Verwerkersovereenkomst:

Verwerkersovereenkomst:

Overwegingen:

U bent - vanwege het uitvoeren van een opdracht én met betrekking tot de Persoonsgegevens die U hierbij zal Verwerken - aan te merken als “verwerker” en wij als “Verantwoordelijke”. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen vast.

Partijen komen het volgende Overeen:

Artikel 1 Begrippen

Tenzij in deze Verwerkersovereenkomst uitdrukkelijk anders is bepaald, hebben de volgende begrippen de navolgende betekenis in deze Verwerkersovereenkomst:

1.1. Betrokkene: de geïdentificeerde of identificeerbare natuurlijk persoon op wie de verwerkte Persoonsgegevens betrekking hebben;

1.2. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon (Betrokkene); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd.

1.3. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.

1.4. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bewerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren, combineren afschermen, wissen of vernietigen van gegevens.

1.5. Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

Artikel 2: Doeleinden van verwerking

2.1. De Verwerker verwerkt in opdracht van Verwerkingsverantwoordelijke de Persoonsgegevens. De Verwerker heeft geen zeggenschap over deze Persoonsgegevens en volgt de instructies van de Verwerkingsverantwoordelijke op. De in opdracht van de Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke.

2.2. Verwerker zal deze Persoonsgegevens verwerken met grote zorgvuldigheid en in overeenstemming met de doeleinden van de verwerking en daarbij zowel de nationale en internationale wet- en regelgeving met betrekking tot de persoonsgegevens en de bepalingen van deze Verwerkersovereenkomst in acht nemen.

2.3. De Persoonsgegevens die door Verwerker in het kader van de Overeenkomst als genoemd onder a van de overwegingen (zullen) worden verwerkt, staan opgenomen in Bijlage 1.

Artikel 3 Verplichtingen Verwerker

3.1. De Verwerker houdt zich aan de wet en verwerkt de Persoonsgegevens op een behoorlijke zorgvuldige en transparante wijze.

3.2. Verantwoordelijke geeft Verwerker hierbij toestemming om bij de Verwerking van Persoonsgegevens, op grond van deze Verwerkersovereenkomst, gebruik te maken van een Derde met inachtneming van de toepasselijke privacywetgeving. Voorwaarden voor deze voorafgaande algemene toestemming is

a) Dat de Sub-verwerker een Sub-verwerkersovereenkomst tekent met daarin gelijkwaardige of strengere verplichtingen als die voor Verwerker gelden op grond van deze Verwerkersovereenkomst en de wet. Verwerker zal toezien op de naleving daarvan door de Sub-verwerker. Op verzoek van Verantwoordelijke zal Verwerker een kopie de Sub-verwerkersovereenkomst verstrekken.

b) Indien de gegevens buiten de EER worden verwerkt: dat Verantwoordelijke een door Sub-verwerker ingevulde en getekende EU Standaard Contract ontvangt.

3.3. Bij beoogde veranderingen in de door Verwerker ingeschakelde Derden, zal Verwerker Verantwoordelijke vooraf informeren over de voorgenomen veranderingen. Verantwoordelijke heeft het recht om tegen enige, door Verwerker ingeschakelde Derden, bezwaar te maken. Wanneer Verantwoordelijke bezwaar maakt tegen door Verwerker ingeschakelde Derden, zullen partijen in onderling overleg treden om tot een oplossing te komen.

3.4. Verwerker is aansprakelijk voor de gevolgen van het inschakelen van Sub-verwerkers.

3.5. Verwerker zal geen andere kopieën van de Persoonsgegevens maken dan strikt noodzakelijk voor de doelen als genoemd in deze Verwerkersovereenkomst.

3.6. Verwerker mag de Persoonsgegevens Verwerken in landen binnen de EER. Verwerker mag de Persoonsgegevens ook doorgeven naar een land buiten de EER, mits dat land een passend beschermingsniveau waarborgt en ze voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkingsovereenkomst en de AVG.

3.7. In geval de Verwerkingsverantwoordelijk een verzoek van een Betrokkene krijgt tot uitoefening van zijn of haar privacyrechten, dan zal Verwerker hier onverwijld, maar in ieder geval binnen 14 dagen na ontvangst van dit verzoek, aan meewerken.

3.8. Verwerker zal Verwerkingsverantwoordelijke op verzoek medewerking verlenen aan het uitvoeren van een gegevensbeschermingseffectbeoordeling (data protection impact assessment) en een eventuele voorafgaande raadpleging op grond van de Algemene Verordening Gegevensbescherming (EU 2016/679) afgekort AVG en/of toepasselijke privacywetgeving.

Artikel 4 Verplichtingen Verwerkingsverantwoordelijke

4.1. De Verwerkingsverantwoordelijke draagt er zorg voor dat alleen die Persoonsgegevens die daadwerkelijk van belang zijn voor de uitvoering van de met Verwerker overeengekomen werkzaamheden aan Verwerker zullen worden verstrekt.

4.2. Eventuele verzoeken van de Betrokkene tot uitoefening van zijn of haar privacy rechten zullen onverwijld door de Verwerkingsverantwoordelijke aan de Verwerker bekend worden gemaakt.

