VOORBEELD BEWERKERSOVEREENKOMST

VOORBEELD BEWERKERSOVEREENKOMST

Bewerkersovereenkomst [NAAM BEDRIJF]

Datum: [INVOEREN DATUM]

Contractpartijen:

1. Verantwoordelijke te weten [STATUTAIRE NAAM], statutair gevestigd te [PLAATS],

vertegenwoordigd door [NAAM EN/OF NAAM BESTUURDER]

hierna te noemen: ‘Verantwoordelijke’,

en

2. Verwerker te weten [STATUTAIRE NAAM], statutair gevestigd te [PLAATS], vertegenwoordigd

door [NAAM EN/OF NAAM BESTUURDER]

hierna te noemen: ‘Bewerker’,

gezamenlijk aan te duiden als: ‘Partijen’;

Overwegende dat:

Partijen hebben op [DATUM] een Overeenkomst met betrekking tot [OMSCHRIJVING] gesloten. Ter uitvoering van deze Overeenkomst worden Persoonsgegevens verwerkt.

Verantwoordelijke hecht grote waarde aan het beschermen van deze Persoonsgegevens. Om die reden leggen Partijen in deze Bewerkersovereenkomst en de daarbij behorende bijlagen, te weten:

1. overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen

2. overzicht met beveiligingsmaatregelen

3. proces rondom het melden van Datalekken en de te verstrekken informatie met betrekking tot

het Datalek vast wat Bewerker wel en niet mag doen met de Persoonsgegevens.

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke

persoon (‘de Xxxxxxxxxx’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of mee elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

2. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

3. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,

een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (‘Verantwoordelijke’).

4. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke Persoonsgegevens verwerkt (‘Bewerker’).

5. Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte

Persoonsgegeven betrekking hebben.

1.6 Verwerkersovereenkomst: deze Overeenkomst inclusief de bijlagen (‘Bewerkersovereenkomst’).

1.7 Overeenkomst: de hoofdovereenkomst waar deze Bewerkersovereenkomst uit voortvloeit.

1.8 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op

onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘Datalek’).

1.9 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het

toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.

2. Totstandkoming, duur en beëindiging van deze Bewerkersovereenkomst

2.1 Deze Bewerkersovereenkomst treedt in werking op de datum waarop Partijen deze ondertekenen.

2.2 Deze Bewerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de

Overeenkomst duurt.

2.3 Indien de Overeenkomst eindigt, eindigt deze Bewerkersovereenkomst automatisch; de

Bewerkersovereenkomst kan niet apart worden opgezegd.

2.4 Na beëindiging van deze Bewerkersovereenkomst zullen de lopende verplichtingen voor Bewerker, zoals het melden van Datalekken waarbij Persoonsgegevens van Verantwoordelijke betrokken zijn en de plicht tot geheimhouding blijven voortduren.

3. Verwerken Persoonsgegevens

3.1 Bewerker verwerkt alleen Persoonsgegevens in opdracht van Verantwoordelijke en Bewerker heeft geen zeggenschap over de Persoonsgegevens. Bewerker volgt instructies van Verantwoordelijke ten aanzien van de verwerking op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Verantwoordelijke Bewerker daar van tevoren toestemming of opdracht voor geeft.

3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens Bewerker precies zal verwerken en voor

welke verwerkingsdoeleinden.

3.3 Bewerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en

transparante wijze.

3.4 Bewerker mag zonder voorafgaande schriftelijke toestemming van Verantwoordelijke geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

3.5 Wanneer Bewerker met toestemming van Verantwoordelijke andere organisaties inschakelt,

moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Bewerkersovereenkomst.

3.6 Wanneer Verantwoordelijke een verzoek van een Betrokkene ontvangt ten aanzien van het

uitoefenen van zijn of haar rechten, dan werkt Xxxxxxxx daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

4. Beveiligen Persoonsgegevens

4.1 Bewerker zorgt ervoor dat de Persoonsgegevens voldoende worden beveiligd. Om verlies en

onrechtmatige verwerkingen te voorkomen neemt Bewerker passende technische en organisatorische maatregelen.

4.2 Deze maatregelen zijn afgestemd op het risico van de Verwerking. Een overzicht van deze

maatregelen en het beleid daaromtrent wordt opgenomen in Bijlage 2.

4.3 Ter controle van de genomen beveiligingsmaatregelen zal Bewerker aan Verantwoordelijke ieder

jaar een rapportage sturen waarin de genomen maatregelen staan en de eventuele aandachts- en/of verbeterpunten. Hiervoor brengt Xxxxxxxx geen kosten in rekening aan Verantwoordelijke.

4.4 Verantwoordelijke mag een audit laten uitvoeren om te bepalen of het verwerken van de

Persoonsgegevens aan de wet en de afspraken uit deze Bewerkersovereenkomst voldoet. Bewerker verleent hierbij zijn medewerking. Waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.

4.5 De kosten voor de uitvoering van deze audit zullen voor rekening van Xxxxxxxx komen wanneer

blijkt dat Xxxxxxxx zich niet aan de verplichtingen in deze Bewerkersovereenkomst houdt.

