Verwerkersconvenant ARVODI-2018
Verwerkersconvenant ARVODI-2018
De ondergetekenden
Het publiekrechtelijk zelfstandig bestuursorgaan (ZBO) met eigen rechtspersoonlijkheid CAK, gevestigd aan de Xxxxxxx Xxxxxxxxxxx 0, 0000 XX xx Xxx Xxxx, te dezen rechtsgeldig vertegenwoordigd door de voorzitter Raad van Bestuur, de heer mr. J.H. Ouwehand, hierna te noemen:
“Opdrachtgever”, en
Het Centraal Justitieel Incassobureau, ministerie van Justitie en Veiligheid, onderdeel van de Staat der Nederlanden, rechtsgeldig vertegenwoordigd door de Algemeen Directeur, de heer xx. Xxx. X. Xxxxxxxxx hierna te noemen:
“Opdrachtnemer”,
hierna gezamenlijk te noemen: "Partijen";
Overwegende dat:
1. Voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als verwerker;
2. Partijen in dit Verwerkersconvenant, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Opdrachtnemer wensen vast te leggen.
Komen overeen:
1. Begrippen
In dit Verwerkersconvenant wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten 2018 (ARVODI-2018). In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersconvenant verstaan:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: de algemene samenwerkingsafspraken (convenant) van december 2016.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkersconvenant: dit convenant inclusief overwegingen en bijbehorende bijlagen.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
2.1 Dit Verwerkersconvenant regelt de Verwerking van Persoonsgegevens door Opdrachtnemer in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven.
2.3 Opdrachtnemer garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Opdrachtnemer garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
3. Inwerkingtreding en duur van het Verwerkersconvenant
3.1 Dit Verwerkersconvenant treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Dit Verwerkersconvenant eindigt nadat en voor zover Opdrachtnemer alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan dit Verwerkersconvenant tussentijds opzeggen, omdat dit verwerkersconvenant onderdeel is van de Overeenkomst.
4.1 Opdrachtnemer Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op Opdrachtnemer van toepassing zijn.
4.2 Opdrachtgever geeft Xxxxxxxxxxxxx toestemming om de persoonsgegevens die in het kader van de werkzaamheden die voortvloeien uit het convenant en/of SLA zijn verkregen, te gebruiken met als doel het vormgeven van een integraal persoonsbeeld in het kader van de taak van het CJIB om sociaal maatschappelijk verantwoord te innen en incasseren. Hiertoe worden in ieder geval NAW-gegevens opgenomen.
4.3 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Opdrachtnemer in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.4 Indien Opdrachtnemer op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.5 Opdrachtnemer heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens. Voor zover niet anders is bepaald in deze Verwerkersafspraken, neemt Opdrachtnemer geen beslissingen over het gebruik van de gegevens en de verstrekking aan derden.
5. Beveiliging van de Verwerking
5.1 In aanvulling op artikel 15 van de ARVODI-2018 en onverminderd artikel 2.3 treft Opdrachtnemer de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Opdrachtnemer waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Opdrachtnemer aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Opdrachtnemer Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.5 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid (zie Bijlage 3).
5.6 Opdrachtnemer verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
6. Geheimhouding door Personeel van Opdrachtnemer
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter (artikel 13.1 van de ARVODI).
6.2 Opdrachtnemer toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen (artikel 13.2 van de ARVODI-2018).
6.3 Deze en andere van toepassing zijnde verplichtingen ten aanzien van geheimhouding blijven ook na ontbinding van deze overeenkomst gelden.
7. Subverwerker
7.1 Wanneer Opdrachtnemer een andere verwerker binnen of buiten de Staat der Nederlanden inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in dit Verwerkersconvenant zijn opgenomen.
7.2 Bij het uitvoeren van deze Verwerkersafspraken maakt Opdrachtnemer slechts na voorafgaande schriftelijke toestemming van Opdrachtgever gebruik van de diensten van een subverwerker, tenzij deze reeds is opgenomen in bijlage 1.
7.3 De door Opdrachtgever verleende toestemming laat onverlet de eigen verantwoordelijkheid en aansprakelijkheid van Opdrachtnemer voor de nakoming van de krachtens de Overeenkomst op hem rustende verplichtingen alsmede andere verplichtingen volgende uit wet- en regelgeving.
8. Bijstand vanwege rechten van Betrokkene
8.1 Opdrachtnemer verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
8.2 Indien Opdrachtnemer een verzoek om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van Betrokkene ontvangt, zal deze het verzoek zo spoedig doorzenden naar Opdrachtgever.
9. Inbreuk in verband met Persoonsgegevens
9.1 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 Opdrachtnemer informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen elk de door xxxxxxx in verband met de melding aan de bevoegde toezichthoudende autoriteit te maken kosten. Kosten voor het informeren van de betrokken burgers komen voor rekening van de veroorzaker van de inbreuk.
