Verwerkersafspraken
Verwerkersafspraken
De ondergetekenden
De Nederlandse Zorgautoriteit, rechtsgeldig vertegenwoordigd door de voorzitter Raad van Bestuur, mevrouw dr. X.X. Xxxxxxx, hierna te noemen:
“Opdrachtgever”, en
Het Centraal Justitieel Incassobureau, Ministerie van Justitie en Veiligheid, onderdeel van de Staat der Nederlanden, rechtsgeldig vertegenwoordigd door de algemeen directeur, de heer xx. xxx. X. Xxxxxxxxx MBA, hierna te noemen:
“Opdrachtnemer”,
hierna gezamenlijk te noemen: "Partijen";
Overwegende dat:
1. Voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als verwerker;
2. Partijen in deze Verwerkersafspraken, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Opdrachtnemer wensen vast te leggen.
3. Partijen onderdeel zijn van dezelfde rechtspersoon, zijnde de Staat der Nederlanden, en derhalve geen overeenkomst in de zin van art. 6:213 BW kunnen sluiten;
4. Partijen evenwel hun afspraken over het Verwerken van de Persoonsgegevens door Opdrachtnemer wensen vast te leggen.
komen overeen:
1. Begrippen
In deze Verwerkersafspraken wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 4 van de AVG en artikel 1 van de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten 2018 (ARVODI-2018). In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersafspraken verstaan:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens (datalek): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Convenant: de meest recent getekende algemene samenwerkingsafspraken tussen partijen.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
1.6 Verwerkersafspraken: de afspraken in dit document inclusief overwegingen en bijbehorende bijlagen.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
2.1 Deze Verwerkersafspraken regelen de Verwerking van Persoonsgegevens door Opdrachtnemer in het kader van het Convenant.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven.
2.3 Opdrachtnemer garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Opdrachtnemer garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
3. Inwerkingtreding en duur van de Verwerkersafspraken
3.1 Deze Verwerkersafspraken treden in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Indien er bij opdrachtnemer reeds verstrekte Persoonsgegevens aanwezig zijn van Opdrachtgever, dan zijn deze Verwerkersafspraken ook hierop van toepassing.
3.3 De Verwerkersafspraken eindigen nadat en voor zover Opdrachtnemer alle Persoonsgegevens overeenkomstig artikel 10 van deze Verwerkersafspraken naar gelang de keuze van Opdrachtgever heeft gewist of terugbezorgd.
3.4 Geen van Partijen kan deze Verwerkersafspraken tussentijds opzeggen, omdat deze Verwerkersafspraken onderdeel zijn van de Overeenkomst. Deze Verwerkersafspraken eindigen op het moment dat de Overeenkomst eindigt.
4.1 Opdrachtnemer verwerkt de gegevens met het doel het uitvoeren van incassowerkzaamheden in opdracht van Opdrachtgever. Opdrachtnemer verwerkt hiertoe de in Bijlage 1 beschreven Persoonsgegevens behorende bij de beschreven vorderingen van Opdrachtgever.
4.2 Opdrachtnemer Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften en bepalingen die op Opdrachtnemer van toepassing zijn.
4.3 Indien een instructie als bedoeld in bovenstaand lid naar het oordeel van Opdrachtnemer in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.4 Opdrachtgever geeft Xxxxxxxxxxxxx toestemming om de persoonsgegevens die in het kader van de werkzaamheden die voortvloeien uit het Convenant en/of serviceafspraken zijn verkregen, te gebruiken om in opdracht van Opdrachtgever sociaal maatschappelijk verantwoord te innen en incasseren. Hiertoe worden in ieder geval NAW-gegevens, betalingsregelingen en, indien aanwezig, ook contactgegevens van bijvoorbeeld de bewindsvoerder/curator opgenomen.
4.5 Indien Opdrachtnemer op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.6 Opdrachtnemer heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens. Voor zover niet anders is bepaald in deze Verwerkersafspraken, neemt Opdrachtnemer geen beslissingen over het gebruik van de gegevens en de verstrekking aan derden.
