Verwerkersovereenkomst duurzame archivering
Verwerkersovereenkomst duurzame archivering
Partijen
1. [Naam organisatie Verwerkingsverantwoordelijke], gevestigd aan de/het [ADRES] te [PLAATS], Kamer van Koophandel nummer [KvK-nummer organisatie] en rechtsgeldig vertegenwoordigd door [Naam VERTEGENWOORDIGER] (hierna: ‘Verwerkingsverantwoordelijke’);
en
2. Koninklijke Nederlandse Akademie van Wetenschappen, gevestigd aan de Kloveniersburgwal 29 te Amsterdam, Kamer van Koophandel nummer 54667089, handelend ten behoeve van Data Archiving and Networked Services (DANS), gevestigd aan de Xxxx xxx Xxxxxxxxxx 00 xx Xxx Xxxx, en rechtsgeldig vertegenwoordigd door Xx. X. Xxxx (hierna: ‘Verwerker’);
Hierna gezamenlijk aangeduid als ‘Partijen’,
In aanmerking nemende dat
A) Verwerker met Verwerkingsverantwoordelijke op de volgende datum, - -
, een overeenkomst heeft gesloten met betrekking tot het verlenen van diensten ten behoeve van Verwerkingsverantwoordelijke, bestaande uit de Deponeerovereenkomst inzake het duurzaam archiveren en beheren van digitale (onderzoeks)data (hierna: de Hoofdovereenkomst).
B) Verwerker bij het uitvoeren van de werkzaamheden voortvloeiende uit de Hoofdovereenkomst Persoonsgegevens zal verwerken, zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna ook “AVG”);
C) Partijen nadere afspraken wensen te maken over de wijze waarop de Persoonsgegevens verwerkt zullen mogen worden en welke maatregelen Verwerker zal nemen ten behoeve van het beschermen van deze Persoonsgegevens, mede gelet op de verplichtingen van beide partijen voortvloeiende uit de Algemene Verordening Gegevensbescherming;
D) Partijen de gemaakte afspraken, mede gelet op het vereiste uit artikel 28 Algemene Verordening Gegevensbescherming, in deze overeenkomst schriftelijk wensen vast te leggen (hierna: de “Verwerkersovereenkomst”).
Komen het volgende overeen:
Artikel 1 Definities
a. Autoriteit Persoonsgegevens: een onafhankelijke organisatie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van Persoonsgegevens en adviseert over nieuwe regelgeving;
b. AVG: Algemene Verordening Gegevensbescherming (Verordening (EU) 2017/679 van het Europees Parlement en de Raad van 27 april 2016;
c. Betrokkene: natuurlijk persoon op wie een Persoonsgegeven betrekking heeft als bedoeld in artikel 4 onder 1 AVG;
d. Datalek: inbreuk op de beveiliging als bedoeld in artikel 33 AVG;
e. Derde: ieder, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om de Persoonsgegevens te verwerken, als bedoeld in artikel 4 onder 10 AVG;
f. Hoofdovereenkomst: de overeenkomst zoals omschreven onder overweging A;
g. Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens als bedoeld in artikel 4 onder 12 AVG;
h. Opdracht: de Opdracht die is omschreven in artikel 2 lid 3 van deze Verwerkersovereenkomst en die wordt uitgevoerd door de Verwerker in opdracht van de Verwerkingsverantwoordelijke;
i. Persoonsgegeven(s): alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, als bedoeld in artikel 4 onder 1 AVG;
j. Sub-Verwerker: degene die in opdracht van de Verwerker Persoonsgegevens verwerkt ten behoeve van de Opdracht voor de Verwerkingsverantwoordelijke;
k. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen als bedoeld in artikel 4 onder 8 AVG (als opgenomen onder partijen sub 2);
l. Verwerkersovereenkomst: de onderhavige overeenkomst, behorende bij de Hoofdovereenkomst;
m. Verwerking: een verwerking of een geheel van verwerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken,
verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, als bedoeld in artikel 4 onder 2 AVG;
n. Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt, als bedoeld in artikel 4 onder 7 AVG (als opgenomen onder partijen sub 1).
Artikel 2 Algemeen
1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens te verwerken.
2 De bepalingen uit deze Verwerkersovereenkomst gelden voor alle verwerkingen die plaatsvinden ter uitvoering van de Hoofdovereenkomst.