Artikel 5 Beveiliging

5.1. De Verwerker zal zorgdragen voor passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige kennisname of verwerking van deze Persoonsgegevens.

5.2. De in 5.1 genoemde maatregelen garanderen, rekening houdend met de stand van de techniek, een passend beveiligingsniveau, gelet op de risico's die de verwerking en de aard van de te beschermen Persoonsgegevens met zich meenbrengen.

5.3. De door de Verwerker te treffen maatregelen zijn afgestemd op het risico van de Verwerking. Deze maatregelen, gespecificeerd in Bijlage 2, garanderen een passend beveiligingsniveau, gelet op de gevoelige aard van de Persoonsgegevens die Verwerker verwerkt.

5.4. Verwerker dient Verwerkingsverantwoordelijke tijdig te informeren indien sprake is van een wijziging van een van de beveiligingsmaatregelen als genoemd in artikel 5.3.

5.5. Het zal de Verwerkingsverantwoordelijk zijn toegestaan om een inspectie uit te (laten) voeren binnen de organisatie van Verwerker om te beoordelen of de Verwerking plaatsvindt conform de wet en de bepalingen van deze Verwerkersovereenkomst. De Verwerker zal aan deze inspectie haar volledige en onverkorte medewerking verlenen.

5.6. Verwerkingsverantwoordelijke zal de redelijke kosten in verband met de in artikel 5.5. genoemde inspectie voor haar rekening nemen. De door Verwerker te maken interne kosten blijven voor rekening van Verwerker.

5.7. In geval tijdens een inspectie als genoemd in artikel 5.5. door (een van) partijen wordt vastgesteld dat de Verwerker niet aan het bepaalde in deze Verwerkersovereenkomst voldoet, dan zal Verwerker alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet.

Artikel 6: Geheimhouding en vertrouwelijkheid

6.1. De Verwerker is verplicht de aan haar verstrekte Persoonsgegevens geheim te houden .

6.2. Het bepaalde in artikel 6.1. is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de Persoonsgegevens aan derden te verschaffen, indien het verstrekken van de informatie aan derde logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan derden te verstrekken.

6.3. Verwerker is verplicht haar werknemers, dan wel de door haar ingeschakelde derden, eenzelfde geheimhoudingsplicht op te leggen met betrekking tot alle Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Overeenkomst als genoemd onder a in de overwegingen kennis kunnen nemen.

6.4. De Verwerker zal de Verwerkingsverantwoordelijke per omgaande informeren over een verzoek tot kennisneming, verstrekking of andere vorm van mededeling van de Persoonsgegevens in strijd met de in dit artikel genoemde geheimhoudingsplicht

Artikel 7: Meldplicht

7.1. Iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen, of anders verwerkte Persoonsgegevens wordt door Partijen aangemerkt als een datalek.

7.2. In het geval van een datalek zal de Verwerker spoedig mogelijk - doch uiterlijk binnen 24 uur nadat Xxxxxxxxx kennis van een datalek als bedoeld in artikel 7.1. heeft gekregen - de Verwerkingsverantwoordelijke informeren (aan de door Verwerkingsverantwoordelijke aan te wijzen contactpersoon), naar aanleiding waarvan de Verwerkingsverantwoordelijke onverwijld de Betrokkene(n) zal informeren.

7.3. De Verwerker spant zich naar beste kunnen in om de Verwerkersverantwoordelijke zo volledig mogelijk te informeren over een (mogelijk) datalek.

7.4. Een meldplicht behelst in ieder geval het melden van het feit dat er een datalek is (geweest), alsmede:

- de aard van het incident of de inbreuk;

- de (mogelijk) getroffen Persoonsgegevens;

- wat de (vooralsnog bekende of te verwachten) gevolgen zijn van het lek;

- wat de (voorgestelde) oplossing is;

- wat de reeds door Verwerker ondernomen maatregelen zijn

7.5. De Verwerkingsverantwoordelijke zal vervolgens zo nodig melding doen bij de Autoriteit Persoonsgegevens en/of de Betrokkene. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n)

7.6. De Verwerker zal er voor zorgdragen dat (mogelijk) bewijs met betrekking tot een datalek als bedoeld in artikel 7.1. zoveel als mogelijk bewaard blijft en desgevraagd aan Verwerkingsverantwoordelijke ter beschikking wordt gesteld.

Artikel 8: Afhandeling verzoeken van Xxxxxxxxxxx

8.1. In het geval dat een Betrokkene een verzoek tot inzage, verbetering, aanvulling wijziging of afscherming richt aan Verwerker, zal Verwerker dit verzoek onverwijld doorsturen aan de Verwerkingsverantwoordelijke en de Betrokkene hiervan op de hoogte stellen.

8.2. De Verwerkingsverantwoordelijke zal het verzoek als genoemd in artikel 8.1. vervolgens zelfstandig verder afhandelen. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van de Verwerker, dan zal de Verwerker hieraan zijn onverkorte en onvoorwaardelijke medewerking verlenen.

Artikel 9: Aansprakelijkheid en verzekering

9.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Een beperking van aansprakelijkheid is niet mogelijk in geval van opzet of grove schuld.