5. Beveiliging van de Verwerking
5.1 In aanvulling op artikel 15 van de ARVODI-2018 en onverminderd artikel 2.3 treft Opdrachtnemer de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Opdrachtnemer waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Opdrachtnemer aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Opdrachtnemer (en eventuele Subverwerker) Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.5 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.6 Opdrachtnemer verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
6. Geheimhouding door Personeel van Opdrachtnemer
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter als bedoeld in artikel 13.1 van de ARVODI-2018.
6.2 Opdrachtnemer toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in artikel 13.2 van de ARVODI- 2018.
6.3 Deze en andere van toepassing zijnde verplichtingen ten aanzien van geheimhouding blijven ook na ontbinding van deze Overeenkomst gelden.
7. Subverwerker
7.1 Bij het uitvoeren van deze Verwerkersafspraken maakt Opdrachtnemer slechts na voorafgaande schriftelijke toestemming van Opdrachtgever gebruik van de diensten van een subverwerker, tenzij deze reeds is opgenomen in bijlage 1.
7.2 Wanneer Opdrachtnemer een andere verwerker binnen de Staat der Nederlanden inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersafspraken zijn opgenomen.
7.3 Wanneer een andere verwerker buiten de Staat der Nederlanden wordt ingeschakeld om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, dan moeten met deze verwerker Verwerkersafspraken worden gemaakt conform dezelfde verplichting inzake gegevensbescherming als die aan Opdrachtnemer zijn opgelegd.
7.4 De door Opdrachtgever verleende toestemming laat onverlet de eigen verantwoordelijkheid en aansprakelijkheid van Opdrachtnemer voor de nakoming van de krachtens de Overeenkomst op hem rustende verplichtingen alsmede andere verplichtingen volgende uit wet- en regelgeving.
8. Bijstand vanwege rechten van Betrokkene
8.1 Opdrachtnemer verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
8.2 Indien Opdrachtnemer een verzoek om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van Betrokkene ontvangt, zal deze het verzoek zo spoedig doorzenden naar Opdrachtgever.
9. Inbreuk in verband met Persoonsgegevens
9.1 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, zodra hij kennis heeft genomen van een mogelijke Inbreuk in verband met Persoonsgegevens (datalek), overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 Opdrachtnemer informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en betrokkene te maken kosten.
10. Terugbezorgen of wissen Persoonsgegevens
10.1 Bij beëindiging van de samenwerking draagt Opdrachtnemer, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van alle Persoonsgegevens. Opdrachtnemer verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 Dossiers of een kopie daarvan waarop reeds een betaling ontvangen is, of die al afgesloten zijn, zullen, ondanks het einde van de samenwerking, gedurende de in de meest recent ondertekende versie van de Uitvoeringsafspraken opgenomen bewaartermijn worden bewaard.
11. Informatieverplichting en audit
11.1 Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersafspraken zijn en worden nagekomen.
11.2 Opdrachtnemer verleent alle benodigde medewerking aan audits.
11.3 Opdrachtgever moet de kosten van deze audit dragen, tenzij de audit een wezenlijke inbreuk door Opdrachtnemer op deze verwerkersovereenkomst aan het licht brengt, in welk geval Opdrachtnemer de kosten van de audit zal dragen.
Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,
24-01-2023, 28-12-2022,
te Utrecht te Leeuwarden
Nederlandse Zorgautoriteit, De Staat der Nederlanden,
Het Centraal Justitieel Incassobureau
Mevrouw dr. X.X. Xxxxxxx De heer xx. xxx. X. Xxxxxxxxx MBA
voorzitter Raad van Bestuur Algemeen directeur
Bijlagen:
1. De Verwerking van Persoonsgegevens
2. Passende technische en organisatorische maatregelen
3. Afspraken betreffende Inbreuken in verband met Persoonsgegevens
Bijlage 1. De Verwerking van Persoonsgegevens
Het onderwerp/aard en doel van de Verwerking | Opdrachtnemer voert in opdracht van de opdrachtgever de inning en/of incasso uit van openstaande vorderingen. De wettelijke grondslag en de oorsprong van de vordering is nader uitgewerkt in de Uitvoeringsafspraken. |
Grondslag van de Verwerking | De Verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6 lid 1 sub e AVG). |
Het soort Persoonsgegevens | Volledige naam, geboortedatum, geboorteplaats, adres, postcode, BSN, IBAN, gegevens over de dwangsom of boete (bijv. het zaaknummer, de opgelegde dwangsom of boete of een eventuele betalingsregeling), contactgegevens van de bewindvoerder/curator. Het CJIB heeft voldoende gegevens als de zaak wordt aangeleverd met als persoonsgegeven een KvK nummer + vestigingsnummer. Met deze informatie kan het CJIB zelf de benodigde (persoons-)gegevens opvragen. In de gevallen dat het NZA niet over deze twee nummers beschikt zijn aanvullende gegevens van de betrokkene (debiteur) nodig. Voor de categorie Niet natuurlijke personen zijn dit onderstaande gegevens: • Naam organisatie • Rechtsvorm • Adresgegevens • Evt. de contactpersoon. |
Beschrijving categorieën Persoonsgegevens | Algemene Persoonsgegevens |
Beschrijving categorieën Betrokkenen | - Rechtspersonen, die herleidbaar zijn tot natuurlijke personen - Bedrijven (meestal geen persoonsgegevens, behalve wanneer de eigennaam in de bedrijfsnaam is verwerkt) - Contactpersonen - Medewerkers OG/CJIB |
Beschrijving categorieën ontvangers van Persoonsgegevens | Het CJIB, Deurwaarders, Bank, PMS (printen brieven) |
Bijlage 2. Passende technische en organisatorische maatregelen
Opdrachtnemer heeft passende technische en organisatorische beveiligingsmaatregelen getroffen waarmee de beschikbaarheid, integriteit en vertrouwelijkheid van de dataverwerking is geborgd. Opdrachtnemer doet dit op basis van hetgeen over informatiebeveiliging is vastgelegd in de BIO. Hiermee voldoet Opdrachtnemer aan de vereisten van informatiebeveiliging op basis waarvan de partijen erop kunnen vertrouwen dat de wijze waarop gegevens die worden verstuurd of worden ontvangen en verwerkt, in lijn met wet- en regelgeving, passend beveiligd zijn.
Opdrachtnemer beschikt over een robuuste informatiebeveiligingsorganisatie die is ingericht om te kunnen voldoen aan tenminste het basis beveiligingsniveau 2 (BBN 2). De basis voor de informatiebeveiliging is vastgelegd in het “Beleid Integrale Beveiliging CJIB” en de beleidsnotitie “Beveiligingsorganisatie CJIB”.
Voor de onderhavige dienstverlening zijn door Opdrachtnemer meer in het bijzonder de volgende BIO maatregelen toetsbaar en aantoonbaar van toepassing:
▪ Hoofdstuk 7: veilig personeel
▪ Hoofdstuk 9: logische toegangsbeveiliging
▪ Hoofdstuk 10: cryptografie
▪ Hoofdstuk 11: fysieke beveiliging
▪ Hoofdstuk 10: beheer van communicatie- en bedieningsprocessen
▪ Hoofdstuk 11: toegangsbeveiliging
▪ Hoofdstuk 12: beveiligen bedrijfsvoering
▪ Hoofdstuk 13: communicatiebeveiliging
▪ Hoofdstuk 14: acquisitie, ontwikkeling en onderhoud van informatiesystemen
▪ Hoofdstuk 15: leveranciersrelaties
▪ Hoofdstuk 16: beheer van informatiebeveiligings-incidenten
▪ Hoofdstuk 17: informatie beveiligingsaspecten van bedrijfscontinuiteitsbeheer
▪ Hoofdstuk 18: naleving
Opdrachtnemer heeft hierbij tenminste de verplichte rijksmaatregelen geïmplementeerd. Waar nodig zijn vanuit de BIO controls ingericht in aanvulling op de rijksmaatregelen.
