Modelovereenkomst Verwerking persoonsgegevens ***





*** Modelovereenkomst Verwerking persoonsgegevens ***

Aan het gebruik van dit model Verwerkersovereenkomst kunnen geen rechten worden ontleend. FNV Zelfstandigen heeft bij de samenstelling van dit model verwerkersovereenkomst de grootst mogelijke zorgvuldigheid betracht, maar is niet verantwoordelijk en kan niet aansprakelijk gehouden worden voor directe of indirecte schade ten gevolge van eventuele fouten, omissies, onvolledigheden, onduidelijkheden, innerlijke tegenstrijdigheden of het niet meer actueel zijn van de in dit model verwerkersovereenkomst opgenomen informatie’.


Overeenkomst betreffende verwerking persoonsgegevens

Ondergetekenden:

Juridische entiteit ….., statutair gevestigd te Plaatsnaam, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer ……., hierbij rechtsgeldig vertegenwoordigd door heer of mevrouw Xxxxxxxxxxx en Achternaam, hierna te noemen: de ‘Verantwoordelijke’,

en

Juridische entiteit contractpartij, statutair gevestigd te Plaatsnaam, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer ……, hierbij rechtsgeldig vertegenwoordigd door heer of mevrouw Xxxxxxxxxxx en Achternaam, hierna te noemen: de ‘Verwerker’,

Overwegende dat:

  • de Verantwoordelijke persoonsgegevens verwerkt ten behoeve van de in Bijlage 1 genoemde doeleinden;

  • de Verantwoordelijke en de Verwerker onder andere ter verwezenlijking van voornoemde doeleinden een overeenkomst (hierna: de ‘Hoofdovereenkomst’) hebben ondertekend d.d. datum ondertekening hoofdovereenkomst betreffende Naam en/of nummer hoofdovereenkomst;

  • de Verwerker in het kader van de Hoofdovereenkomst ten behoeve van de Verantwoordelijke persoonsgegevens zal verwerken zonder dat de Verwerker onder het rechtstreekse gezag staat van de Verantwoordelijke, en waarbij de Verantwoordelijke zal optreden als verantwoordelijke en de Verwerker als verwerker in de zin van de Algemene Verordening Gegevensverwerking (Verordening (EU) 2016/679 van 27 april 2016) (hierna: de ‘AVG’);

  • de Verantwoordelijke op grond van artikel 28 AVG, wenst een verwerkersovereenkomst aan te gaan met de Verwerker, waarin onder meer de technische en organisatorische beveiliging van persoonsgegevens door de Verwerker is geregeld (hierna: deze ‘Verwerkersovereenkomst);

komen het volgende overeen:

Artikel 1 Gegevensverwerking

  1. De Verwerker zal in het kader van de uitvoering van de werkzaamheden voor de verantwoordelijke volgens de instructie en onder verantwoordelijkheid van de Verantwoordelijke persoonsgegevens verwerken. De uit te voeren werkzaamheden zijn nader omschreven in Bijlage 2. De persoonsgegevens die de Verwerker in het kader van deze Verwerkersovereenkomst zal verwerken zijn nader omschreven in Bijlage 3 (hierna: de ‘Persoonsgegevens’). De personen van wie gegevens zijn vastgelegd (hierna: de ‘Betrokkene’) zijn nader omschreven in Bijlage 4.

  2. De Persoonsgegevens mogen door de Verwerker uitsluitend gebruikt worden voor de in Bijlage 1 omschreven doeleinden en binnen de kaders van de uitvoering van de in bijlage 2 omschreven werkzaamheden. Dit geldt ook wanneer deze gegevens in een zodanige vorm zijn gebracht dat ze niet meer herleidbaar zijn tot de Verantwoordelijke of natuurlijke personen.

  3. Het is de Verwerker niet toegestaan de van of namens de Verantwoordelijke verkregen Persoonsgegevens voor eigen (commerciële) doeleinden te verwerken, samen te voegen met (andere bestanden met) persoonsgegevens dan wel ze aan derden te verstrekken.

