Partijen

2018 Model Nederlandse Stichting voor Vereniging en Recht (xxx.xxxxxxxxxxxxxxxxx.xx), opgesteld door Xxxxxxxxxxxxxx.xx


VERWERKERSOVEREENKOMST


Partijen


  • ………………………, gevestigd te (……………….) ……………… aan ………………………, hierbij rechtsgeldig vertegenwoordigd door [NAAM, FUNCTIE], hierna te noemen “Verwerkingsverantwoordelijke”;


En


  • [NAAM, VESTIGINGSADRES], hierbij rechtsgeldig vertegenwoordigd door [NAAM, FUNCTIE], hierna te noemen “Verwerker”;



in aanmerking nemende dat

  • Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen;

  • Waar in deze overeenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 sub 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) bedoeld worden;

  • Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker ten behoeve van de uitvoering van de Raamovereenkomst (hierna: ‘’Overeenkomst’’);

  • Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden;

  • Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dat van hem redelijkerwijs verwacht mag worden;

  • Verwerkingsverantwoordelijke aangemerkt kan worden als Verwerkingsverantwoordelijke in de zin van artikel 4 sub 7 van de AVG;

  • Verwerker aangemerkt kan worden als verwerker in de zin van artikel 4 sub 8 van de AVG;

  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).


zijn als volgt overeengekomen


  1. DOELEINDEN VAN VERWERKING

    1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Overeenkomst en in opdracht van de Verwerkingsverantwoordelijke en die doeleinden die met nadere instemming worden bepaald.

    2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld (bijlage 1, onder II).

    3. De Verwerker neemt geen zelfstandige beslissingen over het verwerken van de persoonsgegevens voor andere doeleinden, waaronder over de verstrekking daarvan aan derden en de duur van de opslag van gegevens. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van deze Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij de Verwerkingsverantwoordelijke.

    4. De Verwerker en alle medewerkers, handelend onder zijn gezag, hebben uitsluitend toegang tot gegevens voor zover noodzakelijk voor de vervulling van hun taak.

    5. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.


Artikel 2. HET SOORT PERSOONSGEGEVENS, DE CATEGORIEËN VAN BETROKKENEN EN HET DOEL VAN DE VERWERKING


2.1 Een overzicht van het soort persoonsgegevens, de categorieën van betrokkenen en het doel van de verwerking is opgenomen in Bijlage 1.


Artikel 3. RISICOANALYSE EN DE BEVEILIGINGSEISEN DIE OP DE VERWERKING VAN TOEPASSING ZIJN


3.1 Als aanvulling op artikel 10 van de Verwerkersovereenkomst komen Partijen overeen dat een risicoanalyse wordt uitgevoerd waarmee ter beoordeling van Verwerkingsverantwoordelijke door verwerker dient te worden aangetoond dat zij voldoende waarborgen biedt

ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.

3.2 Indien Verwerkingsverantwoordelijke op basis van de risicoanalyse van oordeel is dat er onvoldoende waarborgen zijn dat verwerker de verplichtingen nakomt die op Verwerkingsverantwoordelijke rusten ingevolge artikel 28 en 32 AVG, zullen de door verwerker uit te voeren aanvullende eisen worden opgenomen in een aparte Bijlage (2).


Artikel 4. VERPLICHTINGEN VERWERKER


4.1 Verwerker garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG en de Nationale uitvoeringswet(ten).

4.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de AVG.

4.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

4.4 Het verwerken van gegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkingsverantwoordelijke. Het combineren van gegevens afkomstig van Verwerkingsverantwoordelijke door Verwerker is niet toegestaan.

4.5 Verwerker vrijwaart Verwerkingsverantwoordelijke van eventuele claims en procedures van derde partijen, waaronder uitdrukkelijk begrepen toezichthouders zoals de Autoriteit Persoonsgegevens en betrokkenen, gebaseerd op of voortvloeiend uit een schending van de AVG en/of deze Verwerkersovereenkomst die aan de Verwerker toegerekend kan worden.






ARTIKEL 5. DOORGIFTE VAN PERSOONSGEGEVENS


5.1 Verwerker mag de persoonsgegevens enkel verwerken in landen binnen de Europese Unie, de Eurpese Economische Ruimte (EER) of in landen met een passend beschermingsniveau. Doorgifte naar ander landen is verboden, tenzij een wettelijke uitzondering van toepassing is.

