Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

B.01 Model Verwerkersovereenkomst (Vovk) en checklist

De FG en verwerkersovereenkomsten

Een verwerkers-overeenkomst (Vovk) moet worden afgesloten met elke Verwerker die in opdracht van de Verantwoordelijke verwerkt.
De AVG stelt een aantal eisen aan wat er in de overeenkomst moet zijn opgenomen. Het best is daarom om een Modelovereenkomst te gebruiken. Er zijn vele modellen beschikbaar.

Meestal biedt de Verantwoordelijke een overeenkomst aan. het kan ook zijn dat de Verwerker een grote partij is en dat zij het initiatief nemen. In dat geval zal de Verantwoordelijke (of soms de FG), moeten checken of de overeenkomst aan de AVG voldoet. Daarvoor is een checklist opgesteld. 
De checklist bestaat uit twee delen: een deel verplichte elementen en een deel contractuele elementen. Alhoewel die laatsten niet verplicht zijn, is een overeenkomst meestal niet compleet wanneer die worden weggelaten.

 

Model Verwerkersovereenkomst

 

Contractpartijen:

 

Verwerkingsverantwoordelijke te weten …………………………………………...,

statutair gevestigd te …………………………………………...,

vertegenwoordigd door …………………………………………… hierna te noemen: “Verantwoordelijke”,

en

Verwerker te weten …………………………………………...,

statutair gevestigd te …………………………………………...,

vertegenwoordigd door …………………………………………... hierna te noemen: “Verwerker”,

 

gezamenlijk aan te duiden als: “Partijen”;

 

Overwegende dat:

Partijen op [dd-mm-jj] een verwerkersovereenkomst met betrekking tot de Hoofdovereenkomst [……………………………………………], gesloten te hebben. Ter uitvoering van deze Hoofdovereenkomst, worden Persoonsgegevens verwerkt, zodat de AVG van toepassing is, komen overeen:

 

1 Definities.

1.1 In deze verwerkersovereenkomst gelden de definities zoals vastgesteld in artikel 4 van de AVG. Definities zijn aangegeven met een hoofdletter. Daarnaast wordt gebruikt:

  • Hoofdovereenkomst: de initiële overeenkomst voor het leveren van een dienst door Verwerker aan Verwerkingsverantwoordelijke,

  • Overeenkomst: deze overeenkomst

  • Datalek: inbreuk.

 

2 Totstandkoming, duur en beëindiging van deze verwerkersovereenkomst

2.1 Deze verwerkersovereenkomst treedt in werking op de datum waarop partijen deze ondertekenen.

2.2 Deze Overeenkomst is onderdeel van de Hoofdovereenkomst en zal gelden voor zolang de Hoofdovereenkomst duurt. Indien de Hoofdovereenkomst eindigt, eindigt deze verwerkersovereenkomst automatisch; de Overeenkomst kan niet apart worden opgezegd.

2.3 Na beëindiging van deze Overeenkomst zullen de lopende verplichtingen voor de Verwerker, zoals het melden van Datalekken, waarbij de Persoonsgegevens van de Verantwoordelijke betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

 

3 Verwerken Persoonsgegevens

3.1 De Verwerker zal alleen Persoonsgegevens verwerken in opdracht van de Verantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. De Verwerker volgt de instructies van de Verantwoordelijke hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Verantwoordelijke daar van te voren toestemming of opdracht voor heeft gegeven.

In Bijlage 1 is opgenomen welke Persoonsgegevens de Verwerker precies zal verwerken en voor welke verwerkingsdoeleinden.

3.2 De Verwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.3 De Verwerker mag zonder mijn voorafgaande schriftelijke toestemming geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens. Wanneer de Verwerker, met toestemming van de Verantwoordelijke, andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Overeenkomst.

3.4 Wanneer de Verantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar privacy-rechten wil uitoefenen, werkt de Verwerker daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

3.5 De Verantwoordelijke kan informatie opvragen omtrent een uitgevoerde Gegevensbeschermingseffectbeoordeling, in dat geval moet de Verwerker de gewenste informatie verschaffen.

