Verwerkersovereenkomst
Verwerkersovereenkomst
Partijen:
A (Verantwoordelijke)
Naam:
Contactpersoon:
Contactgegevens (email, telefoon):
B (Verwerker)
Naam:
Contactpersoon:
Contactgegevens (email, telefoon):
Algemene omschrijving:
Partij A beschikt als verantwoordelijke over persoonsgegevens en deelt deze met verwerker. Het onderwerp van de verwerking is (bijv productnaam of dienstnaam): @@
Het doel van de verwerking is (verlenen dienst, of …..): @@
De categorie betrokkenen / de groep mensen over wie de gegevens gaan is:
@@ (klanten, kandidaten, gebruikers, leerlingen,…)
De soort gegevens die worden gedeeld (weghalen wat niet van toepassing is, toevoegen extra info):
Voornaam Achternaam Adres en woonplaats Telefoonnummer Email
Geboortedatum IP-adres
MAC-adres Browser type
Tijdstippen gebruikersactiviteit Studie/testresultaten Bestellingen / opdrachten
@@
De duur van de verwerking begint op @@ Deze eindigt op @@
Overeengekomen punten:
Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De verwerker zal zich in ieder geval houden aan de volgende punten:
1. De verwerking vindt uitsluitend plaats op basis van de schriftelijke instructies van verantwoordelijke.
2. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
3. Personen in dienst van of werkzaam voor de verwerker die in aanraking komen met de betreffende gegevens hebben een geheimhoudingsplicht.
4. Xxxxxxxxx neemt passende technische en organisatorische maatregelen zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen zijn gewaarborgd. (zie laatste sectie)
5. De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming van / of overeenkomst met verantwoordelijke.
6. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen vast als in deze overeenkomst.
7. Bij het niet nakomen van de verplichtingen van de subverwerker, is de verwerker nog steeds aansprakelijk voor het nakomen van verplichtingen aan verantwoordelijke
8. De verwerker helpt om te voldoen aan de plichten van verantwoordelijke als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). De verwerker brengt hier niet meer dan redelijke kosten voor in rekening (max. € 100,- per uur voor alleen directe uren)
9. De verwerker helpt mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat verwerker mogelijke datalekken direct meldt aan verantwoordelijke en meewerkt aan onderzoek/analyse. De verwerker hoeft niet te melden aan de AP, dit doet de verantwoordelijke. De verwerker brengt voor afhandeling mogelijke datalekken ontstaan bij verwerker geen kosten in rekening.
00.Xx verwerker helpt mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment. ). De verwerker brengt hier niet meer dan redelijke kosten voor in rekening (max. € 100,- per uur voor alleen directe uren).
00.Xx xxxxxxxxx werkt mee aan audits door Verantwoordelijke of een door Verantwoordelijke ingeschakelde derde partij. Verwerker stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen
00.Xx afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens (of retourneert aan verantwoordelijke), tenzij men wettelijk verplicht is deze te bewaren. Dit gebeurt zo snel mogelijk maar in ieder geval binnen vier weken na afloop van de verwerkingsdiensten.
00.Xx verwerker mag de gegevens niet verwerken buiten organisaties/landen die minimaal evenveel waarborgen bieden als de Europese Unie, tenzij schriftelijk anders overeengekomen.
Overzicht beveiligingsmaatregelen
De verwerker zal minimaal de volgende maatregelen toepassen:
@@
(Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.)
Getekend: Verantwoordelijke Plaats, datum Naam
Verwerker Plaats, datum
Naam
Achtergrondinformatie bij template
Dit template is opgesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens, om te voldoen aan de AVG / GDPR. Een verwerkersovereenkomst moet gesloten worden tussen alle opdrachtgevers en leveranciers die persoonsgegevens uitwisselen.
De Autoriteit Persoonsgegeven is de leidende toezichthouder voor GDPR in Nederland. Deze heeft het volgende gepubliceerd over de verwerkersovereenkomst. Hier is dit template op gebaseerd.
Bron:
xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxx-xxxxxx-xxxxxxxx-xxxxxxxxxxxxxxx g/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst-staan-6344
Voor achtergrondinformatie, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxx-xxx-xx-00-xxxxxxx/ Voor meer informatie over melden datalekken, zie:
xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx/
Citaat:
Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).
U moet de volgende onderwerpen vastleggen:
Algemene beschrijving
Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).
Instructies verwerking
De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
Geheimhoudingsplicht
Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
Beveiliging
De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
Subverwerkers
De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
Privacyrechten
De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
Andere verplichtingen
De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
Gegevens verwijderen
Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
Audits
De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).