VERWERKERSOVEREENKOMST ONDERGETEKENDEN


VERWERKERSOVEREENKOMST




ONDERGETEKENDEN


SPG gevestigd aan straat + huisnummer, in plaats ten deze rechtsgeldig vertegenwoordigd door naam secretaris, in de functie van secretaris, hierna te noemen “Verantwoordelijke”


en


[naam organisatie] gevestigd te [plaatsnaam] aan de [adres], ten deze rechtsgeldig vertegenwoordigd door………………, in de functie van ……………, hierna te noemen “Verwerker”


hierna gezamenlijk aangeduid als “Partijen”,


overwegende dat:

  1. Verantwoordelijke aan Xxxxxxxxx een opdracht heeft verstrekt vanwege het verrichten van de volgende diensten: [diensten] ;

  2. Voor het uitvoeren van deze opdracht Persoonsgegevens door Verantwoordelijke worden verstrekt aan de Verwerker;

  3. SPG met betrekking tot de Persoonsgegevens is aan te merken als verantwoordelijke en [naam organisatie] als verwerker;

  4. Partijen in deze Overeenkomst de wederzijdse rechten en verplichtingen vast willen leggen met betrekking tot de verwerking van Persoonsgegevens.


Komen het volgende overeen:


Artikel 1 Definities

Betrokkene:

Degene op wie een Persoonsgegeven betrekking heeft. In deze overeenkomst zijn dat minderjarige en volwassen ingeschreven bij SPG.

Verwerker:

De organisatie of persoon die persoonsgegevens verwerkt in deze ter uitvoering van de overeengekomen dienst.

Sub-verwerker:

Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

Verantwoordelijke:

De organisatie of persoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Persoonsgegevens:

Een gegeven of een combinatie van gegevens waarmee een natuurlijke persoon („de Betrokkene”) geïdentificeerd kan worden.

Bijzondere Persoonsgegevens:

Gegevens van meer gevoelige aard waarvoor een hogere mate van bescherming vereist is, zoals etnische afkomst, politieke opvattingen, religieuze overtuiging, gezondheid.

Datalek:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens.

Meldplicht Datalekken:

De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

Medewerkers

Personen die werkzaam zijn bij Partijen, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

Persoonsgegevens van gevoelige aard

Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:

  • Bijzondere persoonsgegevens

  • Gegevens over de financiële of economische situatie van de Betrokkene

  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene

  • Gebruikersnamen, wachtwoorden en andere inloggegevens

  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude

Verwerking:

Een bewerking of een geheel van bewerkingen van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals: ordenen, opslaan, bijwerken, opvragen, verstrekken, of vernietigen.


Artikel 2 Toepasselijkheid en looptijd

  1. Deze Overeenkomst is van toepassing op iedere Verwerking van Persoonsgegevens die door Verwerker wordt gedaan op basis van de opdracht.

  2. Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat Verwerker geen Persoonsgegevens meer onder zich heeft die in het kader van de Opdracht zijn verstrekt.

  3. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.

  4. [indien de opdracht dit zelf niet vermeldt, hier melden welke gegevens worden verstrekt]


Artikel 3 Verwerking

  1. Verwerker verwerkt de Persoonsgegevens uitsluitend op de manier die is afgesproken in de Onderliggende opdracht volgens instructies van de Verantwoordelijke en voor zover dit de uitvoering van de opdracht noodzakelijk is.

  2. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over verwerking van Persoonsgegevens zonder voorafgaande toestemming van Verantwoordelijke.

  3. Verwerker houdt zich bij het verwerken aan de op de Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Overeenkomst.

  4. Verwerker beperkt de toegang tot de persoonsgegevens tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Verwerker zorgt voor een volledige instructie van de betreffende Medewerker over de omgang met Persoonsgegevens.

  5. Verwerker verwerkt de persoonsgegevens uitsluitend binnen de Europese Economische Ruimte, tenzij hierover schriftelijk nadere afspraken zijn gemaakt tussen Partijen.

  6. Verwerker verleent de nodige medewerking aan Verantwoordelijke met betrekking tot verzoeken door een Betrokkene omtrent diens gegevens.

  7. Verwerker houdt de verkregen Persoonsgegevens geheim en verplicht Medewerkers en eventuele Sub-verwerkers ook tot geheimhouding.


Artikel 4 Beveiligingsmaatregelen

  1. Verwerker zorgt voor voldoende beveiliging en passende technische en organisatorische maatregelen om verlies en onrechtmatige verwerkingen van de persoonsgegevens te voorkomen.

  2. Een overzicht van deze maatregelen en het beleid daarover wordt door de Verwerker verstrekt aan de Verantwoordelijke.

  3. Elk jaar zal Xxxxxxxxx rapporteren aan Verantwoordelijke over de genomen maatregelen en eventuele en de eventuele aandachts- en/of verbeterpunten.

  4. Verantwoordelijke is gerechtigd een audit bij Verwerker uit te voeren of een rapport op te vragen om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Verwerker verleent hieraan de nodige medewerking.

  5. Indien blijkt dat de genomen maatregelen bijstelling behoeven, worden in overleg de te nemen maatregelen vastgesteld.


Artikel 5 Datalekken


  1. In geval van een ontdekking van een mogelijk Datalek zal Verwerker Verantwoordelijke hierover informeren binnen 24 uur via xxxx@xxx.xx en telefoonnummer 06-12345678 en de nodige informatie verstrekken. Eventueel benoemen welke informatie, zo nodig in een bijlage. Zie de info over datalekken op xxx.xxx.xx

  2. Na de melding van een Datalek zal Verwerker Verantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de nodige maatregelen treffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.

  3. Verantwoordelijke draagt zelf de verantwoordelijkheid om indien nodig het Datalek te melden bij de Toezichthouder of Betrokkenen te informeren. Verwerker onderneemt hierin geen actie.


Artikel 6 Aansprakelijkheid

  1. Verwerker is aansprakelijk voor alle schade en nadeel geleden door het niet nakomen van de wet en de bepalingen uit deze verwerkersovereenkomst, voor zover dit is ontstaan door toedoen van Verwerker.

  2. Verwerker is aansprakelijk voor een aan Verantwoordelijke opgelegde bestuurlijke boete door de Toezichthouder als de geleden schade het gevolg is van nalatig handelen door Verwerker.

  3. Verantwoordelijke is niet aansprakelijk voor aanspraken van Betrokkenen of andere personen en organisaties waar Verwerker de samenwerking mee is aangegaan of waarvan Verwerker Persoonsgegevens verwerkt, als dit het gevolg is van nalatig handelen door Verwerker.



Artikel 7 Teruggave Persoonsgegevens en bewaartermijn

  1. Na het beëindigen van deze verwerkersovereenkomst retourneert Verwerker de Persoonsgegevens en de verstrekte dragers per ommegaande aan de Verantwoordelijke. In overleg kan worden overeengekomen dat de persoonsgegevens zullen worden vernietigd in plaats van te worden geretourneerd.

  2. Eventuele achter gebleven persoonsgegevens zullen op een zorgvuldige en veilige manier vernietigd moeten worden.

  3. De Persoonsgegevens die Verwerker bewaart in het kader van de opdracht zullen na verstrijken van de wettelijke bewaartermijn en /of op verzoek van Verantwoordelijke door Verwerker worden vernietigd.


Artikel 8 Slotbepalingen

  1. Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer Partijen dit schriftelijk overeenkomen.

  2. Bij eventuele tegenstrijdigheden tussen de bepalingen in de Opdracht en deze Verwerkersovereenkomst gelden de bepalingen uit deze Verwerkersovereenkomst.

  3. Op deze overeenkomst is het Nederlands recht evenals toepasselijke Europese wetgeving onverkort van toepassing.


Partijen verklaren ten opzichte van elkaar en verbinden zich tegenover elkaar deze overeenkomst te goeder trouw uit te voeren.


Ondertekening

Aldus overeengekomen op [datum] te [plaats]


Namens [naam Verwerker]





[naam]

[functie]


Namens SPG





Naam secretaris

Secretaris SPG



Versie 1.1


Document Metadata

Filed: November 29th, 2017