  4. De Verwerker zal bij de verwerking van de Persoonsgegevens handelen in overeenstemming met de Hoofdovereenkomst, de toepasselijke (Europese) wet- en regelgeving inzake de bescherming van persoonsgegevens, waaronder begrepen maar niet beperkt tot de AVG, alsmede op de Verantwoordelijke en/of de Verwerker van toepassing zijnde gedragscodes, beleidsdocumenten en richtlijnen van de Autoriteit Persoonsgegevens (hierna: de ‘AP’).

  5. De Verwerker is verplicht om aan de Verantwoordelijke alle medewerking te verlenen die noodzakelijk is voor het uitvoeren van onderzoeken naar de impact van de verwerkingen op de persoonlijke levenssfeer van Xxxxxxxxxxx (ook wel genoemd: ‘Privacy Impact Assessments’) en het voldoen aan de wettelijke verplichtingen van de Verantwoordelijke in dit verband.

  6. De Verwerker is verplicht een administratie te voeren waaruit gedetailleerd blijkt op welke wijze zij voldoet aan haar verplichtingen op basis van deze Verwerkersovereenkomst en de geldende privacywetgeving. De Verwerker is verplicht de Verantwoordelijke op eerste verzoek inzage te verlenen in deze administratie en schriftelijk te informeren over de door haar genomen maatregelen met betrekking tot de verplichtingen onder deze Verwerkersovereenkomst en de geldende privacywetgeving.


Artikel 2 Technische en organisatorische maatregelen

  1. De Verwerker zal passende technische en organisatorische maatregelen nemen, in stand houden en indien nodig aanpassen om de Persoonsgegevens te beveiligen tegen vernietiging (hetzij per ongeluk hetzij onrechtmatig), tegen toevallig verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. Bedoelde maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De Verwerker zal zich daartoe in ieder geval, maar niet uitsluitend, houden aan het niveau van beveiliging zoals vastgelegd in Bijlage 5.

  2. De Verwerker zal de Persoonsgegevens uitsluitend in de Europese Economische Ruimte verwerken.

  3. De Verwerker instrueert zijn (eigen of ingehuurde) medewerkers opdat zij niet in strijd handelen met deze Verwerkersovereenkomst.



  1. De Verwerker zal de helpdesk van de Verantwoordelijke onverwijld doch uiterlijk binnen twaalf uur na ontdekking van een (beveiligings)incident telefonisch en per e-mail op de hoogte stellen. De melding aan de helpdesk omvat in ieder geval onderstaande gegevens: a) de aard van de inbreuk (o.a. tijdstip van inbreuk, tijdstip van melding/ontdekking, inhoud/aard incident), b) aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, c) de maatregelen die de Verwerker heeft getroffen of voorstelt om deze gevolgen te verhelpen en d) de contactgegevens van de afdelingen/contactpersonen binnen haar organisatie waar meer informatie over de inbreuk kan worden verkregen.

  2. Indien noodzakelijk werkt de Verwerker mee aan het adequaat informeren van Betrokkenen ingeval van een beveiligingsincident.

  3. De Verwerker zal de Verantwoordelijke onverwijld op de hoogte stellen van relevante wijzigingen in de verwerkingsprocessen en daarbij aangeven welke maatregelen zij zal nemen om de daarmee samenhangende (nieuwe) risico’s zoals genoemd in artikel 2 lid 1 (eerste zin) te beperken.

  4. De Verantwoordelijke is gerechtigd om één maal per jaar of zo vaak de Verantwoordelijke dat nodig acht wijzigingen in de beveiligingsmaatregelen voor te stellen zodat deze minimaal voldoen aan de voor de Verantwoordelijke geldende verplichtingen met betrekking tot beveiliging en/of het door haar passend geachte niveau van beveiliging. De Verwerker zal aan verzoeken van de Verantwoordelijke ter zake gehoor geven, tenzij de Verwerker kan aantonen dat dit redelijkerwijze niet van haar verlangd kan worden. De Verantwoordelijke en de Verwerker zullen elkaar op de hoogte stellen van aankomende wijzigingen in wet- en regelgeving en eraan meewerken dat gewenste dan wel noodzakelijke aanpassingen in bijvoorbeeld de verwerkingsprocessen, beveiligingsmaatregelen en medewerkersinstructies en –trainingen, (kunnen) worden doorgevoerd.


