Verwerkersovereenkomst
Verwerkersovereenkomst
Mei 2018
Inhoud
Artikel 1. Begrippen 2
Artikel 2. Voorwerp van deze Verwerkersovereenkomst 3
Artikel 3. Inwerkingtreding en duur 3
Artikel 4. Omvang Verwerkingsbevoegdheid Stichting Broodnodig 3
Artikel 5. Beveiliging van de Verwerking 4
Artikel 6. Geheimhouding door Personeel van Stichting Broodnodig 4
Artikel 7. Subverwerker 4
Artikel 8. Bijstand vanwege rechten van Betrokkene 4
Artikel 9. Inbreuk in verband met Persoonsgegevens 5
Artikel 10. Teruggave Persoonsgegevens 5
Artikel 11. Informatieverplichting en audit 5
Artikel 12. Overige Voorwaarden 5
Bijlage 1. De Verwerking van Persoonsgegevens 7
Bijlage 2. Passende technische en organisatorische maatregelen 8
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens 9
Verwerkersovereenkomst
De ondergetekenden:
1. (Naam medewerker en hun wettelijk vertegenwoordigers) hierna te noemen: Opdrachtgever,
en
2. Stichting Broodnodig vertegenwoordigd door haar directeur JMC van de Sande-Schellekens hierna te noemen: Stichting Broodnodig,
hierna gezamenlijk te noemen: Partijen;
OVERWEGENDE DAT:
• Stichting Broodnodig Persoonsgegevens verwerkt ten behoeve van Opdrachtgever in het kader van de zorgovereenkomst
• Partijen in deze verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van
de verordening, hun afspraken over de verwerking van persoonsgegevens door Stichting Broodnodig wensen vast te leggen.
KOMEN OVEREEN:
Artikel 1. Begrippen
De volgende begrippen worden in deze Verwerkersovereenkomst gebruikt:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: de zorgovereenkomst tussen Opdrachtgever en Stichting Broodnodig
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Stichting Broodnodig in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.6 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Stichting Broodnodig in het kader van de zorgovereenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven.
2.3 Stichting Broodnodig garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Stichting Broodnodig garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.
Artikel 3. Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Stichting Broodnodig alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.
Artikel 4. Omvang Verwerkingsbevoegdheid Stichting Broodnodig
4.1 Stichting Broodnodig Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op Stichting Broodnodig van toepassing zijn.
4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Stichting Broodnodig in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.3 Indien Stichting Broodnodig op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.4 Stichting Broodnodig heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.
Artikel 5. Beveiliging van de Verwerking
5.1 Stichting Broodnodig heeft de technische en organisatorische beveiligingsmaatregelen zoals beschreven ondergebracht bij SF. (Verwerkingsovereenkomst aanwezig)
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Stichting Broodnodig waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Stichting Broodnodig aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Stichting Broodnodig Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.5 Stichting Broodnodig informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
Artikel 6. Geheimhouding door Personeel van Stichting Broodnodig
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter
6.2 Stichting Broodnodig toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen.
Artikel 7. Sub verwerker
Wanneer Stichting Broodnodig, een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
Artikel 8. Bijstand vanwege rechten van Betrokkene
Stichting Broodnodig verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening zijn rechten van de Betrokkene te beantwoorden.
Artikel 9. Inbreuk in verband met Persoonsgegevens
9.1 Stichting Broodnodig informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens.
9.2 Stichting Broodnodig informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
Artikel 10. Teruggave Persoonsgegevens
10.1 Na afloop van de Overeenkomst draagt Stichting Broodnodig, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van alle Persoonsgegevens. Stichting Broodnodig verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 Stichting Broodnodig wist na 6 jaar (wettelijke bewaartermijn) of retourneert (binnen 4 weken) de Persoonsgegevens na afloop van de Overeenkomst.
10.3 De Persoonsgegevens worden als volgt terugbezorgd: per e-mail of worden verstuurd naar huisadres opdrachtgever
Artikel 11. Informatieverplichting en audit
11.1 Stichting Broodnodig stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
11.2 Stichting Broodnodig verleent alle benodigde medewerking aan audits.
11. Opdrachtgever laat eenmaal per jaar een audit uitvoeren door een onafhankelijke partij.
Artikel 12. Overige Voorwaarden
Aldus op genoemde data overeengekomen en in tweevoud ondertekend,
Schijndel: Schijndel:
JMC van de Sande-Schellekens directeur Stichting Broodnodig
Bijlage 1. De Verwerking van Persoonsgegevens
Het onderwerp/aard en doel van de Verwerking | T.b.v. zorgovereenkomst en verslaglegging over voortgang begeleidingstraject |
Het soort Persoonsgegevens | N.A.W.-gegevens |
Beschrijving categorieën Persoonsgegevens | Directie en begeleiding |
Beschrijving categorieën Betrokkenen | Directie en begeleiders, ouders en eventuele behandelaars of begeleiders van betrokkenen |
Beschrijving categorieën ontvangers van Persoonsgegevens | Werkbegeleiders en ouders en/of wettelijk vertegenwoordigers |
Bijlage 2. Passende technische en organisatorische maatregelen
In deze bijlage moeten de normen en maatregelen die Stichting Broodnodig in het kader van de beveiliging van de Verwerking moet hanteren respectievelijk treffen nader worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen of de offerteaanvraag.
NB: in toelichting: opnemen
Daaronder vallen in ieder geval de termijn waarbinnen tijdens de looptijd Overeenkomst Persoonsgegevens moeten worden gewist en maatregelen t.a.v. eigen personeel
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
In deze bijlage moeten de afspraken over hoe Stichting Broodnodig Opdrachtgever over Inbreuken in verband met Persoonsgegevens gaat informeren nader worden gespecificeerd.
Informatie die ten minste door Stichting Broodnodig moet worden verstrekt
Aard van de Inbreuk in verband met Persoonsgegevens Als er door werkbegeleiders/stagiaires verwijtbaar gedrag is aan te tonen door het doorgeven van onjuiste informatie die schadelijk is voor diegene die de overeenkomst is aangegaan dan worden er juridische stappen ondernomen wat uiteindelijk kan leiden tot ontslag |
De Persoonsgegevens en Betrokkene De persoonsgegevens staan op een externe server welke beheerd wordt door een externe partij deze garandeert de veiligheid. Verder staan persoonsgegevens in een kast op kantoor en deze is op slot als er niemand aanwezig is. Stagiaires mogen niet zonder toezicht van een begeleider gegevens inzien. |
Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens |
Maatregelen die Stichting Broodnodig heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan |