde informatie. Hierdoor kan de Verwerkingsverantwoorde- lijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de Verwerker van deze Verwerkersovereenkomst. De Verwerkingsverant- woordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

5. Verwerker staat ervoor in, de door de Verwerkingsverantwoordelijke of ingeschakelde derde, aangegeven redelijke aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsver- antwoordelijke te bepalen redelijke termijn uit te voeren.

6. De Verwerker maakt jaarlijks een interne rapportage over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Overeenkomst.

7. Naast rapportages door de Verwerker en controles door de Verwerkingsverantwoordelijke of controlerende instantie in opdracht van de Verwerkingsverantwoordelijke, kunnen beide partijen

ook overeenkomen gebruik te maken van een Third Party Memorandum (TPM) opgesteld door een onafhankelijke externe deskundige.

8. De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de Verwerker enig punt uit deze Overeenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de Verwerker.

Artikel 7. Inschakeling derden

1. De Verwerker is gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te be- steden aan derden.

2. De Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Overeenkomst. De Verwerker garandeert dat deze derden schriftelijk minimaal dezelfde plichten op zich nemen als tussen de Verwerker en de Verwerkings- verantwoordelijke zijn overeengekomen en zal de Verwerkingsverantwoordelijke, op diens ver- zoek, xxxxxx verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opge- nomen.

3. De Verwerker mag de persoonsgegevens verwerken in en buiten Nederland. Doorgifte naar an- dere landen is toegestaan met inachtneming van de toepasselijke wet- en regelgeving.

4. De Verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onder- aannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen, alsmede eventuele door de Verwerkingsverant- woordelijke gestelde aanvullende voorwaarden. Dit register is te allen tijde bij Verwerker op te vra- gen (xxxx@xxxxxxxxxxxx.xx) en zal door de Verwerker actueel worden gehouden.

Artikel 8. Wijziging en beëindigen overeenkomst

1. Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door Partijen geaccordeerd voorstel.

2. Zodra de samenwerking is beëindigd, zal de Verwerker naar keuze van de Verwerkingsverant- woordelijke (i) alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het ka- der van deze Overeenkomst ter beschikking gestelde persoonsgegevens aan de Verwerkingsver- antwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van de Verwerkingsverant- woordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. De Verwerkingsverantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.

3. De Verwerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit waarborgen zoda- nig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.

4. Verwerker en Verwerkingsverantwoordelijke treden met elkaar in overleg over wijzigingen in deze Overeenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.

5. Indien een Partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de an- dere Partij haar in gebreke stellen waarbij de nalatige Partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige Partij in verzuim. Ingebre- kestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend on- mogelijk is of indien uit een mededeling dan wel de houding van de andere Partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.

6. De Verwerkingsverantwoordelijke is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst en de daarmee samenhangende Algemene Voorwaarden/Aansluitvoorwaarden, en onverminderd hetgeen overigens in de wet is bepaald, de uitvoering van deze Overeenkomst door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat Verwerkingsverantwoordelijke constateert dat:

• Verwerker (voorlopige) surseance van betaling aanvraagt; of

• Verwerker zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of

• de onderneming van Xxxxxxxxx wordt ontbonden; of

• Verwerker zijn onderneming staakt; of

• sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van Verwerker die maakt dat het in alle redelijkheid niet van de Verwerkingsverant- woordelijke kan worden verwacht dat zij de Overeenkomst in stand houdt; of

• op een aanmerkelijk deel van het vermogen van Verwerker beslag wordt gelegd (anders dan door verantwoordelijke); of

• de Verwerker aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Overeenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling dan wel een van de overige situaties be- doeld in artikel 8 lid 5 zich voordoet.

7. Verwerker informeert ogenblikkelijk de Verwerkingsverantwoordelijke indien een faillissement dreigt dan wel surséance van betaling, zodat de Verwerkingsverantwoordelijke tijdig kan beslissen de persoonsgegevens terug te vorderen alvorens faillissement wordt uitgesproken.

8. Verwerkingsverantwoordelijke is gerechtigd deze Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsge- gevens worden gesteld.

9. Indien de Overeenkomst voortijdig wordt beëindigd is artikel 8, lid 2 en 3 van overeenkomstige toepassing.

Artikel 9. Aansprakelijkheid

1. Indien de Verwerker tekortschiet in de nakoming van de verplichting uit deze Overeenkomst kan Verwerkingsverantwoordelijke hem in gebreke stellen. Verwerker is echter onmiddellijk in ge- breke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de Verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.

2. Verwerker is aansprakelijk op grond van het bepaalde in artikel 49 van de Wbp (artikel 82 AVG), schade of nadeel voortvloeiende uit het niet nakomen van deze Overeenkomst daaronder begre- pen tot het bedrag dat door de aansprakelijkheidsverzekering van Verwerker wordt vergoed.

Artikel 10. Overige bepalingen

1. Op deze overeenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.

2. Geschillen tussen partijen zullen worden voorgelegd aan de bevoegde rechter te Noord Neder- land.

Aldus in tweevoud opgesteld en getekend te Sneek,

«Datum»

«Naam» (verwerkingsverantwoordelijke) welke is vertegenwoordigd door «naam en handtekening» LEF! Friesland (verwerker)