3 Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
4 Verwerking van Persoonsgegevens door Verwerker zal uitsluitend plaatsvinden voor zover noodzakelijk en in het kader van de uit te voeren Opdracht volgend uit de Hoofdovereenkomst.
5 Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke verleent Verwerker aan Derden, waaronder groepsmaatschappijen waartoe Verwerker behoort, zoals dochter- of zustermaatschappijen, geen toegang tot de Persoonsgegevens.
6 a. In Bijlage A dienen de volgende onderdelen te zijn opgenomen en omschreven:
- De Persoonsgegevens die verwerkt mogen worden ten behoeve van de uitvoering van de Opdracht;
- De bewaartermijn van de Persoonsgegevens;
- Overzicht met de categorie(ën) Betrokkenen;
- Overzicht met de ontvanger(s) van Persoonsgegevens.
b. In Bijlage B dienen de volgende onderdelen te zijn opgenomen en omschreven:
- Beschrijving van de beveiligingsmaatregelen die de Verwerker in ieder geval zal toepassen;
- Omschrijving van de (groepen) medewerkers die toegang hebben tot de Persoonsgegevens
- Welke Verwerkingen zijn toegestaan.
c. In Bijlage C dient het volgende te zijn opgenomen en omschreven:
- Overzicht van de door Verwerkingsverantwoordelijke toegestane Sub- verwerkers
d. De risicocategorieën dienen in Bijlage A per soort Persoonsgegeven te zijn omschreven.
e. Indien binnen de (hoofd)Opdracht sprake is van meerdere (deel)Opdrachten dienen per (deel)Opdracht de gegevens genoemd in sub a van dit artikel te worden opgenomen in Bijlage A.
7 Voor de uitvoering van de Opdracht kunnen uitsluitend de Persoonsgegevens worden verwerkt, die voor het door Verwerkingsverantwoordelijke vastgestelde doel noodzakelijk zijn. Verwerkingsverantwoordelijke bepaalt welke gegevens dat zijn en draagt zorg dat de betreffende Persoonsgegevens juist, toereikend en niet bovenmatig zijn conform artikel 5 AVG.
8 De verwerkingen van Persoonsgegevens vallen overeenkomstig artikel 3 AVG niet buiten de territoriale werkingssfeer van de AVG.
9 Indien Verwerker in strijd met de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Verwerker voor die Verwerkingen als Verwerkingsverantwoordelijke beschouwd.
Artikel 3 Informatieplicht
1 Verwerker informeert Verwerkingsverantwoordelijke over toekomstige wijzigingen in de uitvoering van de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met de Verwerker. Hieronder wordt mede begrepen de inschakeling van Sub- Verwerkers.
2 Verwerker informeert Verwerkingsverantwoordelijke over vragen of klachten van Xxxxxxxxxx(n).
3 Verwerker zal Verwerkingsverantwoordelijke informeren indien deze een instructie van Verwerkingsverantwoordelijke heeft ontvangen die strijdig is met de AVG of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
4 Verwerker brengt Verwerkingsverantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet aan de Verwerkersovereenkomst kan voldoen.
Artikel 4 Verplichtingen voor de Verwerker
1 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is:
a. Voor de uitvoering van deze Verwerkersovereenkomst; of
b. Voor verwerkingen met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden; of
c. Om een op haar rustende wettelijke verplichting na te komen.
2 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker verschaft toegang aan haar medewerkers voor zover dat noodzakelijk is ter uitvoering van deze Verwerkersovereenkomst en de Hoofdovereenkomst.
3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens Verwerken onder
het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers en ingeschakelde derden, in de ruimste zin van het woord.
4 Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van Derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op haar rustende afwijkende dwingendrechtelijke verplichtingen.
5 Verwerker houdt een register bij van Verwerkingen.
6 Verwerker dient zijn medewerking te verlenen aan de functionaris voor de gegevensbescherming, aangewezen door de Verwerkingsverantwoordelijke (als bedoeld in 37 AVG) op het moment dat deze die nodig heeft bij het vervullen van zijn functie.
Artikel 5 Verplichtingen voor de Verwerkingsverantwoordelijke
1 Verwerkingsverantwoordelijke ziet toe op een rechtmatige grondslag voor de Verwerking van Persoonsgegevens, als bedoeld in artikel 6 van de AVG.
