Bijlage 9 bij AFNAMEOVEREENKOMST Renovatie MET GEGARANDEERDE ENERGIEPRESTATIES versie juni 2019 VERWERKERSOVEREENKOMST


Bijlage 9



bij AFNAMEOVEREENKOMST Renovatie MET GEGARANDEERDE ENERGIEPRESTATIES versie juni 2019

VERWERKERSOVEREENKOMST



Deze Verwerkersovereenkomst alsmede haar bijlagen maken integraal onderdeel uit van de afspraken tussen contractanten overeengekomen op………... (hierna: “Afnameovereenkomst”)

A. CONTRACTANTEN:


  1. _________ , statutair gevestigd te _________, KvK-nummer _________, hierbij rechtsgeldig vertegenwoordigd door _________, ‘Verwerkingsverantwoordelijke’, hierna (ook) te noemen ‘Afnemer’;


en


  1. _________, statutair gevestigd te _________, KvK-nummer _________, hierbij rechtsgeldig vertegenwoordigd door _________, ‘Verwerker’, hierna (ook) te noemen ‘Aanbieder;


B. NEMEN IN AANMERKING:



  1. Afnemer verwerkt of laat persoonsgegevens verwerken van diverse betrokkenen in verband met zijn zakelijke activiteiten en is daarom in het kader van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) de verwerkingsverantwoordelijke – de term Afnemer wordt hier gehanteerd om coherentie binnen de Afnameovereenkomst te bewerkstelligen;

  1. Aanbieder verwerkt persoonsgegevens in opdracht van de Afnemer en is daarom in het kader van de AVG de verwerker – de term Aanbieder wordt hier gehanteerd om coherentie binnen de Afnameovereenkomst te bewerkstelligen;

  1. Afnemer wenst gebruik te maken van de diensten van de Aanbieder om persoons-gegevens voor hem te verwerken;


  1. In overeenstemming met artikel 28 van de AVG willen de Xxxxxxx en Aanbieder afspraken vastleggen in deze Verwerkersovereenkomst.


C. DE PARTIJEN KOMEN HET VOLGENDE OVEREEN:


  1. DEFINITIES EN INTERPRETATIE


    1. In deze Verwerkersovereenkomst zijn, overeenkomstig de definities van de AVG, aan de woorden en zinnen de volgende betekenis toegekend:


De begrippen “Persoonsgegeven”, “Verwerken”, “Betrokkene”, “Verwerkingsverantwoordelijke”, “Verwerker” en “Inbreuk in verband met persoonsgegevens (Datalek)” hebben de betekenis die daaraan in de AVG is toegekend.

AVG”: Verordening (EU) 2016/679 (Algemene Verordening “Gegevensbescherming).


Overeenkomst”: De Afnameovereenkomst tussen Afnemer en Aanbieder, waarvan deze Verwerkersovereenkomst integraal deel uitmaakt;

"Privacywetgeving": De AVG en de Uitvoeringswet Algemene verordening gegevensbescherming, inclusief alle krachtens deze regelingen vastgestelde wet- of regelgeving, en alle overige toepasselijke wet- en regelgeving die van toepassing is op de verwerking van persoonsgegevens;


"Overzicht verwerkingen": Het document opgenomen in bijlage I waarin de details van de verwerking per afgenomen dienst zijn vastgelegd;


"Subverwerker": Een verwerker die door Aanbieder is ingeschakeld bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst;

"Verwerkersovereenkomst": Deze verwerkersovereenkomst, waarin de Verwerkingsverantwoordelijke de Afnemer (een verhuurder) is, die een afnameovereenkomst aangaat met de Aanbieder (verwerker) voor waaruit volgt dat de huurovereenkomst met energieprestatie aangaat met de Betrokkene (een huurder).


  1. DOELEINDEN VAN VERWERKING

    1. Aanbieder verbindt zich om, onder de voorwaarden in deze Verwerkersovereenkomst, in opdracht van Afnemer Persoonsgegevens te verwerken die noodzakelijk zijn voor uitvoering van de Afnameovereenkomst.


    1. De Persoonsgegevens en informatie over de aard van de verwerkingen, die door Aanbieder (zullen) worden uitgevoerd, zijn opgenomen in Bijlage I. Aanbieder zal de gegevens niet voor enige ander doel verwerken dan zoals door Xxxxxxx middels deze Verwerkersovereenkomst dan wel anderszins schriftelijk is overeengekomen.


