PARTIJEN
Data Verwerkingsovereenkomst AVG
PARTIJEN
[NAAM], gevestigd te [postcode] [plaats] aan de [straat] en ingeschreven in het register van de Kamer van Koophandel onder het nummer [nummer], (hierna: de “Opdrachtgever”)
en
Perspectivity gevestigd te [postcode] [plaats] aan de [straat] en ingeschreven in het register van de Kamer van Koophandel onder het nummer [nummer], (hierna: de “Verwerker”).
Opdrachtgever en Verwerker worden gezamenlijk aangeduid als “Partijen”, ieder individueel zijnde een “Partij:”
OVERWEGENDE DAT:
A. Partijen op [datum] de [naam overeenkomst] ("Overeenkomst") zijn aangegaan inzake [korte omschrijving van de door de Verwerker te verrichten diensten];
B. Opdrachtgever verantwoordelijk is voor de verwerking van de persoonsgegevens zoals omschreven in Annex 1 (“Gegevens”);
C. Verwerker bij de uitvoering van de Overeenkomst bepaalde Persoonsgegevens zal verwerken voor de Opdrachtgever;
D. Opdrachtgever en Verwerker op grond van artikel 28 AVG deze Verwerkersovereenkomst sluiten waarin de rechten en verplichtingen ten aanzien van de verwerking van de Persoonsgegevens zijn geregeld, in het bijzonder ten aanzien van de beveiliging;
E. Deze Verwerkersovereenkomst als bijlage zal worden opgenomen bij de Overeenkomst.
KOMEN OVEREEN:
Artikel 1. Reikwijdte van de overeenkomst
1. Opdrachtgever geeft hierbij opdracht aan Verwerker om de Gegevens te verwerken namens de Opdrachtgever op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze Verwerkersovereenkomst.
2. Verwerker verwerkt de Xxxxxxxx uitsluitend volgens de instructies van de Opdrachtgever in overeenstemming met de aanwijzingen in deze Verwerkersovereenkomst, met name die in Annex 1. Verwerker bevestigt de Gegevens niet voor andere of eigen doeleinden te zullen verwerken.
3. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Gegevens.
4. De Opdrachtgever kan aanvullende, schriftelijke instructies aan Verwerker geven ingeval van aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens.
5. Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
Artikel 2. Uitvoering verwerking en geheimhouding
1. Verwerker garandeert dat hij ten behoeve van Opdrachtgever uitsluitend Persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de levering van de diensten onder de Hoofdovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete schriftelijke opdracht van Opdrachtgever of als daartoe een wettelijke verplichting bestaat, dan echter uitsluitend na informeren van Opdrachtgever. Informeren van Opdrachtgever blijft achterwege waar dat in strijd zou zijn met de wet. In geen geval zal Verwerker Persoonsgegevens verwerken voor eigen doeleinden.
2. Verwerker zal alle redelijke instructies van Opdrachtgever in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Opdrachtgever onmiddellijk op de hoogte indien naar zijn oordeel instructies van Opdrachtgever in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3. Verwerker zal bij de verwerking van Persoonsgegevens handelen in overeenstemming met deze Verwerkersovereenkomst, de AVG en andere wet- en regelgeving, waaronder ook de op 19 februari 2013 door het College Bescherming Persoonsgegevens gepubliceerde richtlijnen ten aanzien van beveiliging van Persoonsgegevens (xxxx://xxxxxx.xxxxxxxx.xx/ BWBR0033572/).
4. Verwerker verplicht de personen die in zijn dienst zijn van Perspectivity, dan wel werkzaamheden voor hem/haar verrichten, tot geheimhouding met betrekking tot al hetgeen waarvan zij met betrekking tot de uitvoering van deze Verwerkersovereenkomst kennis kunnen nemen. Indien dit voor voornoemde personen niet reeds
contractueel is vastgelegd, zal Verwerker deze personen een geheimhouding- verplichting opleggen voor de Gegevens waarvan zij kennis zullen nemen.
Deze verplichting zal schriftelijk worden vastgelegd en een kopie daarvan zal
op eerste verzoek van de Opdrachtgever ter inzage worden aangeboden.
5. Verwerker zal de Persoonsgegevens van Opdrachtgever logisch gescheiden verwerken van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
Artikel 3. Geen verdere verstrekking
1. Verwerker zal de Gegevens onder geen omstandigheden delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Opdrachtgever hierover voorafgaand schriftelijk en onverwijld informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
Artikel 4. Beveiligingsmaatregelen
1. Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om te zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid van de Gegevens en om de Gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De door Verwerker genomen c.q. te nemen beveiligingsmaatregelen zijn omschreven in Annex 2 van deze Verwerkersovereenkomst.
