VOORBEELD VERWERKERSOVEREENKOMST
VOORBEELD VERWERKERSOVEREENKOMST
Dit is een voorbeeld van een model of template van een verwerkersovereenkomst. Mocht je op zoek zijn naar andere voorbeelden van modellen, kijk dan op onze website (xxx.xxxxxxx.xxx/downloads).
Dit voorbeeld van de verwerkersovereenkomst neemt de positie van de verwerkingsverantwoordelijke als uitgangspunt. Xxx je op zoek naar een verwerkersovereenkomst die de positie van de verwerker als uitgangspunt neemt, dan wel een overeenkomst voor gezamenlijk verwerkingsverantwoordelijken, neem dan contact met ons op.
Dit model omvat de standaard en meest voorkomende bepalingen in een verwerkersovereenkomst, een en ander in lijn met de Algemene Verordening Gegevensbescherming (“AVG”). Binnen de kaders van de AVG zijn uiteraard nog variaties en uitbreidingen mogelijk op de tekst en de bepalingen die in dit model als voorbeeld zijn opgenomen. De onderdelen die in dit template in ieder geval nog moeten worden in- of aangevuld, zijn aangegeven met een gele arcering.
Wil je meer weten over de verwerker, de verwerkingsverantwoordelijke en verwerkersovereenkomsten? Kijk dan op onze website xxxxx://xxxxxxx.xxx/xxxxxxx-xxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxx-xx-xxxxxxx/#xxxxxxxxxxxxxxxxxxxxxx.
Dit voorbeeld van een verwerkersovereenkomst wordt beschikbaar gesteld door Penrose voor informatiedoeleinden. Penrose is een advocatenkantoor in Amsterdam, gespecialiseerd in ondernemingsrecht, privacy/IT-recht en arbeidsrecht.
Het model wordt periodiek bijgewerkt en gepubliceerd op xxx.xxxxxxx.xxx, waardoor het kan dat het tijdelijk niet aansluit bij de laatste rechtsontwikkelingen. Dit voorbeeld is voorts geen advies en er kunnen geen rechten aan ontleend worden. Het is raadzaam advies in te winnen bij het opstellen van een verwerkersovereenkomst. Je kan Penrose bereiken op xxxx@xxxxxxx.xxx, of op 020-2400710.
DE ONDERGETEKENDEN:
[●], statutair gevestigd te ([●]) [●], kantoorhoudende aan de [●] en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [●], hierbij rechtsgeldig vertegenwoordigd door [●], hierna aangeduid als “Verwerkingsverantwoordelijke”;
en
[●], statutair gevestigd te ([●]) [●], kantoorhoudende aan de [●] en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [●], hierbij rechtsgeldig vertegenwoordigd door [●], hierna aangeduid als “Verwerker”;
Verwerkingsverantwoordelijke en Verwerker tevens afzonderlijk aangeduid als “Partij” en gezamenlijk als “Partijen”,
NEMEN IN OVERWEGING DAT:
Verwerker en Verwerkingsverantwoordelijke een overeenkomst hebben gesloten (de “Hoofdovereenkomst”) op grond waarvan Verwerker bepaalde diensten aan Verwerkingsverantwoordelijke levert en in dat kader (mede) persoonsgegevens verwerkt waarvoor Verwerkingsverantwoordelijke ‘verwerkingsverantwoordelijke’ in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) is;
Partijen gelet op het bepaalde in artikel 28 lid 3 AVG de voorwaarden van de verwerking van de persoonsgegevens door Verwerker wensen vast te leggen in de onderhavige overeenkomst (de “Verwerkersovereenkomst”).
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
ONDERWERP EN TOEPASSINGSGEBIED
Deze Verwerkersovereenkomst is van toepassing op de verwerking van de persoonsgegevens door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst. In geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Hoofdovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst.
Alle begrippen, zoals ‘persoonsgegeven’ en ‘verwerking’, die in deze Verwerkersovereenkomst worden gebruikt, hebben de betekenis die daar in de AVG aan is gegeven.
Bijlage 1 bij deze Verwerkersovereenkomst bevat een initieel overzicht van de persoonsgegevens, de categorieën betrokkenen en de doeleinden van de verwerking(en).
Daar waar in deze Verwerkersovereenkomst ‘schriftelijk’ staat vermeld, zal tevens worden bedoeld ‘via elektronische weg’ (bijv. e-mail).