    1. Het is Aanbieder echter toegestaan de Persoonsgegevens deugdelijk te anonimiseren, zodat deze niet langer herleidbaar zijn naar een persoon, zodat deze geanonimiseerde gegevens gebruikt kunnen worden voor benchmarks, onderzoek, productverbetering en marketingdoeleinden.


    1. Aanbieder heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens voorzover omschreven in Bijlage I. Aanbieder neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.


  1. VERPLICHTINGEN VAN AANBIEDER (VERWERKER)


    1. Aanbieder verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Afnemer Deze instructies zijn vastgelegd in de Overeenkomst en het Overzicht verwerkingen (Bijlage I). Aanbieder stelt Xxxxxxx onmiddellijk in kennis indien naar zijn mening een instructie resulteert in een inbreuk op van toepassing zijnde Privacywetgeving. Ten aanzien van de in artikel 2 genoemde verwerkingen zal Aanbieder zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de Privacywetgeving in het algemeen en de AVG en Uitvoeringwet AVG in het bijzonder.


    1. Aanbieder zal Xxxxxxx, op diens verzoek, binnen een redelijke termijn informeren over de door hem in het kader van deze verwerkingsovereenkomst genomen maatregelen zoals opgenomen in Bijlage III.


    1. De verplichtingen van de Aanbieder die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken in opdracht van Xxxxxxxxx (Subverwerkers).


    1. Aanbieder beschouwt de Persoonsgegevens als vertrouwelijke informatie en draagt er zorg voor dat al haar medewerkers die toegang hebben tot de persoonsgegevens gebonden zijn aan een contractuele verplichting tot geheimhouding. Aanbieder verwerkt de Persoonsgegevens nooit voor eigen doeleinden. Indien Aanbieder op basis van toepasselijke wet- of regelgeving verplicht is om Persoonsgegevens te verwerken, zonder daartoe een schriftelijke instructie van Afnemer te ontvangen, zal Xxxxxxxxx Afnemer terstond op de hoogte stellen van die verplichting, tenzij een dergelijke mededeling in strijd is met wet- of regelgeving.

    2. Aanbieder stelt alle informatie ter beschikking aan Xxxxxxx die Afnemer nodig acht om te voldoen aan wettelijke of contractuele verplichtingen die meebrengen dat Afnemer aantoont dat zij voldoet aan de wet- en regelgeving die van toepassing is op verwerking van Persoonsgegevens.


  1. VERPLICHTINGEN VAN AFNEMER (VERWERKINGSVERANTWOORDELIJKE)

    1. Afnemer garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van Betrokkenen en/of derden.


5. INSCHAKELEN VAN DERDEN


5.1 Afnemer geeft Xxxxxxxxx hierbij toestemming om bij de verwerking van Persoonsgegevens, op grond van deze Verwerkersovereenkomst, gebruik te maken van derde partijen (Subverwerkers) genoemd in bijlage II.


5.2 Bij het inschakelen van nieuwe derde partijen (Subverwerkers) informeert de Aanbieder Afnemer over het voornemen om een Subverwerker aan te stellen en stelt Xxxxxxxxx de Afnemer gedurende 15 werkdagen na deze kennisgeving in de gelegenheid om op redelijke gronden gemotiveerd bezwaar te maken tegen de aanstelling van een Subverwerker. Wanneer Xxxxxxx bezwaar maakt tegen door de Aanbieder ingeschakelde derden, zullen Partijen onderling in overleg treden om hiertoe tot een oplossing te komen.


5.3 Aanbieder zorgt er in ieder geval voor dat deze derden (Subverwerkers) schriftelijk dezelfde plichten op zich nemen als tussen Afnemer en Aanbieder zijn overeengekomen. Aanbieder staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Afnemer aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.


6. RECHTEN VAN BETROKKENEN


6.1 In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Xxxxxxxxx, zal Xxxxxxxxx het verzoek binnen 2 werkdagen doorsturen aan Afnemer en de Betrokkene hiervan op de hoogte stellen. De Afnemer zal het verzoek vervolgens verder zelfstandig afhandelen.


6.2 Aanbieder zal Xxxxxxx op verzoek alle medewerking verlenen in geval van een vraag of een verzoek tot uitoefening van zijn/haar wettelijke rechten van een Betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens. Aanbieder voert per omgaande alle instructies uit die Afnemer aan Xxxxxxxxx geeft als gevolg van een verzoek tot inzage, correctie of verwijdering van Persoonsgegevens door Xxxxxxxxxx. Afnemer zal aan Aanbieder de redelijke meerkosten voortvloeiend uit een door Afnemer dan wel de Autoriteit Persoonsgegevens opgedragen onderzoek dan wel inspectie vergoeden.