2. In de in artikel 4.1 bedoelde beveiligingsmaatregelen omvatten in ieder geval:
a) Maatregelen om te waarborgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in Annex 1;
b) Maatregelen waarbij de verwerker zijn/haar medewerkers en/of onderaannemers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
c) Maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
d) Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Opdrachtgever;
e) Maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen;
f) Maatregelen om de Persoonsgegevens na afloop van de Overeenkomst onmiddellijk te vernietigen;
g) De overige maatregelen die Partijen in Annex 2 en in de Overeenkomst zijn overeengekomen.
3. Xxxxxxxxx werkt in overeenstemming met ISO27001 en ISO27002 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking
van Persoonsgegevens.
Artikel 5. Toezicht op naleving
1. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van deze monitoring rapporteren aan Opdrachtgever.
2. Verwerker is verplicht aan Opdrachtgever en/of auditors ingehuurd door Opdrachtgever toegang te verschaffen tot (relevante delen van) de ruimtes, systemen en/of servers waarin/waarmee de verwerking van de Gegevens op enig moment plaatsvindt en zal aan Opdrachtgever en/of auditors ingehuurd door Opdrachtgever, alle relevante informatie verstrekken.
3. Verwerker verstrekt op eerste verzoek van Opdrachtgever een rapportage aan Opdrachtgever waarin Verwerker informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 4.2 en Annex 2, incidenten of datalekken zoals omschreven in artikel 6 die hebben plaatsgevonden en mogelijke beveiligingsrisico's ten aanzien van de Gegevens.
4. Opdrachtgever en Verwerker kunnen naar aanleiding van de onder artikel 5.3 benoemde rapportage, nadere beveiligingsmaatregelen overeenkomen.
Artikel 6. Datalek
1. Zo spoedig mogelijk nadat Xxxxxxxxx kennisneemt van een incident of datalek, van welke aard dan ook, dat betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Opdrachtgever hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Opdrachtgever en zal Verwerker in ieder geval informatie verstrekken over:
a) de aard van het incident of datalek,
b) de (mogelijk) getroffen Gegevens,
c) de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens, en
d) de maatregelen die Verwerker getroffen heeft en zal treffen.
2. Verwerker zal voor eigen rekening alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Opdrachtgever ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
Artikel 7. Subverwerkers
1. Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, legt Verwerker aan de betreffende derden alle verantwoordelijkheden en verplichtingen die Verwerker op grond van deze Verwerkersovereenkomst heeft, schriftelijk op in een sub-Verwerkersovereenkomst.
2. Verwerker zal voorafgaand aan de inwerkingtreding van deze Verwerkersovereenkomst aan Opdrachtgever een overzicht verstrekken van de subverwerkers die door Verwerker zijn of zullen worden ingeschakeld, alsmede een kopie van de met
deze subverwerkers gesloten subverwerkersovereenkomsten.
Artikel 8. Aansprakelijkheid
1. Verwerker is, overeenkomstig het bepaalde in artikel 79 AVG, aansprakelijk voor schade of nadeel voortvloeiende uit aan Verwerker toerekenbare schendingen van de wet- en regelgeving betreffende de verwerking van Xxxxxxxx in het kader van zijn/haar werkzaamheden onder deze Verwerkersovereenkomst en/of niet-nakoming door Verwerker of diens onderaannemers / subverwerkers van verplichtingen uit deze Verwerkersovereenkomst.
2. Verwerker vrijwaart Opdrachtgever en stelt Opdrachtgever schadeloos voor alle claims, acties, aanspraken van derden en voor eventuele boetes en dwangsommen van de Autoriteit Persoonsgegevens of een andere toezichthouder die het gevolg zijn van een schending van de wet- en regelgeving en in het bijzonder de AVG of een andere toerekenbare tekortkoming door Verwerker en/of diens subverwerkers of onderaannemers in de nakoming van de verplichtingen onder deze Verwerkersovereenkomst.
3. Verwerker draagt zorg voor afdoende dekking van de aansprakelijkheid.
Artikel 9. Duur en beëindiging
1. Deze Overeenkomst is geldig zolang Verwerker de opdracht heeft van Opdrachtgever om Gegevens te verwerken op grond van de Overeenkomst tussen Opdrachtgever en Verwerker. Verwerker zal de Persoonsgegevens niet langer bewaren dan nodig is voor het in Annex 1 genoemde doel. Indien de Persoonsgegevens niet meer nodig, zal Verwerker Opdrachtgever raadplegen ter zake de vernietiging van deze Gegevens. Nb: Het vernietigen van deze Persoonsgegevens staat los van het bewaren van geanonimiseerde publicaties en/of rapportages.
