Verwerkersovereenkomst - model, voorbeeldformulier Pro · NL-law

VERWERKERSOVEREENKOMST

(verwerkersovereenkomst in de zin van artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming)

DE ONDERGETEKENDEN:

1. ________, gevestigd en kantoorhoudende aan ________ te ________, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer ________, te dezen rechtsgeldig vertegenwoordigd door ________ in de hoedanigheid van ________;

hierna te noemen: de "Verwerkingsverantwoordelijke";

en

2. ________, gevestigd en kantoorhoudende aan ________ te ________, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer ________, te dezen rechtsgeldig vertegenwoordigd door ________ in de hoedanigheid van ________;

hierna te noemen: de "Verwerker";

de Verwerkingsverantwoordelijke en de Verwerker hierna gezamenlijk te noemen: de "Partijen" en ieder afzonderlijk een "Partij";

OVERWEGENDE DAT:

1. Partijen op ________ een overeenkomst met betrekking tot ________ hebben gesloten (hierna: de "Hoofdovereenkomst"), in het kader waarvan de Verwerker ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt;
2. de Verwerkingsverantwoordelijke ten aanzien van deze verwerking als verwerkingsverantwoordelijke en de Verwerker als verwerker kwalificeert in de zin van de Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming, hierna: "AVG") en de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: "UAVG");
3. Partijen op grond van artikel 28 lid 3 AVG gehouden zijn de verwerking van persoonsgegevens schriftelijk in een overeenkomst vast te leggen en met deze verwerkersovereenkomst (hierna: de "Overeenkomst") aan deze verplichting uitvoering wensen te geven;
4. deze Overeenkomst de verplichtingen van de Verwerkingsverantwoordelijke uit hoofde van de AVG, de UAVG en overige toepasselijke wet- en regelgeving omtrent gegevensbescherming onverlet laat;
5. de in deze Overeenkomst gehanteerde begrippen die in de AVG zijn gedefinieerd, de betekenis hebben die de AVG daaraan toekent, en de bepalingen van deze Overeenkomst worden uitgelegd in het licht van de AVG;
6. Partijen zich verbinden de toepasselijke wet- en regelgeving omtrent gegevensbescherming na te leven.

KOMEN ALS VOLGT OVEREEN:

Artikel 1 – Voorwerp en rangorde

1. Deze Overeenkomst is van toepassing op de verwerking van alle persoonsgegevens door de Verwerker ter uitvoering van de Hoofdovereenkomst.

2. In de aan deze Overeenkomst gehechte Bijlage 1 zijn overeenkomstig artikel 28 lid 3 AVG vastgelegd: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen alsmede de rechten en verplichtingen van de Verwerkingsverantwoordelijke. De bijlagen maken integraal onderdeel uit van deze Overeenkomst.

3. In geval van strijdigheid tussen de bepalingen van deze Overeenkomst en de bepalingen van de Hoofdovereenkomst, prevaleren de bepalingen van deze Overeenkomst voor zover het de verwerking van persoonsgegevens betreft.

Artikel 2 – Duur en beëindiging

1. Deze Overeenkomst treedt in werking op de datum van ondertekening door beide Partijen en wordt aangegaan voor de duur van de Hoofdovereenkomst.

2. Deze Overeenkomst eindigt van rechtswege op het moment waarop de Hoofdovereenkomst eindigt, dan wel op het moment waarop de Verwerker geen persoonsgegevens meer verwerkt ter uitvoering van de Hoofdovereenkomst.

3. Na beëindiging van de verwerkingsdiensten wist de Verwerker, en voor zover van toepassing iedere door hem ingeschakelde sub-verwerker en iedere onder zijn gezag werkzame persoon, alle persoonsgegevens, dan wel bezorgt deze aan de Verwerkingsverantwoordelijke terug naar diens keuze, en wist bestaande kopieën, tenzij opslag van de persoonsgegevens op grond van Unierechtelijke of lidstaatrechtelijke bepalingen verplicht is.

4. De Verwerker verstrekt op verzoek van de Verwerkingsverantwoordelijke een schriftelijke verklaring waaruit blijkt dat de in lid 3 bedoelde handelingen zijn verricht.

5. Bepalingen die naar hun aard bestemd zijn om na beëindiging van deze Overeenkomst voort te duren, waaronder die met betrekking tot geheimhouding, aansprakelijkheid en toepasselijk recht, blijven na beëindiging onverkort van kracht.

Artikel 3 – Instructies

1. De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke, gedocumenteerde instructies van de Verwerkingsverantwoordelijke, met inbegrip van de in deze Overeenkomst en haar bijlagen vastgelegde instructies.

2. Het in lid 1 bedoelde voorschrift geldt niet indien een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

3. Indien de Verwerker van oordeel is dat een instructie van de Verwerkingsverantwoordelijke inbreuk maakt op de AVG, de UAVG of andere toepasselijke wet- en regelgeving omtrent gegevensbescherming, stelt hij de Verwerkingsverantwoordelijke daarvan onverwijld in kennis overeenkomstig artikel 28 lid 3 slotzin AVG.

Artikel 4 – Doelbinding

1. De Verwerker verwerkt de persoonsgegevens uitsluitend voor het door de Verwerkingsverantwoordelijke bepaalde doel, zoals nader omschreven in Bijlage 1, behoudens nadere schriftelijke instructie van de Verwerkingsverantwoordelijke.

2. Het is de Verwerker niet toegestaan de persoonsgegevens voor eigen of afwijkende doeleinden te verwerken.

3. De verwerking vindt niet langer plaats dan noodzakelijk voor de in Bijlage 1 omschreven doeleinden.

Artikel 5 – Geheimhouding

1. De Verwerker verbindt zich tot geheimhouding van de persoonsgegevens en alle daarop betrekking hebbende informatie waarvan hij in het kader van deze Overeenkomst kennisneemt.

2. De Verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting tot vertrouwelijkheid zijn gebonden.

Artikel 6 – Beveiliging

1. De Verwerker treft, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking alsmede de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van betrokkenen, passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, overeenkomstig artikel 32 AVG.

2. De Verwerker treft ten minste de volgende beveiligingsmaatregelen, welke nader zijn omschreven in Bijlage 2:

________

3. Indien bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG of persoonsgegevens van strafrechtelijke aard als bedoeld in artikel 10 AVG worden verwerkt, worden de beveiligingsmaatregelen hierop specifiek afgestemd.

4. De Verwerker draagt zorg dat de onder zijn gezag werkzame personen die toegang hebben tot de persoonsgegevens, deze uitsluitend verwerken voor zover noodzakelijk en overeenkomstig de instructies van de Verwerkingsverantwoordelijke, tenzij zij op grond van wet- en regelgeving tot verwerking verplicht zijn.

5. Aansluiting bij een goedgekeurde gedragscode als bedoeld in artikel 40 AVG of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 AVG kan worden gebruikt als element om aan te tonen dat aan de in dit artikel bedoelde verplichtingen wordt voldaan.

Artikel 7 – Sub-verwerkers

1. De Verwerker schakelt geen sub-verwerker in zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. Bij een algemene schriftelijke toestemming informeert de Verwerker de Verwerkingsverantwoordelijke over beoogde veranderingen inzake de toevoeging of vervanging van sub-verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

2. De Verwerkingsverantwoordelijke is gerechtigd voorwaarden te verbinden aan het inschakelen van sub-verwerkers.

3. Indien de Verwerker een sub-verwerker inschakelt, legt hij deze bij overeenkomst dezelfde verplichtingen inzake gegevensbescherming op als die welke op grond van deze Overeenkomst op de Verwerker rusten, met name de in artikel 6 bedoelde verplichtingen.

4. De Verwerker verstrekt de Verwerkingsverantwoordelijke op diens verzoek een afschrift van de met de sub-verwerker gesloten overeenkomst.

5. De Verwerker blijft jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van de sub-verwerker.

Artikel 8 – Bijstand aan de Verwerkingsverantwoordelijke

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

3. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, en uiterlijk binnen ________ uur, na ontdekking schriftelijk in kennis van iedere inbreuk in verband met persoonsgegevens (datalek). De Verwerker verstrekt daarbij ten minste de in artikel 33 lid 3 AVG bedoelde informatie alsmede alle overige hem bekende, voor de Verwerkingsverantwoordelijke relevante informatie.

Artikel 9 – Audit en informatieverstrekking

1. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in artikel 28 AVG en in deze Overeenkomst neergelegde verplichtingen aan te tonen.

2. De Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door deze gemachtigde controleur mogelijk en draagt daaraan bij. Een audit wordt ten minste ________ van tevoren schriftelijk aangekondigd en vindt plaats tijdens kantooruren, met zo min mogelijk verstoring van de bedrijfsvoering van de Verwerker.

3. De kosten van een audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat de Verwerker zijn verplichtingen niet is nagekomen, in welk geval de kosten voor rekening van de Verwerker komen.

Artikel 10 – Doorgifte van persoonsgegevens

1. De Verwerker verwerkt de persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER), tenzij de Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft verleend.

2. Doorgifte van persoonsgegevens aan een land buiten de EER of aan een internationale organisatie geschiedt uitsluitend op grond van een schriftelijke instructie van de Verwerkingsverantwoordelijke en met inachtneming van de voorwaarden van Hoofdstuk V AVG.

3. De Verwerker draagt er zorg voor dat bij iedere doorgifte als bedoeld in lid 2 passende waarborgen als bedoeld in artikel 46 AVG worden getroffen en dat afdwingbare rechten en doeltreffende rechtsmiddelen voor de betrokkenen beschikbaar zijn.