7. BEVEILIGING


7.1 Zoals aangegeven in Bijlage III neemt Aanbieder aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken Persoonsgegevens, teneinde de Persoonsgegevens te beschermen tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van die gegevens te waarborgen.


8. DATALEKKEN


8.1 In geval van een Datalek zal Aanbieder Afnemer daarover onverwijld dan wel uiterlijk binnen vierentwintig (24) uur na ontdekking informeren. Naar aanleiding daarvan beoordeelt Afnemer of zij de toezichthoudende autoriteiten en/of Betrokkenen zal informeren of niet.


8.2 Aanbieder heeft een procedure geïmplementeerd die voldoet aan de Privacywetgeving en die hem in staat stelt om Xxxxxxx onverwijld te informeren ten aanzien van een inbreuk, de inbreuk met Afnemer te onderzoeken, en de inbreuk op te lossen. Aanbieder verstrekt aan Xxxxxxx op verzoek een afschrift van deze procedure.


8.3 Alle inbreuken als bedoeld in dit artikel worden door Xxxxxxxxx gemeld aan de Afnemer: <naam, telefoonnummer en mailadres>.


8.4 Aanbieder spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat op te maken. Na de melding van een Datalek aan Afnemer, zal Xxxxxxxxx Afnemer op de hoogte houden van nieuwe ontwikkelingen rond het Datalek en de maatregelen die Aanbieder heeft getroffen om de omvang van het Datalek te beperken en te beëindigen zodat soortgelijke incidenten in de toekomst kunnen worden voorkomen.


8.5 Afnemer zal zorgdragen voor het voldoen aan eventuele (wettelijke) Meldplichten. Het is niet toegestaan dat Xxxxxxxxx een melding van een Datalek doet aan de toezichthoudende autoriteiten en ook mag Aanbieder de Betrokkenen en/of derde partijen niet zelfstandig informeren over het Datalek. Indien de wet- en/of regelgeving dit vereist zal Xxxxxxxxx wel meewerken aan het informeren van de ter zake relevante toezichthoudende autoriteiten en eventueel Betrokkenen. Aanbieder zal Afnemer direct informeren als de Autoriteit Persoonsgegevens toegang tot de Persoonsgegevens vraagt of de Autoriteit Persoonsgegevens maatregelen neemt tegen Xxxxxxxxx en/of Afnemer, tenzij Xxxxxxxxx deze informatie op grond van wetgeving niet aan Afnemer mag geven.


8.6 De meldplicht behelst in ieder geval het melden van het feit dat er een Datalek heeft plaatsgevonden, alsmede voor zover bekend bij Aanbieder:

de aard van het Datalek;

de geconstateerde en vermoedelijke gevolgen van het Datalek;

de datum waarop het Datalek heeft plaatsgevonden (indien geen exacte datum bekend

is:

de periode waarbinnen het Datalek heeft plaatsgevonden;

wat de (vermeende) oorzaak is van het Datalek;

de datum en het tijdstip waarop het Datalek bekend is geworden bij Aanbieder of bij een

door hem ingeschakelde derde;

het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is

het minimale en maximale aantal personen waarvan gegevens zijn gelekt);

een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het

soort of de soorten Persoonsgegevens die gelekt zijn;

of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of

ontoegankelijk zijn gemaakt voor onbevoegden;

wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het Datalek te

dichten en om de gevolgen van het Datalek te beperken;

contactgegevens voor de opvolging van de melding.


9. AUDITS & DPIA


9.1 Afnemer heeft het recht om audits uit te laten voeren door een onafhankelijke deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst.


9.2 Deze audit vindt uitsluitend plaatst nadat Afnemer de bij Aanbieder aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt, die een door Afnemer geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Aanbieder aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Aanbieder. De door Afnemer geïnitieerde audit vindt twee weken na voorafgaande aankondiging plaats door Xxxxxxx.


9.3 Aanbieder zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen. Een termijn van maximaal twee weken is hierbij redelijk, tenzij een spoedeisend belang zich hiertegen verzet. Afnemer zal er zorg voor dragen dat de audit een zo min mogelijk bedrijfs-verstorend effect op de overige werkzaamheden van Xxxxxxxxx veroorzaakt.


9.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.