Artikel 6 Inzet van Sub-Verwerkers
1 Verwerkingsverantwoordelijke geeft Xxxxxxxxx toestemming voor het inzetten van Sub-Verwerkers, Verwerker licht de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake toevoeging of vervanging van Sub-verwerkers.
2 Verwerker dient dezelfde afspraken met Sub-Verwerkers te maken als de afspraken die tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen in de Verwerkersovereenkomst.
Xxxxxxxxx stelt een schriftelijke overeenkomst op met de desbetreffende Sub- Verwerker met minimaal de volgende verplichtingen voor Sub-Verwerker:
a) Te handelen overeenkomstig deze Verwerkersovereenkomst; en
b) Alle instructies van de Verwerker en Verwerkingsverantwoordelijke betreffende Verwerking van Persoonsgegevens zonder enige vertraging volledig op te volgen en uit te voeren; en
c) Persoonsgegevens uitsluitend te Verwerken overeenkomstig de instructies van Verwerker; en
d) Geen enkele derde partij toegang te verschaffen tot Persoonsgegevens, ook niet aan enige Sub-Verwerkers van Sub-Verwerkers, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke; en
e) Om Verwerker en Verwerkingsverantwoordelijke in de gelegenheid te stellen efficiënt en tijdig en overeenkomstig de eisen die de AVG daaraan stelt, te kunnen handelen in het geval van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens zoals bedoeld in de AVG.
3 Verwerkingsverantwoordelijke ontvangt op verzoek een overzicht van Verwerker inzake de ingeschakelde Sub-Verwerkers.
Artikel 7 Beveiliging
1 Verwerker neemt passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking zoals, maar niet beperkt tot:
a. Beschadiging of verlies van Persoonsgegevens;
b. Onbevoegde wijziging van Persoonsgegevens;
c. Ontvreemding van Persoonsgegevens;
d. Kennisneming van Persoonsgegevens door onbevoegden.
2 Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen.
3 Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikel voldoet aan de beveiligingseisen op grond van de AVG.
4 Verwerker verstrekt Verwerkingsverantwoordelijke desgevraagd schriftelijke informatie met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens.
5 Verwerker informeert de Verwerkingsverantwoordelijke als één of meerdere van de beveiligingsmaatregelen substantieel wijzigt.
6 Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 AVG of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 AVG kan worden gebruikt als element om aan te tonen dat de in dit artikel bedoelde vereisten worden nageleefd.
Artikel 8 Meldplicht Datalekken
1 In het geval van een Datalek, zal Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging informeren door contact op te nemen met de in Bijlage D opgenomen contactpersoon van Verwerkingsverantwoordelijke.
2 Verwerker zal de hiervoor genoemde melding, voorzien van de informatie die is opgenomen in Bijlage D.
3 De Verwerker neemt maatregelen om (verdere) onbevoegde kennisneming, wijziging en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen.
4 Verwerker zal op verzoek van Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij het informeren van de bevoegde autoriteiten en Betrokkene(n).
5 Verwerker maakt schriftelijke afspraken met Sub-Verwerker(s) inzake de meldingsplicht van mogelijke Datalekken aan Verwerker, welke de Verwerker en de Verwerkingsverantwoordelijke in staat stellen verplichtingen, in het geval van een Datalek zoals beschreven in lid 1 van dit artikel, na te leven.
a. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Sub-Verwerker de Verwerker uiterlijk binnen 18 uur na de eerste ontdekking zal informeren over een Datalek zoals beschreven in lid 1 van dit artikel door contact op te nemen met de in Bijlage D opgenomen contactpersoon van Verwerker.
b. In deze afspraken moet in ieder geval worden opgenomen dat de Sub- Verwerker op verzoek van de Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
6 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
Artikel 9 Verplichtingen inzake Betrokkene(n)
1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan haar wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG.
2 In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de Betrokkene daarvan op de hoogte stellen.
Artikel 10 Audit
1 Verwerker voert assessments uit om te evalueren of de beveiligingsmaatregelen uit artikel 7 van de Verwerkersovereenkomst voldoen. Indien de Verwerkingsverantwoordelijke daar om verzoekt, zal Verwerker een rapport van dit assessment ter beschikking stellen, tenzij een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor Verwerkingsverantwoordelijke.
2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien van de organisatie van Verwerker, om vast te stellen of Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet.
a. De frequentie van het onderzoek is maximaal één keer per drie jaar.
b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek.
