Ondergetekenden:
Ondergetekenden:
1. De statutair te Zandvoort (feitelijk adres: ………., postadres: ) gevestigde
publiekrechtelijke rechtspersoon GEMEENTE ZANDVOORT, te dezen ingevolge het bepaalde in art. 171 Gemeentewet rechtsgeldig vertegenwoordigd door haar burgemeester X. Xxxxxx, handelend ter uitvoering van een besluit van het college van burgemeester en wethouders d.d , hierna te
noemen: Gemeente Zandvoort
En
2. De statutair te Haarlem (feitelijk adres: Xxxxx Xxxxx 0, 0000 XX Xxxxxxx, postadres: Xxxxxxx 000, 0000 XX Xxxxxxx) gevestigde publiekrechtelijke rechtspersoon GEMEENTE HAARLEM, te dezen ingevolge het bepaalde in art. 171 Gemeentewet rechtsgeldig vertegenwoordigd door haar burgemeester xxx. X. Xxxxxx, handend ter uitvoering van een besluit van het college van burgemeester en wethouders d.d. …………., hierna te noemen: Gemeente Haarlem
Hierna ook afzonderlijk te noemen Partij en ondergetekenden 1 en 2 gezamenlijk te noemen Partijen.
Overwegende dat:
De colleges van Gemeente Zandvoort en Gemeente Haarlem hebben respectievelijk op 1 november 2016 en 28 februari 2017, na zienswijzen van de raad, besloten tot verbreding van de samenwerking per 1 januari 2018, waarbij sprake zal zijn van een ambtelijke fusie, inhoudende dat taken op alle gemeentelijke beleidsvelden inclusief de ondersteunende processen door Haarlem zullen worden uitgevoerd en Zandvoorts personeel (behoudens de gemeentesecretaris en griffier/griffiemedewerkers) hiertoe in dienst treedt van Haarlem.
Gekozen is om deze samenwerking vorm te geven door middel van een gemeenschappelijke regeling conform art 8, vierde lid, van de Wet gemeenschappelijke regelingen, waarbij Gemeente Haarlem optreedt als gastheergemeente;
Partijen hiertoe de Gemeenschappelijke Regeling ambtelijke samenwerking Zandvoort-Haarlem hebben opgericht, welke per 1 januari 2018 in werking zal treden en waarvoor de taakverdeling nader is uitgewerkt in het Dienstverleningshandvest Zandvoort-Haarlem;
Gemeente Haarlem voor de uitvoering van de taken van Gemeente Zandvoort ook Persoonsgegevens zal verwerken;
Reeds voor het in werking treden van de Gemeenschappelijke Regeling Persoonsgegevens tussen Partijen worden uitgewisseld ter voorbereiding van de ambtelijke samenwerking;
Partijen hierover voor zowel de periode tot inwerkingtreding van de Gemeenschappelijke Regeling als voor de periode daarna nadere afspraken vast wensen te leggen middels onderhavige Overeenkomst.
Komen als volgt overeen: Artikel 1 – Begripsbepalingen
1. Autoriteit Persoonsgegevens: de instantie zoals bedoeld in artikel 51 van de Wbp, per 25 mei 2018 de instantie zoals bedoeld in artikel 51van de AVG;
2. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) waaraan eenieder per 25 mei 2018 dient te voldoen.
3. Baseline Informatiebeveiliging Gemeenten: richtlijn voor informatiebeveiligingsmaatregelen, beheerd door de Informatiebeveiligingsdienst voor gemeenten.
4. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
5. Dienstverleningshandvest: het Dienstverleningshandvest Gemeenschappelijke regeling ambtelijke samenwerking Zandvoort-Haarlem, vastgesteld op 16 mei 2017 resp. 22 juni 2017 en ondertekend op 4 juli 2017;
6. Functionaris voor gegevensbescherming: de functionaris zoals bedoeld in artikel 62 van de Wet bescherming persoonsgegevens (hierna te noemen: Wbp) en afdeling 4 van de AVG;
7. de GR: De Gemeenschappelijke regeling ambtelijke samenwerking Zandvoort-Haarlem, ondertekend op 4 juli 2017, ingaande 1 januari 2018 ;
