Verwerkersovereenkomst - model, voorbeeldformulier

VERWERKERSOVEREENKOMST

TUSSEN

________, gevestigd aan ________, geregistreerd bij de Kamer van Koophandel onder nummer ________, rechtsgeldig vertegenwoordigd door ________ in hoedanigheid van ________

hierna de "Verwerkingsverantwoordelijke"

EN

________, gevestigd aan ________, geregistreerd bij de Kamer van Koophandel onder nummer ________, rechtsgeldig vertegenwoordigd door ________ in hoedanigheid van ________

hierna de "Verwerker"

hierna gezamenlijk de "Partijen"

IN AANMERKING NEMENDE DAT:

de Verwerker in het kader van een opdracht van de Verwerkingsverantwoordelijke, die is vastgelegd in de Hoofdovereenkomst tussen de Partijen, persoonsgegevens zal verwerken waarvoor de Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG);

deze overeenkomst de verplichtingen van de Verwerkingsverantwoordelijke onverlet laat;

de Partijen de gemaakte afspraken zoals bedoeld in artikel 28 lid 3 en 4 AVG vastleggen;

de Partijen zich verbinden om de toepasselijke wet- en regelgeving omtrent gegevensbescherming na te leven;

alle begrippen die in deze Verwerkersovereenkomst gebruikt worden en in de AVG zijn gedefinieerd, de betekenis hebben die door de AVG aan de begrippen is gegeven;

de bepalingen in deze overeenkomst geïnterpreteerd dienen te worden in het kader van de AVG.

ZIJN ALS VOLGT OVEREENGEKOMEN:

1. VOORWERP

1. Deze Verwerkersovereenkomst is van toepassing op de verwerking van alle persoonsgegevens door de Verwerker, ter uitvoering van de opdracht zoals overeengekomen in de Hoofdovereenkomst tussen de Partijen.

2. Als bijlage aan deze overeenkomst is een overzicht toegevoegd, waarin het volgende omschreven is met betrekking tot de verwerking van de persoonsgegevens door de Verwerkingsverantwoordelijke:

• het onderwerp en de duur van de verwerking;
• de aard en het doel van de verwerking;
• het soort persoonsgegevens dat verwerkt wordt;
• de categorieën van betrokkenen;
• de rechten en verplichtingen van de Verwerkingsverantwoordelijke.

2. DUUR

1. Deze verwerkersovereenkomst vangt aan op de datum waarop de overeenkomst is ondertekend door beide Partijen.

2. De overeenkomst duurt voort voor dezelfde termijn als waarvoor de Hoofdovereenkomst is aangegaan en de persoonsgegevens door de Verwerker verwerkt worden ter uitvoering hiervan, ofwel tot het moment waarop de Verwerker alle persoonsgegevens permanent heeft gewist.

3. Na afloop van de verwerkingsdiensten wist de Verwerker, en indien van toepassing alle sub-verwerkers en personen die bij de Verwerker in dienst zijn, alle persoonsgegevens, tenzij opslag van de persoonsgegevens wettelijk verplicht is.

4. Geen der Partijen kan de overeenkomst tussentijds opzeggen.

5. In het geval dat de Hoofdovereenkomst wordt beëindigd, zal de verwerkingsovereenkomst eindigen op hetzelfde moment en zullen de persoonsgegevens worden gewist door de Verwerker.

6. Na afloop zullen bepalingen die betrekking hebben op situaties die zich na beëindiging van de overeenkomst kunnen voordoen, van toepassing blijven.

3. INSTRUCTIES

1. De Verwerker is enkel toegestaan de persoonsgegevens te verwerken overeenkomstig de schriftelijke instructies van de Verwerkingsverantwoordelijke.

2. Het in lid 1 bedoelde verbod op het verwerken van de persoonsgegevens zonder een schriftelijke instructie hiertoe van de Verwerkingsverantwoordelijke, is niet van toepassing indien wet- en regelgeving de Verwerker verplicht tot verwerking. In dat geval brengt de Verwerker de Verwerkingsverantwoordelijke onverwijld op de hoogte van de betreffende wet- en regelgeving, tenzij wet- en regelgeving dit uitdrukkelijk en om gewichtige redenen niet toelaat.

3. Indien de Verwerker veronderstelt dat een schriftelijke instructie van de Verwerkingsverantwoordelijke in strijd is met toepasselijke wet- en regelgeving omtrent gegevensbescherming, brengt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte, alvorens de instructie al dan niet op te volgen.

4. DOEL

1. De Verwerker is enkel toegestaan de persoonsgegevens te verwerken in overeenstemming met het door de Verwerkingsverantwoordelijke bepaalde doel, zoals vermeld in het als bijlage toegevoegde overzicht, tenzij de Verwerker nadere instructies krijgt van de Verwerkingsverantwoordelijke.

2. Het is de Verwerker niet toegestaan de persoonsgegevens voor afwijkende of eigen doeleinden te verwerken.

3. De verwerking van de persoonsgegevens vindt niet langer plaats dan noodzakelijk voor de doelstellingen en binnen het tijdsbestek zoals vermeld in het als bijlage toegevoegde overzicht.

5. GEHEIMHOUDING

1. De Verwerker verbindt zich tot geheimhouding van de persoonsgegevens.

2. De Verwerker draagt er zorg voor dat alle door hem tot verwerking van de persoonsgegevens gemachtigde personen zich eveneens verbinden tot geheimhouding van de persoonsgegevens, dan wel door een wettelijke verplichting aan geheimhouding zijn gebonden.

6. BEVEILIGING

1. De Verwerker treft passende technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen onder andere vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot de persoonsgegevens, die, waar passend, onder meer de maatregelen overeenkomstig artikel 32 lid 1 AVG omvatten.

2. Voorts worden ten minste de volgende beveiligingsmaatregelen door de Verwerker getroffen:

________

3. Het beschermingsniveau wordt afgestemd aan de hand van de risico's welke aan de verwerking zijn verbonden.

4. Bij het bepalen van passende maatregelen ter beveiliging van de persoonsgegevens, wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en het doel van de gegevensverwerking.

5. Indien bijzondere persoonsgegevens verwerkt worden, worden de beveiligingsmaatregelen hierop specifiek aangepast.

6. De Verwerker draagt zorg dat de personen die onder het gezag van de Verwerker werkzaam zijn en toegang hebben tot de persoonsgegevens, de persoonsgegevens enkel verwerken voor zover noodzakelijk en overeenkomstig de opdracht die is gegeven door de Verwerkingsverantwoordelijke, tenzij wet- en regelgeving de persoon verplicht tot verwerking.

7. Aansluiting bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan gebruikt worden om aan te tonen dat voldoende maatregelen, als bedoeld in dit artikel, worden getroffen.

7. SUB-VERWERKERS

1. Indien de Verwerker een sub-verwerker in wenst te schakelen voor de verwerking van de persoonsgegevens, dient de Verwerker voor iedere sub-verwerker voorafgaande schriftelijke specifieke toestemming te krijgen van de Verwerkingsverantwoordelijke. De Verwerker verstrekt de Verwerkingsverantwoordelijke de benodigde informatie om het verzoek te kunnen beoordelen.

2. De Verwerkingsverantwoordelijke is gerechtigd om voorwaarden te verbinden aan het inschakelen van sub-verwerkers.

3. Wanneer een sub-verwerker wordt ingeschakeld, worden aan de sub-verwerker middels een overeenkomst dezelfde verplichtingen met betrekking tot de gegevensbescherming opgelegd, als de verplichtingen bedoeld in artikel 6.

4. Iedere sub-verwerkers voldoet ten minste aan de vereisten waaraan de Verwerker dient te voldoen en verwerkt de persoonsgegevens uitsluitend in opdracht van de Verwerker in overeenstemming met de opdracht die is gegeven door de Verwerkingsverantwoordelijke, tenzij wet- en regelgeving de sub-verwerker verplicht tot verwerking.

5. Op verzoek van de Verwerkingsverantwoordelijke, dient de Verwerker een kopie van de overeenkomst tussen de Verwerker en de sub-verwerkers te verstrekken aan de Verwerkingsverantwoordelijke.

6. De Verwerker draagt er zorg voor dat de sub-verwerker voldoet aan de verplichtingen voor verwerkers krachtens deze overeenkomst en de toepasselijke wet- en regelgeving omtrent gegevensbescherming.

7. De Verwerker blijft te allen tijde volledig verantwoordelijk en aansprakelijk voor de niet-nakoming van de verplichtingen van de sub-verwerkers en voor de uitvoering van de verwerking door de sub-verwerkers.