Artikel 11 – Aansprakelijkheid en vrijwaring

1. De Verwerker is jegens de Verwerkingsverantwoordelijke aansprakelijk voor schade die voortvloeit uit een toerekenbare tekortkoming in de nakoming van zijn verplichtingen uit deze Overeenkomst dan wel uit een overtreding van de op de Verwerker rustende verplichtingen uit de AVG, de UAVG of overige toepasselijke wet- en regelgeving omtrent gegevensbescherming, een en ander met inachtneming van artikel 82 AVG.

2. De Verwerker vrijwaart de Verwerkingsverantwoordelijke voor aanspraken van betrokkenen of derden en voor bestuurlijke boetes die door de toezichthoudende autoriteit aan de Verwerkingsverantwoordelijke worden opgelegd, voor zover deze het gevolg zijn van een aan de Verwerker toerekenbare tekortkoming als bedoeld in lid 1.

3. De in de Hoofdovereenkomst overeengekomen beperkingen van aansprakelijkheid zijn van overeenkomstige toepassing op deze Overeenkomst, met dien verstande dat deze beperkingen niet gelden in geval van opzet of bewuste roekeloosheid van de Verwerker of zijn leidinggevende ondergeschikten, noch voor zover zij in strijd zijn met dwingend recht.

Artikel 12 – Niet-naleving en gevolgen

1. De Verwerkingsverantwoordelijke is gerechtigd deze Overeenkomst en de Hoofdovereenkomst geheel of gedeeltelijk te ontbinden in geval van een voortdurende of fundamentele schending door de Verwerker van zijn verplichtingen uit deze Overeenkomst of uit toepasselijke wet- en regelgeving.

2. Indien de Verwerker in strijd met de AVG het doel van en de middelen voor de verwerking bepaalt, wordt hij ten aanzien van die verwerking als verwerkingsverantwoordelijke beschouwd, onverminderd de artikelen 82, 83 en 84 AVG.

3. Indien de Verwerker niet aan zijn verplichtingen uit deze Overeenkomst kan of naar verwachting niet kan voldoen, stelt hij de Verwerkingsverantwoordelijke daarvan onverwijld in kennis. De Verwerkingsverantwoordelijke kan de Verwerker opdragen de verwerking op te schorten totdat de Verwerker weer aan zijn verplichtingen voldoet. Kan de Verwerker de werkzaamheden niet binnen redelijke termijn hervatten, dan is de Verwerkingsverantwoordelijke gerechtigd deze Overeenkomst te beëindigen.

4. De Verwerker is gerechtigd deze Overeenkomst te beëindigen indien hij de Verwerkingsverantwoordelijke op grond van artikel 3 lid 3 in kennis heeft gesteld van een met wet- en regelgeving strijdige instructie en de Verwerkingsverantwoordelijke desondanks op uitvoering van die instructie blijft aandringen.

Artikel 13 – Wijzigingen

1. Wijzigingen van en aanvullingen op deze Overeenkomst zijn slechts geldig indien deze schriftelijk tussen Partijen zijn overeengekomen.

2. Indien de toepasselijke wet- en regelgeving omtrent gegevensbescherming wijzigt, treden Partijen in overleg teneinde deze Overeenkomst aan te passen om te blijven voldoen aan de uit de gewijzigde wetgeving voortvloeiende verplichtingen.

Artikel 14 – Toepasselijk recht en geschillen

1. Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing.

2. Alle geschillen die uit of in verband met deze Overeenkomst voortvloeien, worden bij uitsluiting voorgelegd aan de bevoegde rechter van de rechtbank ________, tenzij dwingend recht een andere rechter aanwijst.

Aldus overeengekomen en in tweevoud opgemaakt en ondertekend:

De Verwerkingsverantwoordelijke

________, te dezen vertegenwoordigd door ________

Datum van ondertekening: ________

Plaats van ondertekening: ________

_________________________
Handtekening

De Verwerker

________, te dezen vertegenwoordigd door ________

Datum van ondertekening: ________

Plaats van ondertekening: ________

_________________________
Handtekening

BIJLAGE 1 – OMSCHRIJVING VAN DE VERWERKING (artikel 28 lid 3 AVG)

Onderwerp van de verwerking: ________

Duur van de verwerking: ________

Aard van de verwerking: ________

Doel van de verwerking: ________

Soort persoonsgegevens: ________

Categorieën van betrokkenen: ________

Rechten en verplichtingen van de Verwerkingsverantwoordelijke: ________

BIJLAGE 2 – TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN (artikel 32 AVG)

________

BIJLAGE 3 – TOEGESTANE SUB-VERWERKERS (artikel 28 lid 2 AVG)

________