8. Inbreuk in verband met Persoonsgegevens: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
9. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
10. Overeenkomst: onderhavige overeenkomst bescherming persoonsgegevens samenwerking Haarlem Zandvoort;
11. Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
12. Verwerking van Persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
13. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
14. Wbp: de Wet bescherming persoonsgegevens;
Artikel 2 – Onderwerp en doel Overeenkomst
1. Onderwerp van deze Overeenkomst is de Verwerking van Persoonsgegevens door Partijen in het kader van de GR.
2. Deze Overeenkomst heeft tot doel het omschrijven en vastleggen van de taken en verantwoordelijkheden van Partijen ten aanzien van de Verwerking van Persoonsgegevens binnen het kader van de GR;
3. Op grond van artikel 26 van de AVG zijn Partijen aan te merken als gezamenlijk Verwerkingsverantwoordelijke nu zij gezamenlijk de middelen en doeleinden van de verwerking bepalen. Gezien de aard van de samenwerking en ter voldoening aan het bepaalde in artikel 26 van de AVG wordt in deze Overeenkomst inzichtelijk gemaakt bij wie welke verantwoordelijkheden zijn belegd.
Artikel 3 – Ingang en duur Overeenkomst
1. Deze Overeenkomst gaat in op moment dat beide Partijen hebben besloten tot het aangaan van deze Overeenkomst.
2. De Overeenkomst wordt aangegaan voor de periode tot aan inwerkingtreding van de GR en vervolgens voor de duur van de GR.
3. Deze Overeenkomst eindigt van rechtswege op het moment dat de GR wordt opgeheven.
4. Deze Overeenkomst is niet tussentijds opzegbaar.
5. De Bewerkersovereenkomst samenwerking Zandvoort-Haarlem sociaal domein vervalt vanaf het moment dat deze Overeenkomst in werking treedt.
Artikel 4 – Verantwoordelijkheden
1. Op grond van de GR en het Dienstverleningshandvest voert Gemeente Haarlem taken uit op alle beleidsvelden voor Gemeente Zandvoort, met uitzondering van de taken genoemd in de bijlage bij deze Overeenkomst.
2. Met betrekking tot het verwerken van persoonsgegevens omvatten deze taken in elk geval:
a. Het bijhouden van een register van verwerkingsactiviteiten;
b. Het melden van Inbreuken in verband met Persoonsgegevens;
c. Het implementeren en uitvoeren van een procedure voor het afhandelen van verzoeken;
d. Het waarborgen van een passend niveau van beveiliging;
e. Het regelmatig controleren van en rapporteren over de naleving van de normen.
3. Ten aanzien van de Verwerking van Persoonsgegevens zijn Partijen ieder voor hun eigen gedeelte Verwerkingsverantwoordelijke in de zin van artikel 1 sub d Wbp en artikel 4, zevende lid, van de AVG:
a. Gemeente Haarlem en Gemeente Zandvoort zijn gezamenlijk Verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens voor zover dit volgt uit de taken die Gemeente Haarlem uitvoert binnen het kader van de GR. Deze Overeenkomst biedt een nadere uitwerking van de verdeling van verantwoordelijkheden, waarbij als uitgangspunt geldt dat Gemeente Haarlem en Gemeente Zandvoort gezamenlijk het doel en de middelen voor de Verwerking van Persoonsgegevens vaststellen.
b. Gemeente Zandvoort is verantwoordelijke voor de Verwerking van de persoonsgegevens voor zover die voortvloeit uit de taken genoemd in de bijlage en is als zodanig gehouden aan alle verplichtingen die volgen uit van toepassing zijnde wet- en regelgeving ten aanzien van de Verwerking van Persoonsgegevens.
4. Partijen zien er op toe dat de Persoonsgegevens niet worden gebruikt voor andere doeleinden dan beschreven in de GR en het Dienstverleningshandvest of op andere wijze schriftelijk overeengekomen.
5. Partijen zien er op toe dat de Verwerking van Persoonsgegevens geschiedt in overeenstemming met de Wbp, de AVG en de overige wetten en regels inzake de bescherming van Persoonsgegevens.
6. Partijen mogen zonder voorafgaande schriftelijke toestemming van elkaar geen andere personen of organisaties inschakelen bij het verwerken van de persoonsgegevens.
7. Gemeente Zandvoort staat er jegens Gemeente Haarlem voor in dat de Persoonsgegevens die door haar in het kader van de GR en het Dienstverleningshandvest ter beschikking zijn en/of worden gesteld aan Gemeente Haarlem conform de Wbp en de overige wetten en regels inzake de bescherming van Persoonsgegevens zijn verzameld.