3 De kosten van de audit op verzoek komen voor rekening van de Verwerkingsverantwoordelijke.
4 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst en de Verwerkersovereenkomst voldoet, zal de Verwerker alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij alsnog voldoet.
Artikel 11 Internationaal verkeer
1 Verwerker garandeert dat iedere Verwerking van Persoonsgegevens, welke door of namens Verwerker met inbegrip van de door haar ingeschakelde Sub- Verwerker(s) wordt verricht in verband met het uitvoeren van de Hoofdovereenkomst, binnen de Europese Economische Ruimte (EER) plaats zal vinden.
2 Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is het Verwerker niet toegestaan Persoonsgegevens door te geven naar of op te slaan in een land buiten de EER.
3 Indien Verwerker Persoonsgegevens toegankelijk wil maken vanuit een niet-EER land dient hier voorafgaande schriftelijke toestemming voor te worden gevraagd
aan de Verwerkingsverantwoordelijke, ook in het geval dat het land een passend beschermingsniveau heeft.
4 Aan de toestemming kan de Verwerkingsverantwoordelijke voorwaarden verbinden.
5 Verwerker let er op dat, gelet op de omstandigheden van toepassing op de overdracht van de Persoonsgegevens of welke informatie dan ook, de bedoelde landen, gelegen buiten de EER, afdoende bescherming bieden.
6 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden, waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de gegevensverwerking plaatsvindt.
Artikel 12 Opsporingsverzoeken
1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren.
2 Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke in acht nemen (waaronder de instructie om de behandeling van het verzoek of het bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking te verlenen.
3 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen genoemd in leden 1 en 2 van dit artikel, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
a. Juridisch laten toetsen in hoeverre (i) Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en (ii) het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
b. Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijke hierover te informeren of haar instructies op te volgen;
c. Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen;
d. Indien sprake is van doorgifte naar een land buiten de EER: de mogelijkheden onderzoeken om te voldoen aan de artikelen 44 tot en met 46 AVG;
e. Verwerkingsverantwoordelijke onverwijld informeren zodra dit is toegestaan.
4 In dit artikel wordt onder ‘wettelijk’ niet alleen Nederlandse, maar ook buitenlandse wet- en regelgeving verstaan.
Artikel 13 Geheimhouding
1 Alle Persoonsgegevens die in het kader van de Verwerkersovereenkomst en/of de Hoofdovereenkomst worden verwerkt zijn vertrouwelijke gegevens.
2 Verwerker zal alle (Persoons)gegevens waarvan zij het vertrouwelijk karakter kent of redelijkerwijs kan vermoeden en die haar in het kader van de uitvoering van de Hoofdovereenkomst en/of Verwerkersovereenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder intern of extern bekendmaken en/of aan Derden verstrekken, behalve voor zover:
a. Bekendmaking en/of verstrekking van die gegevens in het kader van de uitvoering van de Hoofdovereenkomst noodzakelijk is;
b. Enig dwingendrechtelijk Nederlands wettelijk voorschrift of Nederlandse rechtelijke uitspraak Verwerker tot bekendmaking en/of verstrekking van die gegevens of informatie verplicht, waarbij Verwerker eerst de Verwerkingsverantwoordelijke hiervan op de hoogte zal stellen;
c. Bekendmaking en/of verstrekking van die gegevens geschiedt met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke; dan wel
d. Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van Verwerker.
3 Verwerker zal de voor haar werkzame personen (waaronder werknemers) alsmede Sub-Verwerkers die betrokken zijn bij de verwerking van vertrouwelijke gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke gegevens.
4 De Verwerker stelt alle gegevens die zij in het kader van de uitvoering van de Onderliggende en/of Verwerkersovereenkomst onder haar heeft, inclusief eventueel daarvan gemaakte kopieën, op eerste verzoek aan de Verwerkingsverantwoordelijke ter beschikking.
5 Na beëindiging van de Hoofdovereenkomst en/of Verwerkersovereenkomst blijft dit artikel en de hierin besproken geheimhouding van kracht.
Artikel 14 Aansprakelijkheid
1 Verwerker is verantwoordelijk voor de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke.
2 Behoudens in geval van opzet of grove schuld vrijwaart Verwerkingsverantwoordelijke de Verwerker voor alle schade die Verwerkingsverantwoordelijke lijdt als gevolg van een toerekenbare tekortkoming van Verwerker, of door haar ingeschakelde Sub-Verwerkers of anderen ter zake van verplichtingen uit de Hoofdovereenkomst, de Verwerkersovereenkomst, AVG of andere toepasselijke regelgeving inclusief regelgeving betreffende de verwerking van Persoonsgegevens. Hierbij wordt rekening gehouden met de omstandigheden dat de diensten van Verwerker kosteloos en gericht op het algemeen belang van ontsluiting van onderzoeksgegevens zijn.