10. Terugbezorgen of wissen Persoonsgegevens
10.1 Bij beëindiging van de samenwerking draagt Opdrachtnemer zorg voor het wissen van alle Persoonsgegevens. Opdrachtnemer verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
11. Informatieverplichting en audit
11.1 Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit dit Verwerkersconvenant zijn en worden nagekomen.
11.2 Opdrachtnemer verleent alle benodigde medewerking aan audits.
Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,
24 - 10 - 2023, 24 - 10 - 2023,
te Den Haag te Leeuwarden
Het CAK De Staat der Nederlanden,
Het Centraal Justitieel Incassobureau
De heer mr. J.H. Ouwehand De heer xx. xxx. X. Xxxxxxxxx MBA
bestuursvoorzitter algemeen directeur
Bijlagen:
1. De Verwerking van Persoonsgegevens
2. Passende technische en organisatorische maatregelen
3. Afspraken betreffende Inbreuken in verband met Persoonsgegevens
Bijlage 1. De Verwerking van Persoonsgegevens
Het onderwerp/aard en doel van de Verwerking | Het CJIB voert in opdracht van het CAK de inning uit van openstaande vorderingen inzake de Wanbetalersregeling en de Onverzekerdenregeling in de minnelijke fase en in de executiefase op basis van een dwangbevel. |
Het soort Persoonsgegevens | Gewone persoonsgegevens, wettelijke identificatienummers en financiële gegevens |
Beschrijving categorieën Persoonsgegevens | NAW gegevens, BSN, referentienummer, financiële gegevens met betrekking tot de omvang en voortgang van de vordering. |
Beschrijving categorieën Betrokkenen | - Klanten CAK inzake de Wanbetalersregeling en Onverzekerdenregeling; - Gecontracteerde deurwaarders. |
Beschrijving categorieën ontvangers van Persoonsgegevens | n.v.t. (naast het CJIB zijn er geen andere ontvangers) |
Het onderwerp/aard en doel van de Verwerking | Opdrachtnemer voert in opdracht van de opdrachtgever de inning en/of incasso uit van openstaande vorderingen. De wettelijke grondslag en de oorsprong van de vordering is nader uitgewerkt in de Uitvoeringsafspraken. |
Grondslag van de Verwerking | De Verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6 lid 1 sub e AVG). |
Het soort Persoonsgegevens | Volledige naam, geboortedatum, geboorteplaats, adres, postcode, BSN, IBAN, gegevens over de dwangsom of boete (bijv. het zaaknummer, de opgelegde dwangsom of boete of een eventuele betalingsregeling), contactgegevens van de bewindvoerder/curator. Het CJIB heeft voldoende gegevens als de zaak wordt aangeleverd met als persoonsgegeven een KvK nummer + vestigingsnummer. Met deze informatie kan het CJIB zelf de benodigde (persoons-)gegevens opvragen. In de gevallen dat het CAK niet over deze twee nummers beschikt zijn aanvullende gegevens van de betrokkene (debiteur) nodig. |
Voor de categorie Niet natuurlijke personen zijn dit onderstaande gegevens: • Naam organisatie • Rechtsvorm • Adresgegevens • Evt. de contactpersoon. | |
Beschrijving categorieën Persoonsgegevens | Algemene Persoonsgegevens |
Beschrijving categorieën Betrokkenen | - Rechtspersonen, die herleidbaar zijn tot natuurlijke personen - Bedrijven (meestal geen persoonsgegevens, behalve wanneer de eigennaam in de bedrijfsnaam is verwerkt) - Contactpersonen - Medewerkers OG/CJIB |
Beschrijving categorieën ontvangers van Persoonsgegevens | Het CJIB, Deurwaarders, Bank, PMS (printen brieven) |
Bijlage 2. Passende technische en organisatorische maatregelen
Verwerker heeft passende technische en organisatorische beveiligingsmaatregelen getroffen waarmee de beschikbaarheid, integriteit en vertrouwelijkheid van de dataverwerking is geborgd. Verwerker doet dit op basis van hetgeen over informatiebeveiliging is vastgelegd in de BIO. Hiermee voldoet Verwerker aan de vereisten van informatiebeveiliging op basis waarvan de partijen erop kunnen vertrouwen dat de wijze waarop gegevens die worden verstuurd of worden ontvangen en verwerkt, in lijn met wet- en regelgeving, passend beveiligd zijn.
Verwerker beschikt over een robuuste informatiebeveiligingsorganisatie die is ingericht om te kunnen voldoen aan tenminste het basis beveiligingsniveau 2 (BBN 2). De basis voor de
informatiebeveiliging is vastgelegd in het “Beleid Integrale Beveiliging CJIB” en de beleidsnotitie “Beveiligingsorganisatie CJIB”.