8. Gemeente Zandvoort blijft verantwoordelijk voor het vaststellen van beleid aangaande de verwerking van Persoonsgegevens, een en ander conform de afspraken uit de GR en het Dienstverleningshandvest.
Artikel 5 – Rechten van betrokkenen
1. Partijen voorzien conform het bepaalde in artikel 4 van deze Overeenkomst ieder voor hun eigen verwerking in de informatieverplichtingen zoals beschreven in de Wbp, de AVG en andere van toepassing zijnde wet- en regelgeving.
2. Indien een Partij een verzoek op grond van artikel 35 t/m 42 Wbp of artikel 15 t/m 22 van de AVG ontvangt van Betrokkenen, zal zij deze afhandelen voor zover het verzoek ziet op de verwerking waarvoor zij Verwerkingsverantwoordelijke is.
3. Als het bovengenoemde verzoek niet ziet op de verwerking waarvoor Partij verantwoordelijk is zal deze onverwijld, uiterlijk binnen vijf (5) werkdagen, naar de andere Partij worden doorgestuurd. Partijen zullen een kopie van het verzoek aan de andere Partij ter beschikking stellen. Indien dit nodig is voor de afhandeling van het verzoek, verstrekken Partijen alle gegevens betreffende deze Betrokkene die in het kader van de uitvoering van de GR in zijn bezit of beheer zijn alsmede een kopie van alle documenten en een overzicht van alle systemen waarin de Persoonsgegevens zijn opgenomen.
Artikel 6 – Beveiliging
1. Partijen zien erop toe dat persoonsgegevens worden verwerkt in overeenstemming met de Wbp en de AVG, wat voor de beveiliging inhoudt dat Partijen passende technische en organisatorische maatregelen uitvoeren ter beveiliging van Persoonsgegevens.
2. De Baseline Informatiebeveiliging Gemeenten wordt in ieder geval geacht een passend niveau van beveiliging te bieden. Partijen werken aantoonbaar overeenkomstig deze Baseline dan wel overeenkomstig algemeen erkende normen ten aanzien van informatiebeveiliging.
3. Partijen dragen er zorg voor dat naleving van de in het tweede lid van dit artikel benoemde normen regelmatig wordt gecontroleerd.
Artikel 7 – Inbreuken in verband met Persoonsgegevens
1. Iedere Partij stelt de andere Partij onverwijld, maar uiterlijk binnen vierentwintig (24) uur na constatering, op de hoogte indien er sprake is van een Inbreuk in verband met Persoonsgegevens.
2. De Partij die Verwerkingsverantwoordelijke is voor de verwerking waarbij de Inbreuk in verband met Persoonsgegevens heeft plaatsgevonden doet, indien sprake is van een Inbreuk die gemeld moet worden, daarvan melding aan de Autoriteit Persoonsgegevens.
3. Partijen houden ieder een register bij van bij hen geconstateerde Inbreuken in verband met Persoonsgegevens, met daarin in ieder geval:
a. De aard, oorzaak en , indien mogelijk, de omvang van de Inbreuk;
b. De datum en het tijdstip waarop de Inbreuk heeft plaatsgevonden;
c. De datum en het tijdstip waarop de Inbreuk bekend is geworden;
d. De categorieën van Betrokkenen die betrokken zijn bij de Inbreuk;
e. Het soort Persoonsgegevens dat is betrokken bij de Inbreuk;
f. Of de Persoonsgegeven zijn versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt;
g. De personen en/of instanties waar meer informatie over de Inbreuk kan worden verkregen en hun contactinformatie;
h. Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de Inbreuk voor de verwerking van Persoonsgegevens;
i. De maatregelen die de Partij heeft getroffen of voorstelt te treffen om de onder h van dit lid bedoelde gevolgen te verhelpen dan wel zoveel mogelijk te beperken;
j. Of en waarom de Inbreuk wel of niet is gemeld bij de Autoriteit Persoonsgegevens en waarom;
k. Of en waarom de Inbreuk wel of niet is gemeld bij de Betrokkene(n).