3 Verwerkingsverantwoordelijke vrijwaart Verwerker, Sub-verwerkers en andere door Verwerker ingezette (rechts)personen, en zal Verwerker, Sub-verwerkers
en andere door Verwerker ingezette (rechts)personen schadeloos stellen ter zake van, alle (rechts)vorderingen die een Derde of een Betrokkene, op enig tijdstip op Verwerker, Sub-verwerkers en andere door Verwerker ingezette (rechts)personen mocht hebben of jegens Verwerker, Sub-verwerkers en andere door Verwerker ingezette (rechts)personen mocht instellen en die voortvloeien uit of verband houden met de Hoofdovereenkomst, de Verwerkersovereenkomst, de AVG of andere toepasselijke regelgeving. Hierbij wordt rekening gehouden met de omstandigheden dat de diensten van Verwerker kosteloos en gericht op het algemeen belang van ontsluiting van onderzoeksgegevens zijn.
Artikel 15 (Intellectuele) eigendomsrechten en zeggenschap
1 Alle (intellectuele) eigendomsrechten op gegevens, data, informatie en enig ander materiaal of content die de Verwerkingsverantwoordelijke invoert, verstuurt, plaatst of anderszins verwerkt met behulp van de Verwerker blijven te allen tijde berusten bij Verwerkingsverantwoordelijke, dan wel hun respectievelijke licentiegever(s).
2 Verwerker heeft geen zelfstandige zeggenschap over bovengenoemde informatie die door haar wordt verwerkt. De zeggenschap berust bij Verwerkingsverantwoordelijke.
Artikel 16 Wijziging
1 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft, treden partijen op verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen deze Verwerkersovereenkomst.
2 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van deze Verwerkersovereenkomst.
3 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke en/of Verwerker niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot de Verwerking van Persoonsgegevens.
Artikel 17 Duur en beëindiging
1 Deze Verwerkersovereenkomst treedt in werking op dezelfde datum als die van de Hoofdovereenkomst en eindigt ook gelijktijdig als de Hoofdovereenkomst.
2 Het is niet mogelijk om de Verwerkersovereenkomst separaat van de Hoofdovereenkomst op te zeggen, behoudens het bepaalde in lid 3.
3 Verwerkingsverantwoordelijke en Verwerker zijn gerechtigd de Verwerkersovereenkomst op te zeggen indien de Verwerker niet voldoet of niet langer kan voldoen aan de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens. Bij de opzegging wordt een redelijke opzegtermijn in acht genomen.
4 Bij beëindiging van de Hoofdovereenkomst, om welke reden ook, of bij beëindiging van de Verwerkersovereenkomst als bedoeld in lid 3 van dit artikel,
zal Xxxxxxxxx ervoor zorgdragen dat naar keuze van Verwerkingsverantwoordelijke:
a. Alle of een door Verwerkingsverantwoordelijke bepaald gedeelte haar in het kader van de Opdracht ter beschikking gestelde Persoonsgegevens worden vernietigd op alle locaties,
b. Alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van de Opdracht ter beschikking gestelde Persoonsgegevens aan een opvolgend Verwerker ter beschikking worden gesteld, dan wel
c. Wordt Verwerkingsverantwoordelijke in de gelegenheid gesteld om de Persoonsgegevens of een door Verwerkingsverantwoordelijke bepaald gedeelte van de Persoonsgegevens aan de Opdracht te onttrekken.
5 Verwerker is toegestaan een uitzondering te maken op de plicht tot vernietiging zoals bedoeld in lid 4a van dit artikel, indien het voortzetten van de verwerking plaatsvindt met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, en dit in overeenstemming is met de AVG.
6 Vernietiging en/of beschikbaarheidsstelling en/of onttrekking van Persoonsgegevens vindt plaats zoals afgesproken in de hoofdovereenkomst.