VERPLICHTINGEN VERWERKER
Verwerker verwerkt de persoonsgegevens uitsluitend in opdracht en ten behoeve van Verwerkingsverantwoordelijke. De verwerking geschiedt in overeenstemming met de schriftelijke instructies van Verwerkingsverantwoordelijke en in overeenstemming met de AVG en eventuele overige toepasselijke wet- en regelgeving.
In geen geval verwerkt Verwerker de persoonsgegevens voor andere, eigen doeleinden.
Verwerker zal alle passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking, welke maatregelen een passend beveiligingsniveau dienen te garanderen gelet op de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging. [OPTIONEEL: Bijlage 2 bij deze Verwerkersovereenkomst bevat een initieel overzicht van de door Verwerker minimaal te nemen maatregelen.]
Verwerker erkent dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker zal onverwijld voldoen aan alle redelijke verzoeken van Verwerkingsverantwoordelijke tot het treffen van aanvullende beveiligingsmaatregelen.
Het is Verwerker niet toegestaan de persoonsgegevens buiten de Europese Economische Ruimte (EER) te verwerken zonder voorafgaande, schriftelijke toestemming van Verwerkingsverantwoordelijke.
DUUR EN BEËINDIGING
Deze Verwerkersovereenkomst treedt in werking op het moment dat deze door Partijen is ondertekend en duurt voort voor dezelfde termijn als aangegeven in de Hoofdovereenkomst.
Geen van Partijen kan de Verwerkersovereenkomst tussentijds opzeggen.
In geval van beëindiging van de Hoofdovereenkomst en/of op eerste schriftelijke verzoek van Verwerkingsverantwoordelijke, zal Verwerker onmiddellijk (alle of een deel van) de persoonsgegevens vernietigen, dan wel aan Verwerkingsverantwoordelijke retourneren, zulks naar uitsluitende keuze van Verwerkingsverantwoordelijke, zonder kopieën daarvan achter te houden. Tevens zal Verwerker werknemers en/of sub-verwerkers instrueren om hetzelfde te doen.
Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke tevens verklaren dat de vernietiging als bedoeld in het voorgaande artikellid heeft plaatsgevonden.
INSCHAKELEN DERDEN/SUB-VERWERKERS
Het is Verwerker niet toegestaan om bij de verwerking van de persoonsgegevens een derde als sub-verwerker in te schakelen zonder voorafgaande, schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke is gerechtigd om aan een eventuele toestemming voorwaarden te verbinden. In ieder geval worden aan dergelijke derden bij overeenkomst minstens dezelfde verplichtingen inzake gegevensbescherming opgelegd als die deze Verwerkersovereenkomst aan Verwerker oplegt.
Indien en voor zover de inschakeling van derden door Verwerker is toegestaan door Verwerkingsverantwoordelijke, blijft Verwerker hoofdelijk aansprakelijk voor de eventuele gevolgen van de verwerking door deze derden.
[OPTIONEEL: Verwerkingsverantwoordelijke geeft hierbij toestemming voor het inschakelen van de in Bijlage 3 opgenomen sub-verwerkers.]
GEHEIMHOUDING
Verwerker houdt de persoonsgegevens geheim en draagt er zorg voor dat de persoonsgegevens niet direct of indirect ter beschikking komen van derden anders dan zoals expliciet toegestaan in deze Verwerkersovereenkomst.
Verwerker garandeert dat zij al haar werknemers, vertegenwoordigers en/of goedgekeurde sub-verwerkers die betrokken zijn bij de verwerking van de persoonsgegevens op de hoogte stelt van de vertrouwelijke aard van de persoonsgegevens. Verwerker waarborgt dat dergelijke personen en partijen gebonden zijn aan een adequate geheimhoudingsovereenkomst/-verklaring.
De in dit artikel beschreven geheimhoudingsbepalingen zijn niet van toepassing indien:
Verwerkersverantwoordelijke voorafgaand zijn schriftelijke toestemming heeft gegeven om persoonsgegevens aan derden te verschaffen; of
Verwerker op grond van een wettelijke verplichting de persoonsgegevens aan een derde dient te verstrekken, in welk geval Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk zal informeren.
DATALEKKEN
Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk – uiterlijk binnen [24] uur – na ontdekking van een mogelijk datalek schriftelijk op de hoogte waarbij Verwerker de volgende informatie vermeldt:
aard van het datalek, inclusief de betrokken persoonsgegevens, de categorieën van betrokkenen;
dag en tijdstip waarop het datalek is geconstateerd:
de mogelijke gevolgen van het datalek;
de maatregelen die zijn getroffen of voorgesteld om het datalek aan te pakken en/of de eventuele nadelige gevolgen daarvan te beperken;
de contactpersoon bij Verwerker en diens contactgegevens voor verdere correspondentie omtrent het datalek.