Artikel 8 – Informatieverstrekking Partijen onderling
Partijen informeren elkaar over en weer over alle ontwikkelingen die relevant kunnen zijn voor de uitvoering van de in deze Overeenkomst benoemde taken. Onder ontwikkelingen wordt onder meer, maar niet uitsluitend, verstaan:
a. Het plaatsvinden van een Inbreuk in verband met Persoonsgegevens;
b. Uitspraken van gerechtelijke instanties dan wel van de nationale toezichthouder gericht aan één of aan beide Partijen die (zullen) leiden tot een wijziging in de Verwerking van Persoonsgegevens in het kader van deze Overeenkomst;
c. Verzoeken van derden tot verstrekking van Persoonsgegevens welke buiten de normale dienstverlening vallen op grond van een wettelijke verplichting. De Partij die het verzoek ontvangt informeert de andere Partij hierover zo snel mogelijk na ontvangst van het verzoek, tenzij dit wettelijk niet mogelijk blijkt;
d. Alle overige situaties waarvan een der Partijen in redelijkheid moet vermoeden dat de andere Partij hierover geïnformeerd wenst te worden.
Artikel 9 – Functionaris voor de Gegevensbescherming
1. Gemeente Haarlem stelt uiterlijk 25 mei 2018 een Functionaris voor de Gegevensbescherming aan.
2. Gemeente Zandvoort stelt uiterlijk 25 mei 2018 dezelfde persoon aan als Functionaris voor de Gegevensbescherming.
Artikel 10 – Risico’s
1. Indien schadevergoeding verschuldigd is vanwege een inbreuk in verband met Persoonsgegevens of door andere omstandigheden die verband houden met de onrechtmatig of onzorgvuldige verwerking van Persoonsgegevens is deze voor rekening van Gemeente Haarlem voor zover de verwerking van Persoonsgegevens onder diens verantwoordelijkheid heeft plaatsgevonden, tenzij de schade aan handelen of nalaten van Gemeente Zandvoort is toe te rekenen.
2. Door de nationale of Europese toezichthouder opgelegde boetes in verband met onrechtmatige of onzorgvuldige verwerking van Persoonsgegevens zijn voor rekening van Gemeente Haarlem voor zover de verwerking van Persoonsgegevens onder diens verantwoordelijkheid heeft plaatsgevonden, tenzij de opgelegde boete aan handelen of nalaten van Gemeente Zandvoort is toe te rekenen.
Artikel 11 – Geheimhouding
Partijen dragen er zorg voor dat een ieder die betrokken is bij de uitvoering van de GR en daarbij de beschikking krijgt over Persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan, behoudens voor zover enig wettelijk voorschrift hem tot bekendmaking verplicht.
Artikel 12 – Controle
Controle ten aanzien van de verwerking van Persoonsgegevens door Gemeente Haarlem in het kader van de GR vindt plaats overeenkomstig het bepaalde in artikel 11 van het Dienstverleningshandvest.
Artikel 13 – Wijziging Overeenkomst
Wijziging van deze Overeenkomst vindt slechts schriftelijk en na goedkeuring van beide Partijen plaats.
Artikel 14 – Strijdigheid met GR en Dienstverleningshandvest
Voor zover er sprake is van strijdigheden tussen de GR, het Dienstverleningshandvest en onderhavige Overeenkomst prevaleren de bepalingen uit onderhavige Overeenkomst.
Artikel 15 – Geschillen
Op ieder geschil tussen Partijen ter zake van deze Overeenkomst, ook indien een geschil slechts door één der Partijen als zodanig wordt beschouwd, is artikel 13 van de GR van toepassing.
Artikel 16 – Bijlagen
Van deze Overeenkomst maakt de volgende bijlage deel uit:
Overzicht van taken die door Gemeente Zandvoort worden uitgevoerd.
Artikel 17 – Ondertekening
Gemeente Zandvoort Gemeente Haarlem
<naam> <naam>
<functie> <functie>
Datum: Datum:
BIJLAGE
Overzicht van taken die door Gemeente Zandvoort en/of door Gemeente Zandvoort ingeschakelde derden worden uitgevoerd.
1. Taken die Gemeente Zandvoort zelf uitvoert en waarvoor Gemeente Zandvoort derhalve zelf Verwerkingsverantwoordelijke is voor Persoonsgegevens die worden verwerkt ten behoeve van deze taakuitvoering:
a. de taken van het college van burgemeester en wethouders van Gemeente Zandvoort;
b. de taken van de raad van Gemeente Zandvoort;
c. de taken die worden uitgevoerd door de Griffie van Gemeente Zandvoort;
d. de taken die worden uitgevoerd door de secretaris van Gemeente Zandvoort.