5.2 Verwerker zal Verwerkingsverantwoordelijke desgevraagd melden in welk land of landen de persoonsgegevens worden verwerkt.


ARTIKEL 6. SCHRIFTELIJKE INSTRUCTIE, ONDER MEER BIJ DOORGIFTE VAN PERSOONSGEGEVENS

6.1 Met betrekking tot de verwerking van persoonsgegevens, waaronder de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie, als bedoeld in artikel 5 van deze Verwerkersovereenkomst, zal Verwerker uitsluitend handelen op basis van schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat laatste geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijke voorschrift, tenzij de wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.


ARTIKEL 7. VERDELING VAN VERANTWOORDELIJKHEID


7.1 De toegestane verwerkingen worden uitgevoerd binnen een geautomatiseerde omgeving onder volledige controle van Verwerker.

7.2 Verwerker is verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke, ongeacht de wettelijke verantwoordelijkheid.

7.3 Verwerkingsverantwoordelijke is verantwoordelijk voor de eigen verwerkingen van persoonsgegevens, waarbij Xxxxxxxxx niet is betrokken.


ARTIKEL 8. INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS


8.1 Verwerker mag in het kader van de Overeenkomst geen gebruik maken van een derde, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, welke toestemming onderwerp kan zijn van nadere voorwaarden.

8.2 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien. Verwerker vrijwaart Verwerkingsverantwoordelijke van dergelijke claims.

8.3 Een overzicht van de sub verwerkers waarvoor Verwerkingsverantwoordelijke aan Verwerker schriftelijke toestemming heeft verleend als bedoeld in lid 1 van dit artikel is opgenomen in Bijlage 3.


ARTIKEL 9. MELDPLICHT


9.1 In het geval van een beveiligingslek en/of een datalek zal Verwerker de Verwerkingsverantwoordelijke direct, dan wel binnen 24 uur na het plaatsvinden van het lek, daarover infomeren, naar aanleiding waarvan de Verwerkingsverantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is. De meldplicht geldt ongeachte de impact van het lek.

9.2 Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en/of betrokkenen.

9.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

  • Wat de (vermeende) oorzaak is van het lek

  • Wat is het (vooralsnog bekende en/of te verwachten) gevolg

  • Wat is de (voorgestelde) oplossing

  • Welke rechten heeft de betrokkene

  • Contactgegevens voor de opvolging van de melding

  • Wie is geïnformeerd (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder)

  • Wat de reeds ondernomen maatregelen zijn


ARTIKEL 10. BEVEILIGING


10.1 De Verwerker zal zich inspannen voldoende, volgens algemeen gebruikelijke technieken en methodes, technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

10.2 Verwerker heeft in ieder geval de volgende maatregelen genomen:

  • logische toegangscontrole, gebruik makend van wachtwoorden;

  • fysieke maatregelen voor toegangsbeveiliging;

  • automatische logging van alle handelingen rond de persoonsgegevens;

  • encryptie (versleuteling) van digitale bestanden met persoonsgegevens;

  • organisatorische maatregelen voor toegangsbeveiliging;

  • beveiliging van netwerkverbindingen via encryptie protocollen; ;

  • doelgebonden toegangsbeperkingen;

  • controle op toegekende bevoegdheden.


ARTIKEL 11. AFHANDELING VERZOEKEN VAN BETROKKENEN


11.1 In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 15 AVG, of rectificatie, wissing, beperking, overdracht of bezwaar zoals bedoeld in artikel 16 t/m 21 AVG, richt aan Verwerker, zal Verwerker dit verzoek afhandelen indien het verzoek gericht is op verwerking betreffende de doeleinden van de Verwerker. Verwerker zal in alle andere gevallen het verzoek doorsturen aan Verwerkingsverantwoordelijke, en Verwerkingsverantwoordelijke zal het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.

11.2 In het geval dat een betrokkene een verzoek tot inzage richt aan de Verwerkingsverantwoordelijke zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover redelijk is.

11.3 Indien aan de afhandeling van een verzoek als bedoeld in dit artikel substantiéle kosten zijn verbonden voor Verwerker, dan treden Verwerkingsverantwoordelijke en Verwerker eerst in overleg over deze gevolgen en de mogelijkheid tot vergoeding van deze kosten.


ARTIKEL 12. GEHEIMHOUDING EN VERTROUWELIJKHEID


12.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

12.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.