9.5 De redelijke kosten voor de audit worden door de Afnemer gedragen tenzij uit de audit blijkt dat de Xxxxxxxxx zich niet aan de inhoud van deze Verwerkersovereenkomst heeft gehouden. In dat laatste geval overleggen Afnemer en Aanbieder over een redelijke verdeling van de kosten.


9.6 Aanbieder zal Afnemer ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’). Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Xxxxxxxxx aan Afnemer, voor het correct uitvoeren van de DPIA. Ingeval de ondersteuning substantieel van aard is kunnen afspraken worden gemaakt over het vergoeden van de kosten die de Aanbieder maakt. De Afnemer zal maximaal een maal in de drie jaar van deze bevoegdheid gebruik maken, tenzij eerder het risico van de verwerking is veranderd.


10. VERTROUWELIJKHEID


10.1 Aanbieder is gehouden tot geheimhouding van Persoonsgegevens waarvan zij kennisneemt, behoudens voor zover enig wettelijk voorschrift haar tot mededeling verplicht, uit haar taak de noodzaak tot mededeling voortvloeit of indien Afnemer uitdrukkelijk toestemming heeft gegeven om informatie te verschaffen aan derden.


10.2 Aanbieder waarborgt dat de tot het verwerken van Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.


10.3 Niets in deze overeenkomst mag de partijen beletten te voldoen aan alle wettelijke verplichtingen opgelegd door de toezichthoudende autoriteiten of de rechtbank. Beide partijen zullen, waar mogelijk samen, praten over een passend antwoord op elk verzoek van toezichthoudende autoriteiten of de rechtbank voor openbaarmaking van informatie.


11. AANSPRAKELIJKHEID


11.1. De in de Afnameovereenkomst overeengekomen aansprakelijkheidsbepalingen zijn onverkort van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst.


11.2. Indien en voor zover er geen specifieke aansprakelijkheidsbepaling is opgenomen in de Afnameovereenkomst met betrekking tot de Verwerking van Persoonsgegevens, is de aansprakelijkheid van Partijen voor schade veroorzaakt door het niet naleven van het bepaalde in deze Verwerkingsovereenkomst beperkt tot een maximum van 500.000 euro per gebeurtenis (waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis). Alle overige vormen van schade, waaronder gevolgschade, gederfde winst, reputatieschade, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie en leegloop van personeel, aan derden verschuldigde civiele boetes en vergoedingen en verminderde goodwill zijn gemaximeerd op 250.000 euro.


11.3. In afwijking van lid 1 en ter aanvulling op 2 van dit artikel, indien en voor zover een door de toezichthoudende autoriteit aan een Partij opgelegde boete rechtstreeks voortvloeit uit:

a) een toerekenbare tekortkoming door de tekortkomende Partij en/of diens Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst; of

b) een schending door de tekortkomende Partij en/of diens Subverwerkers van de toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens, is deze tekortkomende Partij aansprakelijk jegens de Partij die de boete opgelegd heeft gekregen voor het bedrag van de boete, waarbij een maximum van 1.000.000 euro (zegge: één miljoen euro) geldt.

Indien de toezichthoudende autoriteit aan beide Partijen een boete oplegt, dan is deze richtinggevend en daarmee de aansprakelijkheid van elk van de beide Partijen ingevuld.


12. VERWERKEN BINNEN EN BUITEN EER


12.1 Aanbieder mag geen persoonsgegevens doorgeven naar een land buiten de Europese Economische Ruimte (EER), tenzij:

a) Afnemer daarvoor voorafgaand schriftelijke toestemming heeft gegeven;

b) de persoonsgegevens worden doorgegeven aan een derde land waarvan de Europese Commissie heeft besloten dat het beschikt over een adequaat wettelijk beschermingsniveau; of

c) de doorgifte geschiedt op basis van goedgekeurde bindende bedrijfsvoorschriften zoals bedoeld in art 47 AVG.


12.2. Het is Xxxxxxxxx tevens toegestaan persoonsgegevens door te geven aan een Subverwerker buiten de EER waarvoor Xxxxxxx toestemming heeft verleend middels deze Verwerkersovereenkomst indien en voor zover de doorgifte geschiedt op basis van een mechanisme, dat bij besluit van de Europese Commissie is vastgesteld als een passende waarborg voor de doorgifte naar derde landen, zoals een EU Standaardcontract (Besluit 2010/87/EU of opvolgende instrumenten).


12.3. De aard van de dienst kan ertoe leiden dat een doorgifte naar een land buiten de EU noodzakelijk is om de dienst te kunnen leveren, bijvoorbeeld om een internationaal telefoongesprek te kunnen verbinden. Afnemer geeft hierbij schriftelijke toestemming voor gevallen waar de doorgifte van persoonsgegevens strikt noodzakelijk is voor de levering van de afgenomen dienst.