Voor de onderhavige dienstverlening zijn door Verwerker meer in het bijzonder de volgende BIO maatregelen toetsbaar en aantoonbaar van toepassing:
▪ Hoofdstuk 7: veilig personeel
▪ Hoofdstuk 9: toegangsbeveiliging
▪ Hoofdstuk 10: cryptografie
▪ Hoofdstuk 11: Fysieke beveiliging en beveiliging van de omgeving
▪ Hoofdstuk 12: beveiligen bedrijfsvoering
▪ Hoofdstuk 13: communicatiebeveiliging
▪ Hoofdstuk 14: acquisitie, ontwikkeling en onderhoud van informatiesystemen
▪ Hoofdstuk 15: leveranciersrelaties
▪ Hoofdstuk 16: beheer van informatiebeveiligings-incidenten
▪ Hoofdstuk 17: informatie beveiligingsaspecten van bedrijfscontinuiteitsbeheer
▪ Hoofdstuk 18: naleving
Verwerker heeft hierbij tenminste de verplichte rijksmaatregelen geïmplementeerd. Waar nodig zijn vanuit de BIO controls ingericht in aanvulling op de rijksmaatregelen.
Nader te noemen beveiligingsmaatregelen:
1) Hetgeen in deze Verwerkersafspraken is verklaard onder artikel 5 en 6 inzake het waarborgen van de integriteit van betrokken medewerkers van Verwerker of namens Verwerker door Xxxxxxxxx.
2) Hetgeen in deze Verwerkersafspraken is verklaard onder 10. inzake het terugbezorgen of wissen van (persoons)gegevens door Verwerker na beëindiging van de duur van de Dienstverleningsafspraken.
3) Hetgeen in deze Verwerkersafspraken is verklaard onder 11. inzake het toetsbaar en aantoonbaar voldoen aan de informatie- en audit verplichting door Verwerker op verzoek van Verwerkingsverantwoordelijk.
Door partijen zullen voorafgaand aan de dienstverlening zoals vastgelegd in de Dienstverleningsafspraken de nader genoemde beveiligingsmaatregelen worden besloten en vastgelegd. Dit in geval er sprake is van te nemen maatregelen waarin de BIO niet voorziet of niet voldoende voorziet.
1. Melding inbreuk op de beveiliging
Opdrachtnemer informeert Opdrachtgever altijd binnen 24 uur na het detecteren van een (vermoedelijk) inbreuk in verband met Persoonsgegevens.
2. Meldpunt
Opdrachtnemer meldt de onder lid 1 bedoelde inbreuk in verband met Persoonsgegevens zonder onredelijke vertraging bij de functionaris die namens opdrachtgever als contactpersoon optreedt alsmede per mail aan de Datalekmanager.
Contactgegevens datalek manager:
- Telefoon: 06-29660298;
- Email: xxxxxxxxxx@xxxxxx.xx;
Post onbestelbaar retour
Opdrachtnemer dient datalekken waarbij sprake is van geopende poststukken onbestelbaar retour* rechtstreeks naar de regeling Wanbetalers en/of Onverzekerden versturen.
Contactgegevens Wanbetalers:
- Telefoon:
- E-mail: xxxxxxxxxxx@xxxxxx.xx; xxxxxxxxxxxxx@xxxxxx.xx;
3. Inhoud van de melding
Opdrachtnemer verstrekt zonder onredelijke vertraging bij de melding aan Opdrachtgever alle feiten en gegevens omtrent de aard en omvang van de Inbreuk in verband met Persoonsgegevens. De melding bevat altijd minimaal het volgende:
• Oorsprong van de Inbreuk in verband met Persoonsgegevens;
• Wanneer de Inbreuk is ontstaan;
• Welke Persoonsgegevens het betreft;
• De vermoedelijke omvang van de Inbreuk (het aantal betrokkenen).
• De uiting(en) die is (zijn) verstuurd.
• Is de uiting vernietigd of teruggestuurd.
• Maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Opdrachtnemer houdt Opdrachtgever ook na de eerste melding op de hoogte van ontwikkelingen met betrekking tot de betreffende inbreuk op de beveiliging en betrekt Opdrachtgever actief bij de maatregelen die Opdrachtnemer treft om de gevolgen van de Inbreuk in verband met Persoonsgegevens te beperken en herhaling te voorkomen.
4. Beleidsregels meldplicht datalekken
Opdrachtgever bepaalt of een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en/of Betrokkene gemeld wordt en doet de melding.
* Dit geldt enkel bij datalekken die te maken hebben met authentieke BRP adresseringen.
5. Medewerking
Partijen verlenen elkaar volledige medewerking bij de melding van een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en, indien nodig, aan de Betrokkene. Indien een inbreuk geraakt wordt bij meerdere verwerkingsverantwoordelijken die alle te maken hebben met hetzelfde incident, heeft opdrachtnemer in afstemming met verwerkersverantwoordelijke een faciliterende rol om alle partijen nader tot elkaar te brengen voor gezamenlijke afstemming.
6. Kosten
Partijen dragen de eigen kosten die met de melding van een inbreuk op de beveiliging zijn gemoeid.
7. Aansprakelijkheid
Schade als gevolg van een inbreuk op de beveiliging wordt bij Opdrachtnemer verhaald, waaronder mede begrepen een door de Autoriteit Persoonsgegevens aan Opdrachtgever in verband daarmee opgelegde boete.