7 Verwerker zal bij beëindiging van de Verwerkersovereenkomst de (ook in geval van lid 4, aanhef en onder b van dit artikel beschreven) dataportabiliteit waarborgen op zodanige wijze dat de (bijgewerkte) (Persoons)gegevens aan Verwerkingsverantwoordelijke worden verstrekt en dat er geen sprake is van verlies van functionaliteit of (delen van) de (bijgewerkte) (Persoons)gegevens, tenzij dat in redelijkheid niet verlangd kan worden van Verwerker.
Artikel 18 Toepasselijk recht en geschillenbeslechting
1 Bij tegenspraak tussen bepalingen uit deze Verwerkersovereenkomst en de Hoofdovereenkomst, prevaleren de bepalingen uit deze Verwerkersovereenkomst.
2 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
3 Algemene leveringsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van Verwerkingsverantwoordelijke en Verwerker zijn niet van toepassing op deze Verwerkersovereenkomst.
4 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met deze Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke is gevestigd.
Aldus overeengekomen en in tweevoud ondertekend, Verwerkingsverantwoordelijke Verwerker
Datum: Datum:
Bijlage A: Specificatie Persoonsgegevens Bijlage B: Beveiligingsmaatregelen Verwerker Bijlage C: Sub-verwerkers
Bijlage D: Meldingsplicht datalekken
Bijlage A: specificatie persoonsgegevens
OPDRACHT
Naam opdracht
Het duurzaam archiveren en beheren van digitale (onderzoeks)data
Omschrijving van de opdracht
Het duurzaam archiveren en beheren van digitale (onderzoeks)data onder de voorwaarden van de Hoofdovereenkomst betreffende de Dataset met persistent identifier: [persistent identifier dataset]
TE VERWERKEN PERSOONSGEGEVENS
De volgende Persoonsgegevens met vermelde risicoklasse verwerkt Verwerker namens Verwerkingsverantwoordelijke. Deze Persoonsgegevens worden door Verwerker niet langer bewaard dan noodzakelijk is voor de uitvoering van de Onderliggende Overeenkomst of om een op haar rustende wettelijke verplichting na te komen. Voor Persoonsgegevens die worden verwerkt ten behoeve van de juiste uitvoering van de Opdracht gelden de hieronder aangegeven bewaartermijnen.
Risicoklasse
Persoonsgegevens (Normaal/Hoog) Bewaartermijn
BETROKKENEN
Opsomming van de groep(en) mensen waarvan Persoonsgegevens worden verwerkt.
ONTVANGERS
Opsomming van de groep(en) mensen aan wie de Persoonsgegevens worden verstrekt.
Bijlage B: beveiligingsmaatregelen verwerker
GETROFFEN BEVEILIGINGSMAATREGELINGEN
Omschrijving van de beveiligingsmaatregelingen die de Verwerker in ieder geval zal toepassen:
De data zijn opgeslagen in een beveiligd datacenter. De data worden op twee locaties bewaard. De servers zijn beschermd met een firewall en er geldt een strikt toegangsbeleid tot de servers, data en back-up.
Omschrijving van de certificaten en geldigheidsduur waarover Xxxxxxxxx beschikt:
Het archiefsysteem van Xxxxxxxxx is gecertificeerd volgens het CoreTrustSeal (CTS) en het nestor Seal (DIN 31644). Zie xxxxx://xxx.xxxxxxxxxxxxx.xxx/ en xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/Xxxx/xxxxxx/XX/Xxxxxxxxxxxxxx/xxxxxx_Xxxxxx/xxxx or_siegel_node.html
Het datacenter Vancis valt onder SURFCumulus van SURF. Vancis is gecertificeerd met onder andere ISO9001 en ISO27001 certificeringen. Zie xxxxx://xxxxxx.xx/xxxx- vancis/certificeringen/.
OMSCHRIJVING VAN DE (GROEPEN) MEDEWERKERS DIE TOEGANG HEBBEN TOT PERSOONSGEGEVENS
Beschrijving van de (groep) medewerkers die toegang hebben tot welke Persoonsgegevens en vermeld welke verwerkingen zij ten aanzien van deze Persoonsgegevens mogen uitvoeren.
(Groep) Medewerkers Persoonsgegevens Type verwerking
Alle te verwerken persoonsgegevens,
Medewerkers IT-Support DANS
zoals omschreven in
bijlage A Opslag
Medewerkers archief DANS
Alle te verwerken persoonsgegevens, zoals omschreven in bijlage A
Opslag en verwerking ten behoeve van hergebruik en duurzame archivering
ICT-Service KNAW
Alle te verwerken persoonsgegevens, zoals omschreven in
bijlage A Opslag
Bijlage C: sub-verwerkers
De Verwerkingsverantwoordelijke heeft Verwerker:
Algemene toestemming gegeven voor het inschakelen van Sub-verwerkers.
