Inleiding
Een drietal voorbeelden:
- Hebt u een website met een formulier waar mensen contactgegevens kunnen achterlaten? Worden deze gegevens op de server opgeslagen (door ons, namens u c.q. via uw website)? Dan moet u een dergelijke overeenkomst met ons aangaan. Ook als het niet in een database wordt opgeslagen maar bijvoorbeeld in uw email account op onze server(!)
- Hebt u een webwinkel en staan daar klantgegevens, in verband met bestellingen, op? U moet een verwerkersovereenkomst aangaan met ons.
- U hebt een informatieve website en verwerkt geen gegevens van klanten via deze site op onze servers. U hoeft géén verwerkersovereenkomst met ons aan te gaan.
Verwerkersovereenkomst
Hierna gezamenlijk te noemen "Partijen";
In aanmerking nemende:
B. Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;
C. Partijen wensen in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen Schriftelijk vast te leggen in deze Verwerkersovereenkomst.
Zijn als volgt overeengekomen:
1. Begrippen
1.3 Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun verantwoordelijkheid zullen werken.
1.4 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook (herleidbare) gepseudonimiseerde persoonsgegevens vallen onder dit begrip.
1.5 Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.6 Verwerkingsverantwoordelijke: de verantwoordelijke voor de Verwerking in de zin van de Wet bescherming persoonsgegevens (WBP) en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van persoonsgegevens (AVG).
1.7 Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
2. Onderwerp
3. Verplichtingen van de Verwerkingsverantwoordelijke
4. Verplichtingen van de Verwerker
4.3 Verwerker staat ervoor in dat haar Personeel zich houdt aan het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens. De werknemers van Verwerker zijn gehouden aan een geheimhoudingsplicht.
4.4 Verwerker heeft een functionaris voor gegevensbescherming aangewezen.
4.5 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle kopieën van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens aan Verwerkingsverantwoordelijke ter hand stellen of desgevraagd vernietigen.
4.6 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen.
4.7 Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht.
4.8 Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Betrokkenen inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Betrokkene zijn persoonsgegevens als incorrect beschouwt.
4.9 Verwerker neemt adequate interne beheersmaatregelen om de verplichtingen uit deze overeenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan eenvoudig mogelijk maakt. Bij Verwerking van Persoonsgegevens worden activiteiten en incidenten met betrekking tot de Persoonsgegevens vastgelegd in logbestanden.
4.10 Op aangeven van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie (versleuteling) en pseudonimisering van Persoonsgegevens. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
4.11 Verwerkingsverantwoordelijke kan eenmaal per jaar de Verwerking van Persoonsgegevens laten controleren op correcte naleving van de Verwerkersovereenkomst door middel van een onderzoek door een onafhankelijke register EDP-Auditor. De Auditor zal worden verplicht tot geheimhouding. Verwerker zal alle door de Auditor gevraagde informatie verstrekken. De Auditor zal in algemene termen rapporteren aan Verwerkingsverantwoordelijke, maar zal geen details over de getroffen beveiligingsmaatregelen bekend maken. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.
5. Subverwerker
6. Verstrekken van Persoonsgegevens
- de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren;
- de verstrekking beperken tot hetgeen wettelijk verplicht is;
- Verwerkingsverantwoordelijke in staat stellen om de rechten van Verwerkingsverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkingsverantwoordelijke en Betrokkenen te verdedigen;
bij afgifte aan een Betrokkene de gegevens in een gestructureerde, gangbare en machine leesbare vorm verstrekken.
7. Beveiliging
7.3 Verwerkingsverantwoordelijke en Verwerker zullen continue bewaken of de gebruikte verwerkingssystemen (blijven) voldoen aan adequate eisen van vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (snel herstel na tijdelijke onbeschikbaarheid).
7.4 Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
8. Datalek
9. Geheimhouding
- Die openbaar bekend is zonder dat deze openbaarmaking een gevolg is van een ongeoorloofde daad;
- Waarvan vrijgave is vereist op grond van enige wettelijke bepaling of Rechterlijk bevel, een en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van de openbarende partij, aan de partij wiens informatie het betreft;
- Die een Partij onafhankelijk ontwikkeld heeft;
- Die een Partij reeds in haar bezit heeft zonder verplichting tot vertrouwelijkheid.
Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin vastgelegde geheimhoudingsplicht van kracht blijven.
10. Intellectueel eigendom
11. Aansprakelijkheid en verzekering
11.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden (met name Betrokkenen) en de eventuele schade als gevolg daarvan, gebaseerd op niet naleving van voorschriften bij of krachtens de Wet bescherming persoonsgegevens en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van persoonsgegevens en/of overige wet- en regelgeving terzake en/of deze Verwerkersovereenkomst.
11.4 Verwerker verplicht zich om de risico’s zoals bedoeld in de artikelen 11.1 t/m 11.2 af te dekken door middel van een aansprakelijkheidsverzekering.
12. Duur en beëindiging
12.3 In geval van beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens overdragen aan Verwerkingsverantwoordelijke, of, op uitdrukkelijk schriftelijk verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens die Verwerker onder zich heeft vernietigen.
12.4 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging, aansprakelijkheid en toepasselijk recht.
13. Ontbinding
14. Overige
Bijlage A – Beveiligingsmaatregelen
De maatregelen waaraan Verwerker minimaal voldoet:- De Verwerker hanteert een beleidsdocument dat expliciet ingaat op de maatregelen die de Verwerker treft om de verwerking van de gegevens te beveiligen, alsmede de privacy te waarborgen.
- De werknemers van de Verwerker die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht/integriteitscode en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden.
- Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met persoonsgegevens.
- IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
- Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.
- Bij transport van door de Verwerkingsverantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast.
- Voor het beheer van certificaten en de bijbehorende sleutels is een actueel sleutelplan van toepassing waarin bevoegdheden en functiescheiding geborgd zijn.
- Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen.
- Activiteiten die gebruikers uitvoeren (met persoonsgegevens) worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens. Logging van specifieke data is mogelijk op basis van maatwerk via een offerte.
- In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.
- Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke.
- De Verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door de Verwerker is/wordt geleverd, of gebruikt, of onderhouden ten behoeve van de Verwerkingsverantwoordelijke.
- Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligings¬incidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.
- De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).
Slaat U op onze webservers gegevens op van klanten, logging van ip-adressen, etc. dan bent u in principe verplicht een privacy verklaring te voeren voor uw eigen dienst en tevens met ons een Verwerkersovereenkomst aan te gaan. Het initiatief ligt hiervoor, wettelijk gezien, bij u. Wij maken u het met deze modelovereenkomst makkelijk. U kunt deze direct gebruiken om met ons een overeenkomst aan te gaan voor de verwerking van gegevens.