Artikel 3 Geheimhouding

  1. Op de Persoonsgegevens rust een geheimhoudingsplicht jegens derden.

  2. De Verwerker zal de personen die bij haar in dienst zijn, dan wel werkzaamheden ten behoeve van haar verrichten, verplichten tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen.

  3. Ook na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.

  4. Onverminderd het recht op schadevergoeding, en de overige wettelijke rechten (waaronder het recht om nakoming te vorderen), is de Verantwoordelijke bij overtreding van het in dit artikel bepaalde door de Verwerker gerechtigd tot het innen van een onmiddellijk opeisbare en niet voor verrekening vatbare boete van € 10.000,-- per overtreding en € 5.000,-- voor iedere dag dat de overtreding voortduurt, met een maximum van € 50.000,--.


Artikel 4 Screening

  1. Tenzij tussen de Verwerker en de Verantwoordelijke anders zijn overeengekomen, zorgt de Verwerker ervoor dat alle in artikel 3 lid 2 genoemde personen, die toegang krijgen tot de Persoonsgegevens, vooraf deugdelijk en met positief resultaat zijn gescreend. Dit betekent dat minimaal de volgende screeningsacties zijn uitgevoerd:
    - vaststellen identiteit op basis van een origineel en geldig identiteitsbewijs;
    - opvragen van een recente en voor de uitvoering van de Verwerkersovereenkomst relevante Verklaring Omtrent Gedrag;
    - toetsing op (mogelijke) integriteitsrisico’s, belangenverstrengeling en onverenigbaarheid van nevenfuncties;
    - raadplegen insolventieregister.

  2. De Verantwoordelijke behoudt zich het recht voor om de in het voornoemde lid bedoelde personen vooraf danwel tussentijds zelf te screenen.


Artikel 5 Inschakeling Subverwerker

  1. Het is de Verwerker toegestaan om in relatie tot de verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst gebruik te maken van een derde (hierna: de ‘Subverwerker’) indien en voorzover de Verantwoordelijke hiertoe zijn voorafgaande uitdrukkelijke schriftelijke toestemming heeft gegeven, welke toestemming niet op onredelijke gronden zal worden onthouden. De Verantwoordelijke kan aan de toestemming nadere voorwaarden verbinden. Onder het inschakelen van een Subverwerker wordt niet verstaan het inhuren van extra personeel. Indien de Verwerker overgaat tot het inhuren van extra personeel in relatie tot de verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst, stelt de Verwerker hieraan dezelfde voorwaarden als aan haar medewerkers worden gesteld.

  2. De Verwerker is volledig verantwoordelijk voor een Subverwerker en zal – mede ten behoeve van Verantwoordelijke – een Subverwerker bij een overeenkomst dezelfde verplichtingen opleggen als die voor hem uit deze Verwerkersovereenkomst voortvloeien. De Verwerker rapporteert jaarlijks aan de Verantwoordelijke over het toezicht op naleving van deze verplichtingen door een Subverwerker.


Artikel 6 Verstrekking aan derden

  1. Het is de Verwerker niet toegestaan de Persoonsgegevens aan derden te verstrekken, tenzij de Verantwoordelijke daartoe vooraf uitdrukkelijke schriftelijke toestemming heeft gegeven, de gegevensverstrekking aan derden logischerwijs noodzakelijk is gezien de inhoud van de Hoofdovereenkomst dan wel de Verwerker daartoe op grond van een wettelijke verplichting gehouden is.

  2. Voor zover door (financiële) toezichthouders van de Verantwoordelijk inzage wordt gevraagd in de gegevens(verwerking) dient de Verwerker hieraan haar medewerking te verlenen indien en voor zover deze vereist is om de Verantwoordelijke in staat te stellen om aan een aan haar door een toezichthouder gestelde eis te voldoen. Deze medewerking omvat mede het verlenen van toegang in het kader van inspecties en/of audits door de relevante toezichthouders als ware de Verwerker onderworpen aan hetzelfde toezicht als de Verantwoordelijke. Relevante toezichthouders zijn in ieder geval de AP, De Nederlandsche Bank (hierna: de ‘DNB’) en de Autoriteit Financiële Markten (hierna: de ‘AFM’).