Specifieke toestemming gegeven om de volgende Sub-verwerkers in te zetten bij de uitvoering van de Opdracht (per Sub-verwerker dient onderstaande tabel te worden ingevuld).
Naam organisatie Korte omschrijving
dienstverlening
Mate van verwerking
Persoonsgegevens
Plaats / Land van
verwerking gegevens Naam contactpersoon Functie
E-mailadres
Telefoonnummer
Bijlage D: meldingsplicht datalekken
Lijst van contactpersonen inzake het melden van een datalek
Voor het melden van een Datalek als bedoeld in artikel 8 van de Verwerkersovereenkomst dient contact te worden opgenomen met
VERWERKINGSVERANTWOORDELIJKE:
Naam organisatie
Naam contactpersoon
Functie
E-mailadres
Telefoonnummer
VERWERKER 1E CONTACT:
Naam organisatie DANS Naam contactpersoon Xxxxx Xxxxxxxxxx Functie Secretaris / Privacy officer
E-mailadres xxxxxxx@xxxx.xxxx.xx
Telefoonnummer x00 (0) 0 00 00 00 43
VERWERKER 2E CONTACT:
Naam organisatie DANS Naam contactpersoon Xxxxxx Xxxxxxxxx Functie Adviseur juridische zaken
E-mailadres xxxxxxx@xxxx.xxxx.xx
Telefoonnummer x00 (0) 0 00000000
Informatie die moet worden verstrekt bij een datalek
Als Verwerker de Verwerkingsverantwoordelijke moet informeren op grond van artikel 8 van de Verwerkersovereenkomst, dient onderstaand formulier zo volledig mogelijk te worden ingevuld en te worden verstrekt aan Verwerkingsverantwoordelijke.
GEGEVENS OVER HET DATALEK
Geef een samenvatting van het incident waarbij er een inbreuk op de beveiliging van Persoonsgegevens is geweest:
Van hoeveel personen zijn Persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in)
Minimaal Maximaal
Omschrijf de groep mensen van wie Persoonsgegevens zijn betrokken bij de inbreuk:
Wanneer vond de inbreuk plaats?
(Kies een van de volgende opties en vul waar nodig aan) Exact op (datum)
Tussen (datum) en (datum)
Nog niet bekend
Wanneer werd de inbreuk ontdekt? Datum Tijdstip
Wat is de aard van de inbreuk?
(U kunt meerdere mogelijkheden aankruisen) Lezen (vertrouwelijkheid)
Kopiëren
Veranderen (integriteit)
Verwijderen of vernietigen (beschikbaarheid) Diefstal
Nog niet bekend
Om welk type Persoonsgegevens gaat het? (U kunt meerder mogelijkheden aankruisen)
Naam-, adres- en woonplaatsgegevens Telefoonnummers
E-mailadressen of andere adressen voor elektronische communicatie Toegangs- of identificatiegegevens
Financiële gegevens Burgerservicenummer (BSN)
Paspoortkopieën of kopieën van andere legitimatiebewijzen Geslacht, geboortedatum en/of leeftijd
Bijzondere Persoonsgegevens Overige gegevens, namelijk:
Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de Betrokkenen?
(U kunt meerder mogelijkheden aankruisen) Stigmatisering of uitsluiting
Schade aan de gezondheid Blootstelling aan (identiteits)fraude Blootstelling aan spam of phishing Andere gevolgen, namelijk:
VERVOLGACTIES NAAR AANLEIDING VAN HET DATALEK
Omschrijf welke technische en organisatorische maatregelen uw organisatie heeft getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen:
BESCHERMINGSMAATREGELEN
Waren de persoonsgegevens op het moment van het ontdekken van het datalek versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk voor onbevoegden?
Ja Nee
Deels, namelijk:
Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd?
(Beantwoord deze vraag als u bij de vorige vraag gekozen heeft voor optie ‘Ja’ of optie ‘Deels, namelijk’. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.)
Xxxxx xxx xxxxxxxxxxxx:
INTERNATIONALE ASPECTEN
Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties)
Ja
Nee
Nog niet bekend