13. TERMIJN EN BEËINDIGING

13.1 Deze Verwerkersovereenkomst blijft volledig van kracht voor zo lang Aanbieder Persoonsgegevens verwerkt uit naam van Xxxxxxx, dat wil zeggen voor de duur van de beheer- en onderhoudsperiode zoals beschreven in bijlage 6 van de Afnameovereenkomst.


13.2 De Verwerkersovereenkomst wordt automatisch beëindigd zodra de Afname-overeenkomst wordt opgezegd. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd, tenzij wijzigingen in de Afnameovereenkomst hiertoe aanleiding geven. Indien de verleende diensten ook na de beëindiging van de Afnameovereenkomst moeten worden voortgezet (bijvoorbeeld door een exitregeling), dan zijn de bepalingen van deze Verwerkingsovereenkomst blijvend van kracht op deze verdere levering van diensten voor de gehele duur van de feitelijke samenwerking.


13.3 Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse

schriftelijke instemming.


13.4 Na beëindiging van de Verwerkersovereenkomst geeft Xxxxxxxxx binnen 2 weken de van Afnemer ontvangen Persoonsgegevens zoals omschreven in Bijlage I terug, tenzij partijen anders overeenkomen. Indien zwaarwegende belangen van Xxxxxxxxx dit noodzakelijk maken mag onherroepelijk geanonimiseerde data door de Aanbieder worden behouden.


13.5 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen, zoals het melden van Datalekken waarbij de persoonsgegevens betrokken zijn, en de plicht tot geheimhouding blijven voortduren, indien en voor zover Aanbieder over door dan wel namens Xxxxxxx verstrekte niet-geanonimiseerde persoonsgegevens beschikt.


14. CONTROLE EN BORGING

14.1 Aanbieder laat aan Xxxxxxx jaarlijks weten wanneer de meest recente audit inzake de informatiebeveiliging en de AVG is uitgevoerd en wat daaruit de belangrijkste conclusies waren. Aanbieder laat 1x per < 3 > jaar een audit uitvoeren door een onafhankelijke auditor.


14.2 Rapportage, audit en controle in de zin van dit artikel richten zich in elk geval op de procedures rondom de autorisaties, de logbestanden, de opslag van gegevensdragers en de wijze waarop Persoonsgegevens worden verstrekt.


15 OVERIGE BEPALINGEN

15.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.


15.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkers-overeenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement van de rechtbank die ook bevoegd is in het kader van de Afnameovereenkomst te oordelen.


15.3 Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.


15.4 Indien de Privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkers-overeenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.


15.5 Met het sluiten van deze Verwerkersovereenkomst vervallen eventuele eerder tussen Partijen gesloten Verwerkers- dan wel Bewerkersovereenkomsten.


15.6 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

x. xx Xxxxxxxxxxxxxxxxxx;

b. deze Verwerkersovereenkomst;

c. de Algemene Voorwaarden van Verwerker;

d. eventuele aanvullende voorwaarden.



Aldus overeengekomen en getekend:






Afnemer



Aanbieder


Naam:



Naam:


Functie:



Functie:


Datum:



Datum:




BIJLAGE I: VERWERKINGEN


<Let op: op basis van art. 30 AVG moet de Xxxxxxxxx ook een verwerkingsregister bij houden. De bijlage van dit contract vervangt deze verplichting niet.>


Het onderwerp van de verwerking

<Invullen; bijvoorbeeld “verwerken van persoonsgegevens met betrekking tot energieverbruik in de woning”.>


Schriftelijke instructie voor het verwerken van persoonsgegevens

<Voor het verwerken is een schriftelijke instructie van de Afnemer nodig. Deze kan separaat ter beschikking worden gesteld aangezien deze aan verandering onderhevig kan zijn. Het verstandig om hier goed versiebeheer op toe te passen aangezien het document beschrijft. In de ICT sector worden deze afspraken doorgaans vastgelegd in een SLA.>


Categorieën van betrokkenen

<Invullen, doorgaans zullen dit de bewoners zijn>


Methode van verzameling van (persoons)gegevens

<Voor het registreren van de energiestromen wordt een monitoringssystem gebruikt zoals beschreven in bijlage 8 bij de Afnameovereenkomst.>


Soorten van persoonsgegevens

De persoonsgegevens betreffen de volgende soorten van persoonsgegevens:

<Invullen, zie ook onderstaande voorbeelden>.