ARTIKEL 13. AUDIT


13.1 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles dat daarmee verband houdt.

13.2 Deze audit mag in ieder geval plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.

13.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.

13.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, waar nodig naar aanleiding daarvan op schriftelijke afspraak, worden doorgevoerd door en op kosten van één van de Partijen of door en op kosten van beide Partijen gezamenlijk.

    1. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.


ARTIKEL 14. DUUR EN BEËINDIGING


14.1 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst, en bij gebreke daarvan voor de duur van de samenwerking.

    1. Het is Verwerker niet toegestaan deze Verwerkersovereenkomst tussentijds op te zeggen.

14.3 Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse schriftelijke instemming.

14.4 Verwerker zal zijn volledige medewerking verlenen deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving, Nationaal en/of Europees.

14.5 Bij beëindiging, ontbinding of opzegging van deze Verwerkersovereenkomst, op verzoek, op welke grond of wijze dan ook, zal Verwerker op eerste verzoek van Verwerkingsverantwoordelijke (i) aan Verwerkingsverantwoordelijke alle persoonsgegevens en overige aan Verwerker toekomende gegevens ter beschikking stellen op de wijze en in het format dat Verwerkingsverantwoordelijke wenst, (ii) per direct de verwerking van de persoonsgegevens staken, (iii) alle documenten waarin de persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen, en (iv) alle persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.


Artikel 15. VERLENEN BIJSTAND IN VERBAND MET NAKEOMEN VERPLICHTING GEGEVENSBESCHERMINGSEFFECTBEOORDELING EN VOORAFGAANDE RAAPLEGING


15.1 Verwerker verleent desgevraagd bijstand aan Verwerkingsverantwoordelijke indien met betrekking tot de verwerking een beoordeling wordt gemaakt van het effect van de verwerkingsactiviteiten op de bescherming van persoonsgegevens

(gegevensbeschermingseffectbeoordeling).

15.2 Verwerker verleent desgevraagd bijstand aan Verwerkingsverantwoordelijke indien naar aanleiding van een gegevensbeschermingseffectbeoordeling door Verwerkingsverantwoordelijke raadpleging van de Autoriteit Persoonsgegevens plaatsvindt.


ARTIKEL 16. OVERIGE BEPALINGEN


    1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

16.2 Logs, gedane metingen, auditverslagen door Verwerkingsverantwoordelijke gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerker.

16.3 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

        1. deze Verwerkersovereenkomst;

        2. de Raamovereenkomst;

        3. eventuele aanvullende voorwaarden.

16.4 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter te Utrecht.



Aldus overeengekomen op [DATUM] te ………………..,


………………………………….. Naam bedrijf Verwerker








NAAM NAAM

FUNCTIE FUNCTIE


Bijlage 1

Verwerking van persoonsgegevens


Deze bijlage is onderdeel van de Verwerkersovereenkomst en moet door partijen geparafeerd worden.


  1. De Persoonsgegevens die partijen verwachten te verwerken:

  • Naam, adres, woonplaats

  • Telefoonnummer

  • E-mailadres

  • Geboortedatum

  • Geslacht

  • Beroep

  • Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)

  • Gegevens met betrekking tot de nationaliteit, gezondheid, seksuele geaardheid godsdienst of levensovertuiging, politieke voorkeuren, lidmaatschappen van vakverenigingen of BSN-nummers.

  • Financiële data (bankrekeningnummer, creditcardnummer)

  • Xxxxxx, namelijk…


  1. Het doel van de verwerking:


[Beschrijving van het doel van de verwerking is (bijvoorbeeld marketing, klantenwerving, uitvoering overeenkomst).


  1. De categorieën van betrokkenen:



BIJLAGE 2

Risicoanalyse en de beveiligingseisen


Deze bijlage is onderdeel van de Verwerkersovereenkomst en moet door partijen geparafeerd worden.


In deze bijlage staat een overzicht van de aanvullende technische en organisatorische beveiligingsmaatregelen zoals genoemd in art. 3 van deze overeenkomst.


Bijlage 3

Subverwerkers/categorieën van subverwerkers


Deze bijlage is onderdeel van de Verwerkersovereenkomst en moet door partijen geparafeerd worden.


In deze bijlage staat een overzicht van de subverwerkers zoals genoemd in art. 8.3 van deze overeenkomst.



pagina 9 van 9


Document Metadata

Filed: May 23rd, 2018