 

4 Beveiligen van Persoonsgegevens

4.1. Om verlies en onrechtmatige verwerkingen te voorkomen neemt de Verwerker passende technische en organisatorische maatregelen. Deze maatregelen zijn afgestemd op het risico van de verwerking.

4.2 Ter controle zal de Verwerker aan de Verantwoordelijke ieder jaar een rapportage sturen waarin de genomen beveiligingsmaatregelen staan en de eventuele
aandachts- en/of verbeterpunten. Hiervoor zal de Verwerker aan de Verantwoordelijke geen kosten in rekening brengen.

4.3 De Verantwoordelijke mag een inspectie of audit in de organisatie van de Verwerker laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Overeenkomst voldoet. Hierbij zal de Verwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie. De kosten voor de uitvoering van deze audit zullen voor de rekening van de Verwerker komen wanneer blijkt dat de Verwerker zich niet aan de verplichtingen in deze Overeenkomst houdt.
De controle op de algehele verwerking van Persoonsgegevens door de Verwerker kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. De Verwerker zal hierbij aan de Verantwoordelijke een rapport verstrekken, waarin de Verwerker aantoont dat zij voldoet aan de wet en de afspraken uit deze Overeenkomst. Deze rapportage dient te worden ondertekend door een directielid binnen de organisatie van de Verwerker.

4.4 Wanneer een van de partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden partijen in overleg over de wijziging daarvan. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van degene die de kosten maakt.

 

5 Exporteren Persoonsgegevens

5.1 De Verwerker mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van de Verantwoordelijke.

 

6 Geheimhouding

6.1 De Verwerker zal de verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6.2 De Verwerker zal ervoor zorgen dat ook zijn personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.

 

7 Datalekken

7.1 In geval van een ontdekking van een mogelijk Datalek zal de Verwerker de Verantwoordelijke hierover informeren binnen 24 uur via [contactgegegevens] en de informatie verstrekken die is aangegeven in Bijlage 2, zodat de Verantwoordelijke indien nodig een melding bij de Toezichthouder kan doen.

7.2 Na melding van een Datalek moet de Verwerker de Verantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die de Verwerker heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.

7.3 Het niet toegestaan dat de Verwerker een melding van een Datalek doet aan de Toezichthouder en de Verwerker mag niet de Betrokkene(n) informeren over het Datalek. Dit is de verantwoordelijkheid van de Verantwoordelijke

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de schade heeft veroorzaakt.

 

8 Teruggave Persoonsgegevens en bewaartermijn

8.1 Na het beëindigen van deze Overeenkomst geeft de Verwerker de Persoonsgegevens terug. Eventuele achtergebleven Persoonsgegevens zal de Verwerker op een zorgvuldige en veilige manier vernietigen.

8.2 De Persoonsgegevens die de Verwerker verwerkt volgens deze Overeenkomst zal de Verwerker vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van de Verantwoordelijke. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer de Verwerker de Persoonsgegevens moet bewaren om belastingtechnische redenen.

8.3 De Verwerker zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan de Verantwoordelijke verklaren dat de Verwerker de Persoonsgegevens niet langer heeft. 

 

9 Slotbepalingen

9.1 Deze Overeenkomst is onderdeel van de Hoofdvereenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Overeenkomst.

9.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Overeenkomst en de Overeenkomst, gelden de bepalingen uit deze Overeenkomst.

9.3 Afwijkingen van deze Overeenkomst zijn slechts geldig wanneer partijen dit samen schriftelijk overeenkomen.

9.4 Op deze Overeenkomst en de werkzaamheden van Verwerker is het Nederlandse recht van toepassing. Over eventuele geschillen tussen beide partijen bepaald de rechter in de rechtbank binnen het gebied waar het bedrijf van de Verantwoordelijke is gevestigd.

 

Aldus door beide partijen overeengekomen en ondertekend:

 

[STATUTAIRE NAAM]                                 

 

Naam:

Functie:

Datum en plaats:

Handtekening:

 

Bijlagen:

  1. Overzicht te verwerken Persoonsgegevens.

  2. Datalek-procedure.

 

 

Afdrukken