Artikel 7 Audits

  1. De Verantwoordelijke heeft het recht audits uit te (laten) voeren, met als doel na te gaan of de door de Verwerker getroffen maatregelen en voorzieningen overeenkomen met het in deze Verwerkersovereenkomst bepaalde. De kosten die gemoeid gaan met deze audit zijn voor rekening van de Verantwoordelijke, tenzij de Verantwoordelijke naar aanleiding van deze audit heeft geconstateerd dat de Verwerker nagelaten heeft de Verwerkersovereenkomst en/of geldende privacywetgeving na te leven.

  2. De Verwerker zal hieraan zijn medewerking verlenen en alle voor de audit relevante informatie tijdig ter beschikking stellen.

  3. De Verwerker kan met goedkeuring van de Verantwoordelijke ervoor kiezen de audit te vervangen door een Third Party Mededeling (TPM) en/of een ISAE3402.

  4. De Verantwoordelijke zal in beginsel geen audit uitvoeren bij een door de Verwerker ingeschakelde Subverwerker omdat de Verwerker hier zelf volledig verantwoordelijk voor is. Dit laat onverlet het recht van de Verantwoordelijke om wel een dergelijke audit uit te (laten) voeren.

  5. De personen die een audit uitvoeren, zullen zich conformeren aan de beveiligingsprocedures zoals die bij de Verwerker van kracht zijn, voor zover deze beveiligingsprocedures aan de Verantwoordelijke bekend zijn gemaakt.


Artikel 8 Verzoeken en klachten van Betrokkenen

  1. Indien en voor zover de Verwerker een verzoek (bijvoorbeeld uit hoofde van artikel 15 AVG of afdeling 3 AVG) van een Betrokkene ontvangt omtrent Persoonsgegevens die de Verwerker van de Betrokkene verwerkt, zal de Verantwoordelijke dit verzoek afhandelen. De Verwerker zal een dergelijk verzoek onverwijld doch uiterlijk binnen 24 uur na ontvangst doorsturen naar …….

  2. Indien de Verwerker klachten ontvangt over de wijze waarop de Persoonsgegevens door haar worden verwerkt, zal zij de Verantwoordelijke daarover informeren. Daarnaast draagt de Verwerker zorg voor adequate afhandeling van de klacht. Over de afhandeling van de klacht zal zij de Verantwoordelijke eveneens informeren.


Artikel 9 Aansprakelijkheid en vrijwaring

  1. De Verwerker is jegens Verantwoordelijke aansprakelijk voor schade, die het gevolg is van niet, niet tijdige of niet behoorlijke nakoming van de verplichtingen die voor haar voortvloeien uit deze Verwerkersovereenkomst.

  2. De Verwerker vrijwaart de Verantwoordelijke voor eventuele aanspraken van derden die in verband met de uitvoering van de werkzaamheden voor de Verantwoordelijke, jegens de Verwerker en/of de Verantwoordelijke mochten worden ingesteld wegen schending van de wet- en regelgeving en in het bijzonder de AVG, waaronder, maar niet beperkt tot boetes die aan de Verantwoordelijke door derden, bijvoorbeeld een toezichthouder, zijn opgelegd wegens schending van toepasselijke wet- en/of regelgeving.




Artikel 10 Duur, beëindiging en wijziging van de Verwerkersovereenkomst

  1. Deze Verwerkersovereenkomst heeft eenzelfde duur als de bijbehorende Hoofdovereenkomst en kan niet los van de Hoofdovereenkomst worden beëindigd. De gronden van beëindiging zijn overeenkomstig die van de Hoofdovereenkomst.

  2. Indien een toezichthouder binnen het kader van diens bevoegdheden aan de Verantwoordelijke een (formele) aanwijzing geeft om de inhoud van deze Verwerkersovereenkomst te wijzigen of deze Verwerkersovereenkomst te beëindigen, zal de Verwerker hieraan zijn medewerking verlenen en zich hiertegen niet verzetten. De Verwerker zal eveneens zijn medewerking verlenen indien het door de Verantwoordelijke op enig moment gevoerde beleid in het kader van de Wet op het financieel toezicht, de AVG of andere toepasselijke (Europese) wet- of regelgeving aanleiding geeft om de inhoud van deze Verwerkersovereenkomst te wijzigen. De Verwerker heeft dan de mogelijkheid om deze Verwerkersovereenkomst te beëindigen indien de voorgestelde wijzigingen in deze Verwerkersovereenkomst van dien aard zijn dat zulks de kern van de dienstverlening raakt. Het voorgaande zal nimmer een grond opleveren voor een schadevergoedingsplicht van de Verantwoordelijke aan de Verwerker.