Onder ‘datalek’ wordt verstaan: een inbreuk op de beveiliging van de persoonsgegevens, die leidt tot (de mogelijke) onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
Het is uitsluitend aan de Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd datalek wordt gemeld aan de toezichthoudende autoriteit en/of aan de betreffende betrokkenen.
Verwerker zal aan Verwerkingsverantwoordelijke te allen tijde volledige medewerking verlenen teneinde Verwerkingsverantwoordelijke in staat te stellen om onderzoek naar het (mogelijke) datalek uit te voeren en/of tijdig melding te maken van het datalek bij de toezichthoudende autoriteit en, waar van toepassing, bij de betrokkenen.
RECHTEN VAN BETROKKENEN
Verwerker biedt Verwerkingsverantwoordelijke alle redelijke medewerking om Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijnen te voldoen aan verzoeken van betrokkenen die zijn gebaseerd op aan betrokkene toegekende rechten op grond van de AVG, meer in het bijzonder, verzoeken om inzage van en rectificatie of verwijdering van de persoonsgegevens of beperking van de hem betreffende verwerking (daaronder begrepen het intrekken van eerder gegeven toestemming), alsmede verzoeken die zijn gebaseerd op het recht op gegevensoverdraagbaarheid.
AUDIT
Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor.
In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:
de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).
Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
AANSPRAKELIJKHEID EN VRIJWARING
Onafhankelijk van de tussen Partijen in de Hoofdovereenkomst bepaalde aansprakelijkheidsverdeling, is Verwerker aansprakelijk voor de schade of nadeel die Verwerkingsverantwoordelijke leidt als gevolg van een aan Verwerker toerekenbare tekortkoming onder deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften, waaronder uitdrukkelijk begrepen schade als gevolg van aan Verwerkingsverantwoordelijke opgelegde boetes van toezichthoudende autoriteiten. De totale aansprakelijkheid van Partijen is, tenzij er sprake is van opzet of bewuste roekeloosheid, beperkt tot het in de Hoofdovereenkomst overeengekomen bedrag.
[OPTIONEEL: additionele of andersluidende afspraken].
Verwerker vrijwaart Verwerkingsverantwoordelijke tegen en stelt Verwerkingsverantwoordelijke schadeloos voor alle aanspraken van derden (waaronder betrokkenen) die, direct of indirect, verband houden met het niet, niet tijdig of niet behoorlijk nakomen van de op Verwerker en/of haar sub-verwerkers rustende verplichtingen uit hoofde van deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften.
TOEPASSELIJK RECHT EN BEVOEGDHEID
Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
Geschillen tussen Verwerker en Verwerkingsverantwoordelijke naar aanleiding van of verband houdende met deze Verwerkersovereenkomst zullen bij uitsluiting worden voorgelegd aan de daartoe bevoegde rechter in het arrondissement waar Verwerkingsverantwoordelijke is gevestigd.
ALDUS OVEREENGEKOMEN EN ONDERTEKEND NAMENS,
[●] [●]
____________________ ____________________
Naam: [●] Naam: [●]
Datum: [●] Datum: [●]
BIJLAGE 1 – overzicht type persoonsgegevens en categorieën van betrokkenen
Typen persoonsgegevens
[INVULLEN, bijvoorbeeld:
Naam;
E-mailadres;
Geboortedatum;
BSN
Pasfoto
IP-adres
(…)]
Categorieën van betrokkenen
[INVULLEN, bijvoorbeeld:
Klanten;
Werknemers;
Websitebezoekers
(…)]
Xxxx en doeleinden van de verwerking / omschrijving van de dienst:
[beschrijving van wat er met de persoonsgegevens wordt gedaan (bijvoorbeeld opslag in een bestand, e-mailing etc.), wat het doel van de verwerking is (bijvoorbeeld marketing, klantenwerving, uitvoering overeenkomst, hosting diensten).]
[INVULLEN]
[OPTIONEEL zie punt 2.3] BIJLAGE 2 - technische en organisatorische beveiligingsmaatregelen
[OPTIONEEL zie punt 4.3] BIJLAGE 3 - overzicht sub-verwerkers