8. BIJSTAND AAN DE VERWERKINGSVERANTWOORDELIJKE

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna.

2. Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, verleent de Verwerker tevens bijstand bij het vervullen van de plichten van de Verwerkingsverantwoordelijke met betrekking tot:

• de beveiliging van de verwerking, overeenkomstig artikel 32 AVG;
• de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit, overeenkomstig artikel 33 AVG;
• de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene, overeenkomstig artikel 34 AVG;
• de "gegevensbeschermingseffectbeoordeling", overeenkomstig artikel 35 AVG;
• de voorafgaande raadpleging, overeenkomstig artikel 36 AVG.

3. De Verwerker brengt de Verwerkingsverantwoordelijke onverwijld, en binnen 24 uur, op de hoogte nadat hij kennis heeft genomen van een datalek of een andere inbreuk in verband met de persoonsgegevens. De Verwerker verstrekt alle informatie die hem bekend is en van belang kan zijn aan de Verwerkingsverantwoordelijke, en ten minste hetgeen bepaald in artikel 33 lid 3 AVG.

9. AUDIT

1. De Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit hoofde van artikel 28 AVG en deze overeenkomst worden nagekomen.

2. De Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk en draagt hieraan bij. De kosten van een dergelijke audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat de Verwerker zijn verplichtingen niet is nagekomen.

10. DOORGIFTE VAN PERSOONSGEGEVENS

1. De Verwerker verwerkt de persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER), tenzij de Verwerkingsverantwoordelijke hiervoor voorafgaande schriftelijke toestemming heeft verleend.

2. Indien de Verwerker de persoonsgegevens doorgeeft aan een land buiten de Europese Economische Ruimte (EER) of aan een internationale organisatie, geschiedt dit uitsluitend op grond van een schriftelijke instructie van de Verwerkingsverantwoordelijke en met inachtneming van de voorwaarden zoals gesteld in Hoofdstuk V AVG.

3. De Verwerker draagt er zorg voor dat bij doorgifte van persoonsgegevens aan een derde land of een internationale organisatie passende waarborgen worden getroffen, zoals bedoeld in artikel 46 AVG, en dat afdwingbare rechten en doeltreffende rechtsmiddelen voor de betrokkenen beschikbaar zijn.

11. NIET-NALEVING EN BEËINDIGING

1. De Verwerkingsverantwoordelijke is gerechtigd de overeenkomst te beëindigen in het geval van voortdurende of fundamentele schending van de verplichtingen uit hoofde van deze overeenkomst of wet- en regelgeving door de Verwerker.

2. In het geval dat de Verwerker in strijd met toepasselijke wet- en regelgeving omtrent gegevensbescherming de doeleinden en middelen van de verwerking bepaalt, wordt de Verwerker als de verwerkingsverantwoordelijke beschouwd met betrekking tot die verwerking, onverminderd artikelen 82, 83 en 84 AVG.

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris.

4. De Verwerkingsverantwoordelijke kan de Verwerker aansprakelijk stellen voor schade voortkomend uit het toerekenbaar niet-nakomen of schenden van bepalingen uit deze overeenkomst of toepasselijke wet- en regelgeving omtrent gegevensbescherming door de Verwerker.

5. De Verwerker is gerechtigd de overeenkomst te beëindigen indien de Verwerker de Verwerkingsverantwoordelijke op de hoogte heeft gebracht van een door de Verwerkingsverantwoordelijke verstrekte instructie die strijdig is met toepasselijke wet- en regelgeving, en de Verwerker de instructies alsnog dient op te volgen.

12. TOEPASSELIJK RECHT

1. Op deze overeenkomst is het Nederlands recht van toepassing.

2. Indien toepasselijke wet- en regelgeving omtrent gegevensbescherming wijzigt, zullen de Partijen deze overeenkomst aanpassen om te blijven voldoen aan de verplichtingen in het kader van persoonsgegevensverwerking.

13. ONDERTEKENING

Aldus overeengekomen en in tweevoud ondertekend:

de Verwerkingsverantwoordelijke

________ vertegenwoordigd door ________

Datum van ondertekening:

Plaats van ondertekening:

_________________________

de Verwerker

________ vertegenwoordigd door ________

Datum van ondertekening:

Plaats van ondertekening:

_________________________