  3. Zodra deze Verwerkersovereenkomst is geëindigd, is de Verwerker verplicht de Persoonsgegevens en/of andere bij de Verwerker aanwezige relevante informatie terstond aan de Verantwoordelijke over te dragen en vervolgens zorg te dragen voor vernietiging van nog aanwezige backups e.d. De Verwerker zal ter zake een schriftelijke verklaring afgeven aan de Verantwoordelijke.

  4. Verwerker zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij een Subverwerker. De (Sub)Verwerker zal ter zake een schriftelijke verklaring afgeven aan de Verantwoordelijke.

  5. Bij wijzigingen in de dienstverlening door de Verwerker, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst, waaronder de bijlagen, kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.

Getekend in tweevoud te Plaats d.d. datum ondertekening

Namens de Verantwoordelijke, Namens de Verwerker,





Initialen en Achternaam Initialen en Achternaam

Bijlage 1 Doeleinden

Bijlage 2 Uit te voeren werkzaamheden

Bijlage 3 Te verwerken persoonsgegevens

Bijlage 4 Betrokkenen

Bijlage 5 Beveiligingsmaatregelen

DoeleindenUit te voeren werkzaamheden Te verwerken persoonsgegevens Betrokkenen Beveiligingsmaatregelen



































NB: aan het gebruik van deze model verwerkersovereenkomst kunnen geen rechten worden ontleend.

Bijlage 5 Beveiligingsmaatregelen

De door de Verwerker te treffen maatregelen zoals bedoeld in artikel 2 van deze Verwerkersovereenkomst zullen bestaan uit in ieder geval, maar niet uitsluitend:

  1. het naleven van de in artikel 2 (Beveiliging) en artikel 3 (Geheimhouding) van deze Verwerkersovereenkomst genoemde verplichtingen;

  2. het installeren en ‘up to date’ houden van een systeem waarmee de toegang tot de Persoonsgegevens wordt beveiligd door middel van een authenticatiemiddel zoals een wachtwoord of met soortgelijke middelen die tenminste even betrouwbaar zijn. De Verwerker zal ervoor zorgdragen dat de door haar ingezette personen de ‘best practices’ behorende bij voornoemde authenticatiemiddelen naleven, waaronder in ieder geval het vertrouwelijk behandelen van het wachtwoord;

  3. het beveiligen van het systeem waarmee de Verwerker de Persoonsgegevens verwerkt door middel van preventieve, detectieve en correctieve maatregelen (waaronder maar niet beperkt tot tijdige implementatie van actuele beveiligingspatches en viruscontrole) en het beschermen van informatiesystemen en technologie tegen malware (waaronder maar niet beperkt tot virussen, worden, spyware en spam);

  4. logging en controle (monitoring) van toegang tot het systeem (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens, zoals foutieve inlogpogingen en overschrijding van autorisatiebevoegdheden);

  5. het toewijzen van autorisaties voor de toegang tot systemen aan medewerkers en derden op basis van rolbeschrijvingen;

  6. bijhouden van documentatie waarin geregistreerd is aan welke derden de Persoonsgegevens verstrekt worden;

  7. adequate fysieke bescherming van de betreffende ruimtes waarin en de apparatuur waarop de Persoonsgegevens opgeslagen staan (zoals toegangsbeveiliging, temperatuurregeling, maatregelen ter voorkoming en bestrijding van brand en waterschade);

  8. het pseudonimiseren en/of encrypten van de persoonsgegevens voor zover dit noodzakelijk is gelet op de risico's van de verwerking en de aard van te beschermen persoonsgegeven;

  9. gecertificeerd zijn middels een ISAE3402-verklaring en een ISO27002-certificering;

  10. de bovengenoemde maatregelen uitwerken in een informatiebeveiligingsplan (‘Informatiebeveiligingsplan’);

  11. periodiek evalueren van het Informatiebeveiligingsplan; en

  12. het implementeren van bovengenoemde informatiebeveiligingsmaatregelen in de organisatie.

Document Metadata

Filed: April 3rd, 2018