2. Bij beëindiging van deze Verwerkersovereenkomst heeft Opdrachtgever vier weken de tijd om Verwerker te verzoeken om alle documenten, rapportages, computer disks en andere gegevensdragers, evenals kopieën daarvan, waarop of waarin zich Gegevens bevinden, te retourneren aan Opdrachtgever, ongeacht of de inhoud is vervaardigd of gecreëerd door Verwerker, Opdrachtgever of een derde. Na het verstrijken van deze termijn zal Verwerker tot vernietiging van de Gegevens overgaan.
3. In geval van retournering zal Verwerker de Gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Gegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Gegevens redelijkerwijs niet kunnen worden verstrekt aan Opdrachtgever, zal Verwerker aan Opdrachtgever een toegankelijke, leesbare kopie van de Gegevens verstrekken.
4. Na beëindiging van de Verwerkersovereenkomst zal Verwerker geen Gegevens houden noch gebruiken in strijd met deze Verwerkersovereenkomst.
5. Zo lang Verwerker Xxxxxxxx onder zich heeft blijven alle in deze Verwerkers- overeenkomst genoemde beperkingen van kracht.
Artikel 10. Nietigheid
1. Indien enige bepaling van deze Verwerkersovereenkomst nietig of anderszins niet afdwingbaar is, blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeenkomen, die de strekking van de nietige bepaling zoveel mogelijk benadert.
Artikel 11. Toepasselijk recht en jurisdictie
1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
2. Alle geschillen in verband met deze Verwerkersovereenkomst of de uitvoering ervan worden voorgelegd aan de bevoegde rechter bij de rechtbank.
Namens [Opdrachtgever] | Namens [Verwerker] | |
(Handtekening) | (Handtekening) | |
Naam: | Naam: | |
Functie: | Functie: | |
Datum: | Datum: |
Annexes:
1. Overzicht Gegevens en doeleinden en toegang
2. Overzicht beveiligingsmaatregelen getroffen door Verwerker
Annex 1: Overzicht Gegevens, doeleinden en toegang
Verzameldoel:
Het vastleggen van benodigde Xxxxxxxx voor het uitvoeren van het onderzoek zoals overeengekomen in de Overeenkomst.
Welke Persoonsgegevens zullen worden verwerkt in het kader van de Overeenkomst
Opdrachtgever zal Verwerker de volgende categorieën Persoonsgegevens laten verwerken:
• NAW-gegevens
• Burgerlijke staat
• Geboortedatum
• Nationaliteit
• Telefoon / e-mailgegevens
• Beroep / functie
• Gezinssamenstelling
• Geslacht
• Werkgever(s)
• <eventuele andere categorieën Persoonsgegevens noemen>
Voor welke doeleinden worden de Persoonsgegevens verwerkt?
De hier aangevinkte Persoonsgegevens worden uitsluitend gebruikt voor de levering van de dienstverlening zoals omschreven in de Overeenkomst.
Wat is de duur van de opslag?
De Persoonsgegevens worden niet langer bewaard dan nodig voor de levering van de dienstverlening onder de Overeenkomst en zullen uiterlijk [einddatum Overeenkomst] vernietigd worden.
Annex 2: Overzicht beveiligingsmaatregelen getroffen door Verwerker
Verwerker heeft de volgende maatregelen getroffen ter beveiliging van verwerkte Persoonsgegevens.
• Fysieke maatregelen voor toegangsbeveiliging, inclusief organisatorische controle
• Logische toegangscontrole met behulp van een wachtwoord en/of token en/of pincode
• Automatische logging van toegang tot Gegevens, inclusief een controleprocedure
• Verantwoordelijkheden voor informatiebeveiliging zijn toegewezen
• Wijzigingen in Gegevens of in informatieverwerking worden uitsluitend uitgevoerd onder een beschreven procedure voor wijzigingsbeheer
• Xxxxxxxxx voert zelf periodiek interne audits uit om de benodigde bewijzen van conformiteit aan normen en eisen te waarborgen
• Verwerker heeft adequate procedures over communicatie, support en beheer met externe partijen zoals TransIP (hosting) afgestemd en handelt overeenkomstig
• Vastgesteld, geïmplementeerd beveiligingsbeleid
• Maatregelen tegen kwaadaardige programmatuur
• Kluis voor opslag van gegevensbestanden
• Logische toegangscontrole m.b.v. 2-factor authenticatie, biometrie etc. voor beheerders
• Automatische logging van toegang tot Gegevens, incl. een controleprocedure
• Controle van toegekende bevoegdheden
• Encryptie door versleuteling van Persoonsgegevens tijdens verzending
• Encryptie door versleuteling van gegevensopslag
• Bedrijfscontinuïteitsbeheer d.m.v. continuïteitsplannen en Back-up (op (brand)veilige plaatsen)