9.2. Indien in de Overeenkomst de aansprakelijkheid is beperkt, dan is dit ook van toepassing op deze Verwerkersovereenkomst, waarbij geldt dat Partijen hun aansprakelijkheid niet kunnen uitsluiten voor:

a) verlies van Persoonsgegevens.

b) boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd, en die rechtstreeks verband houden met (1) een toerekenbare

tekortkoming van Verwerker, of (2) een aan Verwerker toerekenbare gedraging of nalaten.

9.3. Voor zover Partijen hoofdelijk aansprakelijk zijn naar Derden, waaronder begrepen de Betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij naar elkaar verplicht ieder voor 50 % in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt.

9.4. Verwerker kan een verzekering afsluiten die zijn aansprakelijkheid voldoende dekt. De Verwerker zal dan een certificaat van deze verzekering overleggen.

Artikel 10: Kosten

10.1. De kosten voor de Verwerking van Persoonsgegevens die passen bij de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst afgesproken vergoedingen.

10.2. Wanneer werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst, zal Verwerker de werkzaamheden kosteloos verrichten. Daarnaast behoudt Verantwoordelijke het recht om de door haar geleden directe schade op Verwerker te verhalen. Aansprakelijkheid voor indirecte schade en/of gevolgschade, waaronder begrepen reputatieschade) is uitdrukkelijk uitgesloten.

Artikel 11: Duur en beëindiging

11.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening en maakt onlosmakelijk deel uit van de Overeenkomst.

11.2. Deze Verwerkersovereenkomst is aangegaan voor de duur van de Overeenkomst . van de overwegingen en eindigt van rechtswege (dus zonder dat een nadere opzegging is vereist) op het moment dat de Overeenkomst eindigt.

11.3. Het is Partijen niet toegestaan om deze Verwerkersovereenkomst tussentijds op te zeggen.

11.4. De Verwerker draagt er zorg voor dat de Persoonsgegevens onverwijld na beëindiging van de overeengekomen werkzaamheden, of zoveel eerder als mogelijk, aan de Verwerkingsverantwoordelijke worden overhandigd, dan wel (na het verstrijken van de daartoe geldend wettelijke bewaartermijn) vernietigd worden. Op eerste verzoek van Verwerkingsverantwoordelijke toont Verwerker aan dat aan dit artikel is voldaan.

Artikel 12 Wijziging van de overeenkomst

12.1. Indien zich wijzigingen in de verwerkingen van Persoonsgegevens voordoen of veranderingen van de betrouwbaarheidseisen daar aanleiding toe geeft, zullen Partijen met elkaar in gesprek treden over de aanpassing van de Verwerkersovereenkomst.

12.2. Wijziging van deze Verwerkersovereenkomst kan slechts schriftelijk plaatsvinden, na instemming daarmee door beide Partijen.

Artikel 13: Slotbepalingen

13.1. Deze Verwerkersovereenkomst vervangt alle eerdere Bewerkersovereenkomsten tussen Partijen.

13.2. Op deze Verwerkersovereenkomst en de uitvoering daarvan is Nederlands recht van toepassing.

13.3. Alle geschillen, welke tussen partijen mochten ontstaan in verband met deze Verwerkersovereenkomst, zullen uitsluitend worden voorgelegd aan een bevoegde Nederlandse rechter.

13.4. Aan de kopjes van de individuele bepalingen uit deze Overeenkomst kan geen zelfstandige betekenis worden toegekend. Deze dienen enkel ter uitleg.

13.5. De rechten en plichten uit deze Verwerkersovereenkomst zijn niet overdraagbaar, tenzij de andere Partij daar uitdrukkelijk schriftelijk mee heeft ingestemd.

Aldus overeengekomen en digitaal opgemaakt en ondertekend.

Bijlage 1 Specificatie Persoonsgegevens

Verwerker verwerkt de volgende categorieën van Persoonsgegevens, mits noodzakelijk voor de uitvoering van de Overeenkomst, voor de Verwerkingsverantwoordelijke:

• NAW gegevens

• Telefoonnummer (mobiel, vast, fax)

• E-Mail adres

• KvK nummer

• BTW nummer

• IP adressen

• Geboortedatum

• Geboorteplaats

• Geslacht

• BSN en of INSZ nummer

• Nationaliteit

• Diploma’s / Certificaten

Bijlage 2 Beveiligingsmaatregelen

In aanvulling op de maatregelen die Verwerker op grond van het bepaalde in deze Overeenkomst, alsmede artikel 32 AVG, verplicht is te treffen, zal Verwerker meer specifiek verplicht zijn de volgende maatregelen te nemen:

De door de Verwerker te treffen maatregelen zijn afgestemd op het risico van de Verwerking. De Verwerker heeft in ieder geval de volgende maatregelen genomen:

• De fysieke locatie van de database staat in een (niet lokaal) datacentrum, die beveiligd is conform de daarvoor gestelde normen.

• Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL).

• Virus scanner

• Bitlocker voor bestanden op pc

• Wachtwoord/Pincode beveiliging op draagbare apparaten met gegevens