4.6 De controle op de algehele verwerking van Persoonsgegevens door Bewerker kan, naast de auditmogelijkheid, ook geschieden via zelfevaluatie door Xxxxxxxx. Bewerker zal hierbij aan Verantwoordelijke een rapport verstrekken waarin Xxxxxxxx aantoont dat hij voldoet aan de wet en de afspraken uit deze Bewerkersovereenkomst. Deze rapportage dient te worden ondertekend door een directielid binnen de organisatie van Bewerker.

4.7 Wanneer Partijen vinden dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk

is, treden Partijen in overleg over de wijziging daarvan. De kosten gemoeid met het wijzigen van de beveiligingsmaatregelen komen voor rekening van degene die de kosten maakt.

5. Exporteren Persoonsgegevens

5.1 Bewerker mag geen Persoonsgegevens laten verwerken door andere personen of organisaties

buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Xxxxxxxxxxxxxxxxx.

6. Geheimhouding

6.1 Bewerker zal de verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een

wettelijke verplichting niet kan.

6.2 Bewerker zorgt dat zijn/haar personeel en ingeschakelde hulppersonen zich aan deze

geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)contracten op te nemen.

7. Datalekken

7.1 In geval van een ontdekking van een mogelijk Datalek zal Bewerker Verantwoordelijke hierover

informeren binnen een termijn van 24 uur overeenkomstig het proces volgend uit Bijlage 3, zodat Verantwoordelijke indien nodig een melding van het Datalek bij de Toezichthouder kan doen. De Bewerker zal niet op eigen initiatief melding van het Datalek doen bij de Toezichthouder.

7.2 Bewerker zal Verantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het

Datalek, ook zal Bewerker de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen aan Verantwoordelijke.

7.3 Bewerker mag geen melding van een Datalek aan de Toezichthouder doen, wanneer bij het

Datalek Persoonsgegevens van Verantwoordelijke betrokken zijn. Ook mag Bewerker de Betrokkenen niet informeren over het Datalek. Deze verantwoordelijkheid ligt bij Verantwoordelijke.

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen

voorkomen, komen voor rekening van degene die de kosten maakt.

8. Aansprakelijkheid

8.1 Als Bewerker de verplichtingen uit deze Bewerkersovereenkomst niet nakomt, kan

Verantwoordelijke Bewerker daarvoor aansprakelijk stellen.

8.2 Bewerker is aansprakelijk voor alle schade die Verantwoordelijke lijdt door het niet nakomen van

de wet en de bepalingen uit deze Bewerkersovereenkomst, voor zover dit is ontstaan door de werkzaamheden van Bewerker.

8.3 Indien Bewerker de verplichtingen in deze Bewerkersovereenkomst overtreedt, is Xxxxxxxx aan

Verantwoordelijke een direct opeisbare boete verschuldigd van [BEDRAG] voor iedere overtreding en [BEDRAG] voor iedere dag dat Bewerker de overtreding begaat. Daarnaast behoudt Verantwoordelijke het recht om schadevergoeding te vorderen. (optioneel)

8.4 Bewerker is aansprakelijk voor de aan Verantwoordelijke opgelegde bestuurlijke boete door de

Toezichthouder als de schade het gevolg is van het onrechtmatig of nalatig handelen van Bewerker.

8.5 Verantwoordelijke is niet aansprakelijk voor aanspraken van Xxxxxxxxxx of andere personen en

organisaties waar Xxxxxxxx de samenwerking mee is aangegaan of waarvan Bewerker Persoonsgegevens verwerkt, als dit het gevolg is van het onrechtmatig of nalatig handelen van Bewerker.

9. Teruggave Persoonsgegevens en bewaartermijn

9.1 Na het beëindigen van deze Bewerkersovereenkomst geeft Bewerker de Persoonsgegevens terug aan Verantwoordelijke.

9.2 De overgebleven Persoonsgegevens zal Bewerker vernietigen na verstrijken van de wettelijke

bewaartermijn en/of op verzoek van Verantwoordelijke. Hierbij valt bijvoorbeeld te denken aan Persoonsgegevens die om belastingtechnische redenen bewaard moeten blijven.

10. Slotbepalingen

10.1 Deze Bewerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen

uit de Overeenkomst zijn daarom ook van toepassing op de Bewerkersovereenkomst.

10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Bewerkersovereenkomst en de

Overeenkomst, gelden de bepalingen uit deze Bewerkersovereenkomst ten aanzien van de verwerking van Persoonsgegevens.

10.3 Afwijkingen van deze Bewerkersovereenkomst zijn slechts geldig wanneer Partijen dit samen

schriftelijk afspreken.

Aldus door Partijen overeengekomen en ondertekend:

Verantwoordelijke:

Ondertekend voor en namens [STATUTAIRE NAAM]

Naam:

Functie:

Datum en plaats:

Handtekening:

Bewerker:

Ondertekend voor en namens [STATUTAIRE NAAM]

Naam:

Functie:

Datum en plaats:

Handtekening: