VERWERKERSOVEREENKOMST
Verwerkersovereenkomst
Gemeente Dordrecht (servicegemeente) – Gemeente Alblasserdam
VERWERKERSOVEREENKOMST
Servicegemeente Dordrecht
IBD model versie 2.4
Verwerkersovereenkomst samenwerking bedrijfsvoeringstaken
De gemeente …, te dezen rechtsgeldig vertegenwoordigd door de gemeentesecretaris, …, hierna te noemen Verwerkingsverantwoordelijke,
en
De gemeente Dordrecht, waarvan de Serviceorganisatie in juridische zin onderdeel uitmaakt, te dezen rechtsgeldig vertegenwoordigd door de gemeentesecretaris, de heer C.H.W.M. Post, hierna te noemen Verwerker,
hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen” Overwegen het volgende:
a) Partijen zijn in 2013 de Regeling onderlinge samenwerking Drechtstedengemeenten aangegaan, waar de gemeente Hardinxveld-Giessendam in 2018 bij is aangesloten. Partijen zijn deze regeling aangegaan omdat zij als Drechtstedengemeenten op veel terreinen intensief samenwerken. In de Regeling is bepaald dat de details van de verschillende onderwerpen waarop wordt samengewerkt, worden vastgelegd in zogenaamde uitwerkingsovereenkomsten.
b) Partijen hebben in onderling overleg besloten dat Verwerker een aantal bedrijfsvoeringstaken gaat uitvoeren voor en namens de Verwerkingsverantwoordelijke. De details van die samenwerking zijn vastgelegd in de zogenaamde Samenwerkingsovereenkomst bedrijfsvoering, hierna in deze overeenkomst te noemen: de Hoofdovereenkomst.
c) Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;
d) Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;
e) Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);
Artikel 1 Definities
1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.
1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die deel uitmaken van deze Verwerkersovereenkomst.
Artikel 2 Ingangsdatum en duur
2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.
2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd en de afspraken over het teruggeven en/of wissen van Persoonsgegevens zijn nagekomen.
Artikel 3 Onderwerp van deze Verwerkersovereenkomst
3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan zonder onredelijke vertraging in kennis stellen, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.2 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.
Artikel 4 Inhoudelijke afspraken
4.1 Beveiligingsmaatregelen
Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.
4.2 Audits
Verwerker verleent alle benodigde medewerking aan audits uitgevoerd door een gecertificeerde auditor over de nakoming van de afspraken binnen deze Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel van een geldige certificering, die periodiek door een geaccrediteerde instelling wordt getoetst, heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten van deze audit worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke.
4.3 Verwerking buiten de EER
Verwerker mag Persoonsgegevens buiten de Europese Economische Ruimte (laten) verwerken wanneer is voldaan aan de voorwaarden van artikel 45 of 46 AVG. Wanneer er sprake is van een verwerking buiten de EER, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan vooraf op de hoogte.
4.4 Geheimhouding
Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Xxxxxxxxx en subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.
4.5 Subverwerkers
De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van subverwerkers. Verwerker houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde inschakeling van nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven artikel
28.2 en 28.4 AVG onverkort van kracht.
4.6 Rechten van betrokkenen
Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.
4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.
Artikel 5 Inbreuk in verband met Persoonsgegevens
5.1 Partijen zullen elkaar zo snel mogelijk, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Partijen vermelden hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het aantal betrokkenen.
5.2 In geval van een Inbreuk nemen Partijen zo snel mogelijk alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.
5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken van Verwerkingsverantwoordelijke en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.
5.4 Verwerker beslist namens de Verwerkingsverantwoordelijke, op grond van het hiertoe afgegeven mandaatbesluit, of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Verwerkingsverantwoordelijke ondersteunt Verwerker waar nodig bij de melding aan de toezichthoudende autoriteit en is verantwoordelijk voor het opstellen en versturen van de brief aan de Xxxxxxxxxx teneinde deze te informeren over de Inbreuk. Verwerker ondersteunt Verwerkingsverantwoordelijke hierbij waar nodig.
Artikel 6 Beëindigen verwerkersovereenkomst
6.1 Zodra de samenwerking is beëindigd, zal de Verwerker naar keuze van de Verwerkingsverantwoordelijke (i) alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van deze verwerkersovereenkomst ter beschikking gestelde persoonsgegevens aan de Verwerkingsverantwoordelijke ter beschikking stellen en/of (ii) de persoonsgegevens die hij van de Verwerkingsverantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. De Verantwoordelijk kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.
6.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.
Artikel 7 Overige bepalingen
7.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.
Ondertekening
Aldus overeengekomen en in tweevoud ondertekend. Ingangsdatum: 1 januari 2022.
De gemeente Alblasserdam, Verwerkingsverantwoordelijke, | De gemeente Dordrecht, Verwerker, |
namens deze: … | namens deze: C.H.W.M. Post |
plaats: … | plaats: Dordrecht |
datum: | datum: |
Bijlage 1: Overzicht van te verwerken persoonsgegevens
1. Naam verwerking, doeleinden categorieën van betrokkenen, soort persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerk ing | Verwerkingsdoeleinden | Categorieën van Betrokkenen | Soort Persoonsgegevens (waaronder bijzondere persoonsgegevens) | Doorgifte naar derde landen |
ICT | Afnemen standaard ICT-diensten Afnemen netwerkdiensten Afnemen werkplekdiensten Afnemen account gerelateerde diensten Afnemen technische applicatiediensten Afnemen print- en kopieervoorzieningen Afnemen ICT advies | Medewerkers, inhuurkrachten, burgers | Algemene, gevoelige en bijzondere persoonsgegevens, waaronder inloggegevens, mailinhoud en BSN. | Nee |
Commu nicatie | Het plaatsen van gemeentenieuws in het elektronisch gemeenteblad, in de Staatscourant en in het daartoe bestemde huis-aan-huisblad Het verzorgen van publicaties | Medewerkers, burgers | Algemene persoonsgegevens | Nee |
Facilitair e dienstve rlening | Het plaatsen van opdrachten en bestellingen bij leveranciers ter uitvoering van contracten die door de gemeente zijn aangegaan, voor zover de gemeente daartoe opdracht heeft gegeven | Medewerkers | Algemene persoonsgegevens | |
Het nemen van besluiten ten aanzien van het ontzeggen van de toegang tot gebouwen die in eigendom of gebruik zijn bij de gemeente, voor zover de ontzegging geldt voor een langere periode dan 24 uur en met uitzondering van schoolgebouwen | ||||
P&O | Personeel- en salarisadministratie Personeelsbeheer Advies inzake P&O | Medewerkers, inhuurkrachten, burgers (w.o. sollicitanten) | Algemene, gevoelige en bijzondere persoonsgegevens, waaronder verzuimgegevens, salarisgegevens en BSN. | Nee |
Ondersteuning personeelsstrategische projecten | ||||
Afnemen diensten inzake werving en selectie | ||||
Afnemen diensten en advies inzake verzuim | ||||
Afnemen diensten inzake trainingen en opleidingen personeel | ||||
Het behandelen en bekendmaken van besluiten, genomen door de gemeente, op grond van de desbetreffende rechtspositieregeling en eigen lokale regelingen | ||||
Het behandelen en bekendmaken van besluiten, genomen door de gemeente, op grond van regelingen betreffende de arbeidsvoorwaarden, waaronder de Attentieregeling, de Bezoldigingsregeling, de Garantieregeling gratificatie ambtsjubileum, de Klokkenluidersregeling |
en de Werktijdenregeling. Het behandelen en bekendmaken van besluiten, genomen door de gemeente, in het kader van de functiebeschrijving en functiewaardering Het verstrekken van informatie aan UWV/ABP/Loyalis/IZA/Arbo Unie en/of overige uitvoeringsinstanties in het kader van sociale zekerheidswetgeving, de bovenwettelijke WW en suppletieregelingen. | ||||
Financië n en inkoop | Inkoopondersteuning Financieel advies Doen van BTW aangifte en geven van BTW advies Advies inzake verzekeringen Financiële- en contractadministratie Polisbeheer | Medewerkers, inhuurkrachten, burgers | Algemene en gevoelige persoonsgegevens, zoals NAW-gegevens en financiële gegevens. | Nee |
Juridisc h kennisc entrum | Afnemen juridisch advies en juridische bijstand (ten behoeve van rechtsgedingen) Afnemen advies en het voeren van de correspondentie en het verrichten van alle (rechts)handelingen in het kader van bezwaar en beroep (bezwaren- of geschillencommissie) Het voeren van schriftelijk en mondeling verweer, het verschaffen van nadere inlichtingen en het vertegenwoordigen van de burgemeester, het college en de gemeenteraad ter rechtszitting in verband met de ingediende bezwaarschriften, zienswijzen en bedenkingen, ingesteld (hoger) beroep en/of verzoeken om voorlopige voorziening en verzetprocedures bij de gemeentelijke commissie bezwaarschriften, de gerechten, het college van Gedeputeerde Staten, de CRvB en de (voorzitter van de) Afdeling bestuursrechtspraak van de Raad van State. Juridische vertegenwoordiging privaatrecht Mediation Afnemen ondersteuning bij schade en aansprakelijkheid Verzorgen elektronische bekendmakingen en publicaties | Medewerkers, inhuurkrachten, burgers | Algemene, gevoelige en bijzondere persoonsgegevens, waaronder NAW-gegevens, inhoud van een geschil, BSN, strafrechtelijke gegevens en financiële gegevens. | Nee |
Digitale informati e- voorzien ing | Archivering (alleen p-dossiers) Advies inzake informatievoorziening Afhandelen en verwerken inkomende en uitgaande post | Medewerkers, inhuurkrachten, burgers | Algemene, gevoelige en bijzondere persoonsgegevens, waaronder contactgegevens in brief en mail. | Nee |
Algeme ne Verorde ning Gegeve nsbesch erming (AVG) | Het aanwijzen van de Functionaris Gegevensbescherming (FG) voor het college en de burgemeester Toezichts- en adviestaken FG Advies inzake de uitvoering en toepassing van de AVG door de Adviseurs Gegevensbescherming Het melden van datalekken en het | Medewerkers, inhuurkrachten, burgers | Algemene, gevoelige en bijzondere persoonsgegevens, waaronder contactgegevens in brief en mail. | Nee |
adviseren over de afdoening daarvan Het ondersteunen bij het uitvoeren van Basis Risico Analyses en Data Protection Impact Assessments | ||||
Ingenieu rstaken | Sector Projecten. Projectleiding, toetsing van ontwerpen en voorstellen, ondersteuning bij ontwerp en inrichting van processen en advies Sector Specialismen. ontwerpen van gebouwen, het voorbereiden van bouwkundige en civieltechnische werken en het houden van toezicht op de uitvoering van werken. Sector Gebouwenbeheer. Inventariseren en inspecteren van de toestand van gebouwen en het beheren en onderhouden van gebouwen Planning- en controltaken van het ingenieursbureau | Medewerkers, inhuurkrachten en huurders | Bedrijf gerelateerde namen, email adressen en telefoonnummers (architecten, contactpersonen adviesbureaus e.d.) | Nee |
Onderst eunen van het regionaa l netwerk | Ondersteunen van bestuurders in regionale -, landelijke – en Europese netwerken Faciliteren van regionaal overleg en regionale besluitvorming Regie voeren op regionale projecten Aanvragen van subsidies voor regionale doeleinden Vertegenwoordiging in netwerken en besturen van verbonden partijen voor de region. | Medewerkers, inhuurkrachten en externe contacten, | emailadressen en telefoonnummers van externe contacten | Nee |
Beleidsv oorberei dend, - onderste unend, statistisc h - en evaluere nd onderzo ek | advisering kennisoverdracht verzamelen, bewerken en beschikbaar stellen van statistische basisinformatie op voor de gemeente en regio relevante beleidsterreinen opzetten, onderhouden en bevragen van panels over onderwerpen die van belang zijn voor gemeentelijk of regionaal beleid monitoren van ontwikkelingen en trends op voor de gemeente en regio relevante beleidsterreinen zoals bevolking, wonen, economie, onderwijs, vrije tijd, sociaal, leefbaarheid en veiligheid, milieu en WMO. | Medewerkers, inhuurkrachten en burgers | NAW-gegevens, financiële gegevens, gezondheidsgegevens, gezinssamenstelling etc. (artikel 9, tweede lid onder j AVG) | Nee |
Gemeen tebelasti ngen en Basisinf ormatie | Het heffen, innen en invorderen van belastingen Uitvoeren van werkzaamheden op grond van de Wet waardering onroerende zaken Het uitvoeren van werkzaamheden op het gebied van geografische informatie, waaronder: a.het uitvoeren van de Wet kenbaarheid publiekrechtelijke beperkingen (Wkpb) | Medewerkers, inhuurkrachten en burgers | NAW gegevens, emailadressen, financiële gegevens, eigendomsgegevens | Nee |
b.het uitvoeren van de Wet basisregistraties adressen en gebouwen (BAG) c.cartografie |
2. Contactgegevens
Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren) | Naam: Contactgegevens: | |
Contactpersoon Verwerker (NB: Ook buiten kantooruren) | Naam: Xxxxxxxx Xxxxxxxx Contactgegevens: | |
x00000000000 | ||
Contactgegevens IBD | Telefoonnummer 070-373 8011 | |
NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.
3. Lijst van subverwerkers
Verwerker schakelt onder meer de volgende subverwerkers in. Partijen zijn zich ervan bewust dat onderstaande lijst niet limitatief is en aan wijzigingen onderhevig.
Naam en contactgegevens subverwerker | KvK-nummer | Uitbestede verwerkingen |
Addvue | 54679613 | Verwerkingen in het kader van contractmanagement |
AFAS Holding BV | 32076954 | Verwerkingen in het kader van Personeelsadministratie en salarisverwerking |
BakerWare B.V. | 04054734 | Verwerkingen in het kader van het geautomatiseerd afhandeling van Belasting, WOZ, kwijtschelding, notaris aanvrage- en verwerkingsprocessen. |
Beheervisie | 30130462 | Meldingenverwerkings systeem |
Centric | 24363101 | Verwerkingen in het kader van burger (persoons) registratie, verwerkingen in het kader van financiële/fiscale registraties, verwerkingen in het kader van overlijdens en begraven van burgers. |
Connexys BV | 24320157 | Verwerkingen in het kader van het wervings- en selectieproces. |
Coosto B.V. | 58880771 | Verwerkingen in het kader van social media management |
Embrace B.V. | 56690827 | Verwerkingen in het kader van self-service klantportaal management, klantvolgsysteem management, digitale werkplek management |
Haute Equipe | 57821836 | Verwerkingen in het kader van het automatiseren van administratieve handelingen, uitgevoerd middels Robotic Process Automation |
iBabs B.V. | 60962062 | Verwerkingen in het kader van Papierloos (digitaal) vergaderen |
Inforing B.V. | 20118956 | Verwerkingen in het kader van signaleren van financiële problemen bij burgers |
InsightsWorld B.V | 34263354 | Verwerkingen in het kader van registreren van ontwikkelingsplannen van personeel |
Conxillium Group BV | 63996197 | Verwerkingen in het kader van het registreren van klantgeleiding-, personeelsplanning en bezoekersregistratie management |
TKH Security BV | 30191139 | Verwerkingen in het kader van het registreren van videobeelden |
Konica Minolta Business Solutions Europe | 30228605 | Verwerkingen in het kader van documentbeheer en printer oplossingen |
Mercell Nederland B.V. | 30148169 | Verwerkingen in het kader van offerteaanvraag afhandeling, aanbesteding en contractmanagement, leveranciers management |
Microsoft B.V. | 34061536 | Verwerkingen in het kader van diverse registraties in verschillende administratieve systemen |
Oribi Software B.V. | 17252317 | Verwerkingen in het kader van registratie van identiteit van personen |
Pepperflow B.V. | 28113221 | Verwerkingen in het kader van het opzetten en onderhouden van workflow management systemen |
PerfectView Holding B.V. | 27268645 | Verwerkingen in het kader van de registratie en onderhoud van relatiebeheer, verkoop, marketing, klantenservice, facturatie |
Visma Roxit B.V. | 05075639 | Verwerkingen in het kader de registratie, afhandeling van zaak systeem (InProces) |
Tangram BV | 30075659 | Verwerkingen in het kader van registratie van wervings- en selectie processen, alsmede het registreren van mobiliteit van medewerkers. |
TopDesk Nederland BV | 56849990 | Verwerkingen in het kader van de registratie en verwerking van af te handelen zaken (tickets) |
TroBit B.V. | 27145139 | Verwerkingen in het kader van het registreren van uitvaartprocessen |
Truelime B.V. | 20079889 | Verwerkingen in het kader het registreren en afhandelen van bezwarenprocedures bij het JKC. |
Valicare B.V. | 70248354 | Verwerkingen in het kader van het registreren en doorlopen van pre-employment screening en/of HR administratie processen. |
Wortell System Integrations & Services BV | 34152582 | Verwerkingen in het kader van het registeren en onderhouden van Digitale werkplekken. |
Zivver B.V. | 64894665 | Verwerkingen in het kader van het ondersteunen van beveiligd verwerken van digitaal berichten verkeer (email). |
Bijlage 2: Aantonen passend niveau van beveiliging
De informatiebeveiliging vindt plaats volgens een algemeen erkende overheidsnorm (BIO).
De toereikendheid van de informatiebeveiliging blijkt uit de volgende certificering en verklaring van toepasselijkheid:
Eigen controles of eigen mededelingen over de beveiligingsmaatregelen.
NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in bijlage 1.
Toelichting
Is er wel een verwerkersovereenkomst nodig? 8
Gezamenlijke verantwoordelijkheid en vertrouwen 8
Over welke onderwerpen moeten afspraken gemaakt worden? 8
Artikelsgewijze toelichting 9
Toelichting bijlagen 15
1.1. Is er wel een verwerkersovereenkomst nodig?
Voordat partijen afspraken maken over de verwerking van persoonsgegevens is het noodzakelijk om te weten wat de rol is van de betrokken partijen. Is er ten aanzien van de verwerking van persoonsgegevens wel sprake van een relatie verwerkingsverantwoordelijke – verwerker? Zo ja, dan maken partijen afspraken over de verwerking van persoonsgegevens. Om te bepalen wat de precieze rol is van de betrokken partijen en daarmee of het dan ook nodig is om een verwerkersovereenkomst af te sluiten, verwijzen wij u naar de Factsheet Verwerkingsverantwoordelijke of verwerker.
1.2. Gezamenlijke verantwoordelijkheid en vertrouwen
Verwerkingsverantwoordelijken en verwerkers hebben op grond van de AVG gezamenlijk en individueel een verantwoordelijkheid ten aanzien van de verwerking van persoonsgegevens. Zodoende moet het echt de intentie van partijen zijn om de persoonsgegevens van betrokkenen zorgvuldig te verwerken en te beveiligen. Partijen maken in aanvulling op de hoofdovereenkomst dan ook nadere afspraken over de verwerking van persoonsgegevens. Dat kan een verwerkersovereenkomst zijn.
1.3. Over welke onderwerpen moeten afspraken gemaakt worden?
Het is verplicht om afspraken te maken over de omgang met persoonsgegevens tussen verantwoordelijke en verwerker. Het is echter niet verplicht om een verwerkersovereenkomst af te sluiten, afspraken over hoe er wordt omgegaan met persoonsgegevens mogen bijvoorbeeld ook best in de hoofdovereenkomst worden vastgelegd. Er zijn enkele onderwerpen waarover verplicht afspraken gemaakt moeten worden. Deze onderwerpen staan ook in de standaard verwerkersovereenkomst:
Onderwerp | Xxxx geregeld in verwerkersovereenkomst |
Onderwerp | Artikel 3 |
Duur | Artikel 2 |
Aard en doel | Bijlage 1, tabel 1 |
Soort persoonsgegevens | Bijlage 1, tabel 1 |
Categorieën van betrokkenen | Bijlage 1, tabel 1 |
Rechten en verplichtingen van de verwerkingsverantwoordelijke | Hele overeenkomst |
Verwerking alleen op basis van schriftelijke instructies | Art. 3.1 |
Doorgifte naar derde landen | Art. 4.3 |
Vertrouwelijkheid | Art. 4.4 |
Passende technische en organisatorische maatregelen | Art. 4.1 |
Inschakeling subverwerkers | Art. 4.5 |
Verwerker verleent bijstand bij verzoeken van betrokkene | Art. 4.6 |
Verwerker verleent bijstand bij nakoming art. 32 t/m 36 | Art. 4.1 / 5 / 4.7 |
Xxxxxxxxx geeft persoonsgegevens terug na afloop verwerking | Art. 2.1 en 7.1 |
1.4. Artikelsgewijze toelichting
Stelregel is dat als de gemeente privaatrechtelijk handelt (bijvoorbeeld overeenkomsten sluit, gronden verkoopt), de gemeente als rechtspersoon optreedt. In het privaatrecht kunnen alleen natuurlijke personen en rechtspersonen aan het rechtsverkeer deelnemen. Voor de AVG is echter het bestuursorgaan de verwerkingsverantwoordelijke. Dit kan de burgemeester, het college of de gemeenteraad zijn. Bij het sluiten van de verwerkersovereenkomst moet wel duidelijk zijn welk gemeentelijk bestuursorgaan de verwerkingsverantwoordelijk is.
Overwegingen:
De verwerkersovereenkomst maakt onderdeel uit van een hoofdovereenkomst. Vul hier de naam van hoofdovereenkomst in.
Artikelen:
1.1: De definities van art. 4 AVG hebben in deze verwerkersovereenkomst dezelfde betekenis.
2.1: De verwerkersovereenkomst gaat in op het moment dat de hoofdovereenkomst ingaat of, als bij de ondertekening een ingangsdatum is ingevuld op de ingevulde datum.
2.2: De einddatum is op het moment dat de verwerker de verwerking van de persoonsgegevens op grond van de hoofdovereenkomst heeft beëindigd. Nadere afspraken daarover worden in de hoofdovereenkomst gemaakt (zie artikel 7.1).
3.1: Indien een schriftelijke instructie van de verwerkingsverantwoordelijke naar het oordeel van de verwerker in strijd is met de AVG of de UAVG, zal de verwerker de verwerkingsverantwoordelijke hierover onmiddellijk informeren.
3.2: In Bijlage 1, tabel 1 moeten partijen de uit te voeren verwerkingen (‘Naam verwerking’) vermelden. De verwerker mag alleen de hier ingevulde verwerkingen daadwerkelijk uitvoeren.
4.1: De verwerkingsverantwoordelijke en de verwerker dienen passende en aantoonbare technische en organisatorische maatregelen te nemen om er zo voor te zorgen dat de in tabel 1 van Bijlage 1 vermelde persoonsgegevens goed zijn beveiligd. De verwerker dient aan te tonen hoe de systemen zijn beveiligd. De verwerker vult hiertoe Bijlage 2 in. Een ‘passend beveiligingsniveau’ kan betekenen dat de verwerker zelf het initiatief neemt om aanvullende maatregelen te nemen. Daarnaast kan ook de verwerkingsverantwoordelijke aan de verwerker opdragen om het beveiligingsniveau te verbeteren. Als objectief is vastgesteld dat de verwerker geen passend beveiligingsniveau heeft en de verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zullen partijen in onderling overleg bepalen welke aanvullende beveiligingsmaatregelen de verwerker zal treffen.
4.2: De verwerker is verplicht om mee te werken aan de uitvoering van een audit. Als de verwerker op basis van een certificering, of een recent auditrapport kan aantonen dat het beveiligingsniveau voldoende is, kan een audit achterwege blijven. Partijen maken vooraf afspraken over frequentie en overleggen van kopieën. Als DigiD wordt gebruikt bij de verwerking, moet de verwerker jaarlijks een TPM overleggen aan de verwerkingsverantwoordelijke. Hiervoor dienen de scope en de verklaring van toepasselijkheid van de certificering wel de verwerking volledig dekken. Partijen treden daarover in overleg. Mocht uit het auditverslag blijken dat de verwerker bepaalde werkzaamheden moet verrichten om het beveiligingsniveau aan te passen, dan zal de verwerker deze werkzaamheden binnen een redelijke termijn uitvoeren. T.a.v. de kosten van de audit wordt aangesloten bij art. 21.5 van de GIBIT.
Bij twijfel over de uitkomsten van de audit gaat de verwerkingsverantwoordelijke daarover in gesprek met de verwerker. Eventueel kan de verwerkingsverantwoordelijke zich wenden tot de auditor
4.3: De verwerking van persoonsgegevens mag alleen binnen de EER plaatsvinden. Daarvan mag worden afgeweken als de verwerkingsverantwoordelijke op grond van artikel 45 en 46 AVG uitdrukkelijk toestemming geeft. Als de verwerker toestemming krijgt van de verwerkingsverantwoordelijke om de persoonsgegevens buiten de EER te verwerken moet er in ieder geval een adequaatheidsbesluit zijn van de Europese Commissie, dan wel moet er sprake zijn van passende maatregelen en moeten betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken, zoals bedoeld in artikel 46 AVG.
4.4: Iedereen die voor de verwerker werkt, moet de persoonsgegevens waar hij/zij kennis van kan nemen geheimhouden. De verwerker zorgt dat de personen die onder zijn verantwoordelijkheid werkzaam zijn en toegang hebben tot de persoonsgegevens op een of andere schriftelijke manier zijn gehouden aan de geheimhoudingsplicht.
4.5: Verwerker mag een andere verwerker inschakelen: een subverwerker. Een subverwerker is een andere zelfstandige partij die in opdracht van de 1e verwerker (een deel) van de persoonsgegevens verwerkt. Deze
subverwerker opereert zelfstandig, maar moet de persoonsgegevens wel verwerken volgens de schriftelijke instructies van de verwerkingsverantwoordelijke, net als de 1e verwerker. Als de verwerker een persoon inhuurt voor bepaalde werkzaamheden, hoeft dat niet automatisch te betekenen dat er sprake is van een subverwerker. De subverwerker heeft t.a.v. de gegevensbescherming dezelfde verplichtingen die de 1e verwerker heeft. Als de subverwerker zijn verplichtingen niet nakomt, blijft de 1e verwerker t.a.v. de gegevensbescherming volledig aansprakelijk voor het niet nakomen van de verplichtingen door de subverwerker. In het geval het niet (direct) mogelijk is om dezelfde afspraken te maken met een subverwerker (bv. In geval van multinationals als Microsoft/Google), dan moet de subverwerker in ieder geval voldoen aan de verplichtingen van de AVG. Ook na de ingangsdatum van de verwerkersovereenkomst moet de verwerker de verwerkingsverantwoordelijke informeren over de inschakeling van nieuwe subverwerkers. Verwerkingsverantwoordelijke heeft overeenkomstig artikel 28.2 AVG het recht om bezwaar te maken tegen een subverwerker. Als een verwerkingsverantwoordelijke daadwerkelijk bezwaar heeft tegen een subverwerker, gaan partijen hierover in overleg.
4.6: Als een betrokkene een beroep doet op zijn rechten, dan helpt de verwerker de verwerkingsverantwoordelijke om hier binnen de wettelijke termijn op te kunnen beslissen. Xxxxx een betrokkene bij de uitoefening van zijn rechten zich rechtstreeks richten tot de verwerker, dan neemt laatstgenoemde hierover direct contact op met de verwerkingsverantwoordelijke.
4.7: Partijen zullen in onderling overleg de gevolgen, de uitvoering, de termijn van uitvoering van de DPIA en de kosten die daarmee zijn gemoeid bepalen. Als partijen hier vooraf concrete afspraken over maken, nemen ze deze op in de hoofdovereenkomst.
5.1: Het is belangrijk dat de verwerker de verwerkingsverantwoordelijke zo snel mogelijk op de hoogte brengt van een (vermoedelijke) inbreuk. Het gaat er daarbij om dat verwerker de verwerkingsverantwoordelijke direct informeert zodra er iets vreemds gebeurt met een geautomatiseerd systeem dat persoonsgegevens verwerkt. Partijen vertrouwen er daarbij op dat de verwerker professioneel genoeg is om een inschatting te maken van het incident. Mocht verwerker desondanks niet een goede inschatting kunnen maken van het incident, dan kan deze een second opinion vragen bij de IBD. Daarbij blijft de verantwoordelijkheid om het incident wel of niet te melden aan de verwerkingsverantwoordelijke altijd bij de verwerker. Xxxxxx dit onderzoek loopt, kan de verwerker niet worden geacht "kennis" te hebben genomen van een inbreuk. De meldingstermijn van 24 uur begint op dat moment dan ook niet te lopen. Zodra de verwerker wel kennis heeft van de inbreuk, moet hij dit binnen 24 uur melden bij de verwerkingsverantwoordelijke. De termijn van 24 uur is een maximale termijn. De termijn van 72 uur die de verwerkingsverantwoordelijke heeft om de inbreuk te melden bij de toezichthoudende autoriteit begint te lopen, zodra de verwerkingsverantwoordelijke kennis heeft genomen van de inbreuk. Dus als de inbreuk heeft plaatsgevonden bij de verwerker en deze meldt het aan de verwerkingsverantwoordelijke, heeft laatstgenoemde pas op dat moment kennis genomen van de inbreuk.
Ten behoeve van de uiteindelijke melding aan de toezichthoudende autoriteit verstrekt de verwerker alle hem
beschikbare informatie aan de Verwerkingsverantwoordelijke zoals vermeld op het formulier van Meldloket van de Autoriteit Persoonsgegevens.
Verwerkingsverantwoordelijke moet zorgen voor een 24/7 bereikbaarheid om zo een melding via het afgesproken kanaal in ontvangst te kunnen nemen. Als een verwerker is aangesloten bij de IBD, kan verwerker ervoor kiezen om een inbreuk ook te melden via de Informatiebeveiligingsdienst (IBD). De IBD zal in zo’n geval meteen de betrokken gemeenten informeren.
5.4: De beslissing om de inbreuk te melden bij de toezichthoudende autoriteit en/of de betrokkene ligt bij de verwerkingsverantwoordelijke en niet bij de verwerker.
6.1: Afspraken over aansprakelijkheid t.a.v. de verwerking van persoonsgegevens horen thuis in de hoofdovereenkomst. Als partijen daarin afspraken hebben gemaakt over beperking van de aansprakelijkheid dan gelden die ook voor de standaard VWO.
1.5. Toelichting bijlagen
Bijlage 1:
Tabel 1: In het eerste deel wordt ingevuld:
- Welke verwerking
- Verwerkingsdoeleinden
- Categorieën van betrokkenen: dit zijn voorbeelden van categorieën van betrokkenen:
- Aanvragers/Indieners
- Belanghebbenden
- Bestuurders/Raadsleden
- Ambtenaren gemeente
- Websitebezoekers
- Personeel leveranciers
- Scholieren
- Studenten
- Ouderen
- Gehandicapten
- Kinderen
- Soort persoonsgegevens: dit zijn voorbeelden van persoonsgegevens:
- Contactgegevens beperkt (naam, e-mailadres, telefoonnummer)
- Contactgegevens uitgebreid(NAW gegevens, geboortedatum, titulatuur e.d,)
- BSN
- Identificatienummer
- Geslacht
- Nationaliteit
- Strafrechtelijke gegevens
- Kopie identiteitsbewijs
- Betalingsgegevens
- Schulden
- Salarisgegevens
- Arbeidsrelatiegegevens
- Beeldmateriaal
- Locatiegegevens
- IP-adres
- Inloggegevens
- Bijzondere persoonsgegevens:
- Ras of etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
- Lidmaatschap van een vakbond
- Genetische gegeven
- Biometrische gegevens
- Gezondheidsgegevens
- Seksueel gedrag of seksuele gerichtheid,
- Is er sprake van doorgifte naar derde landen: zo ja dan moet de verwerkingsverantwoordelijke daarvoor eerst toestemming geven. Indien deze toestemming er is, moet de verwerker dat vermelden in de tabel.
Tabel 2: hier wordt ingevuld:
- Wie zijn (ook buiten kantooruren!) de contactpersonen van de verwerkingsverantwoordelijke, de verwerker en de IBD.
Tabel 3: hier wordt ingevuld:
- Indien er sprake is van subverwerkers, dan vult verwerker dat hier in. Verwerker zorgt dat vanaf de start van de verwerkersovereenkomst inzichtelijk is welke subverwerkers zijn ingeschakeld.
Bijlage 2:
Normenstelsel: Hier wordt een keuze gemaakt voor het normenstelsel dat van toepassing is op de verwerking waarover de overeenkomst wordt afgesloten. Dit is bij voorkeur de BIG of straks de BIO maar, indien verwerker kan aantonen dat hij voldoet aan een andere vergelijkbare norm, kan die hier ook worden ingevuld om de punten 1 en 2 van deze bijlage
met elkaar in één lijn te brengen.
Toereikendheid: Omdat het onder de AVG belangrijk is om te kunnen aantonen dat de verwerking voldoet aan de afgesproken eisen over een niveau van beveiliging dat past bij de verwerking, wordt hier aangegeven hoe een verwerker dit kan aantonen. Hierbij zijn diverse mogelijkheden aan te kruisen. Het is aan de verwerkingsverantwoordelijke om te beoordelen of deze verantwoording voldoende is voor de betreffende verwerking en ook aan verwerker om actief te controleren of aan deze paragraaf van de bijlage gevolg wordt gegeven. Voor meer informatie over hoe je kunt bepalen of een certificaat valide is, kunt u de IBD factsheet over assurance lezen.