Het gaat om de volgende gegevens, die aan het adres van de bewoner gekoppeld kunnen worden:

Energiegebruik verwarming, in kWh, tenminste 1 keer per uur

Hoeveelheid gebruikt warm tapwater, in liters/dag, tenminste 1 keer per uur

Energiegebruik warmtebron (warmtepomp), in kWh, tenminste 1 keer per uur

Energiegebruik ventilatie-installatie en andere hulpapparatuur die noodzakelijk is voor een goed werkende woning, in kWh, , tenminste 1 keer per uur

Energieopwek (zonnepanelen), in kWh, tenminste 1 keer per uur

Temperatuur woonkamer, in graden Celsius, tenminste 1 keer per uur

Temperatuur warm tapwater, in graden Celsius, tenminste 1 keer per uur

Binnenluchtkwaliteit (CO2-concentratie in de verblijfsruimtes), tenminste 1 keer per uur (indien van toepassing)

Technische gegevens over het functioneren van de installaties




De aard van de verwerking en doeleinden van de verwerking

De persoonsgegevens worden op de volgende wijze voor de volgende doeleinden verwerkt: <Invullen, zie ook onderstaande voorbeelden>


Het kunnen voldoen aan de wettelijke verplichting de huurder jaarlijks inzicht te geven in de prestaties van de woning.

Het kunnen beoordelen of de woning voldoet aan de afgesproken prestatie-eisen.

Het aan de verhuurder kunnen rapporteren over de prestaties van de woningen.

Het kunnen beoordelen of de Nul op de Meter woning naar behoren werkt.

Het aan de bewoner verschaffen van inzicht in het effect van diens gedrag op de beschikbare energiebundel en daarmee de jaarafrekening.

Het kunnen uitvoeren en optimaliseren van beheers- en onderhoudsdienst, indien en voor zover dit in de Afnameovereenkomst is overeengekomen.

Het kunnen verbeteren van diens Nul op de Meter producten door inzicht in geanonimiseerde prestatie- en gebruiksdata (onderzoek en ontwikkeling),

De energiestromen moeten worden geregistreerd om te voldoen aan de wettelijke verplichtingen inzake de Energieprestatievergoeding

Het verbeteren van de woningrenovatie-producten door inzicht in geanonimiseerde prestatie- en gebruiksdata


De duur van de verwerking, bewaarperiodes

<Invullen>.


Teruggave, vernietiging of verwijdering van persoonsgegevens

<Invullen>


BIJLAGE II: SUBVERWERKER


Deze bijlage bevat een overzicht van de Subverwerkers die door de Aanbieder worden gebruikt. Door ondertekening van dit document verklaart de Afnemer akkoord te zijn met het gebruik van deze Subverwerkers door de Aanbieder.


Voor de procedure omtrent het inschakelen van nieuwe Subverwerkers wordt verwezen naar het betreffende artikel uit deze verwerkersovereenkomst


<Naam subverwerker>

<Categorie subverwerker>

<Adres subverwerker>

<Betrokkenheid bij de verwerking (welke rol vervult de subverwerker)>



BIJLAGE III: PERSOONSGEGEVENSBEVEILIGING


Omschrijving van de technische en organisatorische beveiligingsmaatregelen die door de Aanbieder worden genomen:


Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot en verwerking van persoonsgegevens:


  1. <(groepen van) medewerkers die toegang hebben tot welke persoonsgegevens>

  2. <Handelingen die deze medewerkers uitvoeren met de persoonsgegevens>


Omschrijving van de maatregelen om de persoonsgegevens te beschermen tegen onopzettelijk of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde opslag of onrechtmatige opslag. Meer informatie hierover is onder andere te vinden in de eisen van de Energieprestatie Monitoringsnorm.


  1. <Beschrijving beveiliging applicatie/platform>

  2. <Beschrijving wijze van identificatie/authenticatie/autorisatie en beveiliging daarvan>

  3. <Beschrijving beveiliging van wijze van uitwisseling/transport van gegevens>


Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet, zoals:


  1. <een periodieke analyse van (security) incidenten, het uitvoeren van een extern/intern kwetsbaarhedenonderzoek of het periodiek uitvoeren van controles op beveiliging van systemen>

  2. <een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking>

Model Afnameovereenkomst Renovatie Bijlage 9

Pagina 15 van 15

23 juni 2019

Paraaf Afnemer:

Paraaf Aanbieder:


Document Metadata

Filed: August 13th, 2019