Nader te noemen beveiligingsmaatregelen:
1) Hetgeen in deze Verwerkersafspraken is verklaard onder 6. en 7. inzake het waarborgen van de integriteit van betrokken medewerkers van opdrachtnemer of namens opdrachtnemer door opdrachtnemer.
2) Hetgeen in deze Verwerkersafspraken is verklaard onder 10. inzake het terugbezorgen of wissen van (persoons)gegevens door opdrachtnemer na beëindiging van de duur van het convenant.
3) Hetgeen in deze Verwerkersafspraken is verklaard onder 11. inzake het toetsbaar en aantoonbaar voldoen aan de informatie- en audit verplichting door Opdrachtnemer op verzoek van Opdrachtgever.
Door partijen zullen voorafgaand aan de dienstverlening zoals vastgelegd in het convenant de nader genoemde beveiligingsmaatregelen worden besloten en vastgelegd. Dit in geval er sprake is van te nemen maatregelen waarin de BIO niet voorziet of niet voldoende voorziet.
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
In deze bijlage zijn de afspraken, over hoe Opdrachtnemer Opdrachtgever over Inbreuken in verband met Persoonsgegevens (datalekken) gaat informeren, gespecificeerd.
Procedure
1 In geval van een inbreuk op de beveiliging als bedoeld in artikel 4 lid 12 AVG, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (beveiligingslek/beveiligingsincident/datalek, hierna ‘Datalek’) zal Opdrachtnemer de Opdrachtgever daarover terstond, doch in ieder geval binnen 1 dag (een dag, inclusief een zaterdag of een zondag, alsmede een algemeen erkende feestdag als bedoeld in artikel 3 van de Algemene Termijnenwet) nadat Opdrachtnemer bekend is geworden met het Datalek, informeren naar aanleiding waarvan de Opdrachtgever – zo nodig- de Autoriteit Persoonsgegevens en/of Betrokkene(n) zal informeren.
2 Indien er enige twijfel is of de inbreuk waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkene, dan meldt Opdrachtnemer de inbreuk altijd aan Opdrachtgever, om deze in staat te stellen een eigen oordeel te vormen of een melding noodzakelijk is.
3 Schriftelijk via de e-mail informeert Opdrachtnemer (vanuit
) een Datalek altijd bij de Opdrachtgever (geadresseerd aan . Het Meldpunt Informatiebeveiliging (MIB) is 24 uur per dag, 7 dagen in de week, te bereiken op .
4 De melding zal in ieder geval het feit dat er een Datalek is geweest omvatten, alsmede, voor zover reeds bekend bij Opdrachtnemer:
1) Een samenvatting van het Datalek
2) de aard van de inbreuk;
a) de datum en het tijdstip waarop het incident plaatsvond en werd ontdekt;
b) (het aantal) Betrokkenen getroffen door het incident;
c) welke categorieën persoonsgegevens betrokken zijn bij het incident. Zoals, maar niet beperkt tot, naam, adres, e-mailadres, telefoonnummer, IP-nummer, Burgerservicenummer, en ieder ander tot een persoon te herleiden gegeven.;
d) Zijn de contactgegevens van betrokkenen bekend.
e) welke beveiligingsmaatregelen – zoals versleuteling – zijn getroffen om verlies en onrechtmatige verwerking van de Persoonsgegevens te voorkomen.
3) de persoon of instantie met telefoonnummer en e-mailadres waar meer informatie kan worden verkregen;
4) de (vermeende) oorzaak van het Datalek;
5) de reeds bekende en te verwachten gevolgen van het Datalek;
6) de aanbevolen en/of getroffen maatregelen om de gevolgen te verhelpen, dan wel te beperken.
5 Indien Opdrachtnemer ten tijde van de melding als omschreven in artikel 1.1 niet de beschikking had over al de in artikel 1.4 genoemde informatie, zal zij deze informatie terstond vergaren en de aldus vergaarde informatie onmiddellijk aan Opdrachtgever verstrekken.