Model van een bewerkersovereenkomst

advertisement
BEWERKERSOVEREENKOMST
PARTIJEN:
(i) (*), statutair gevestigd te (*), hierna te noemen “Verantwoordelijke”, in deze vertegenwoordigd
door [naam];
en
(ii) , de heer/mevrouw, de besloten /naamloze vennootschap/stichting/vereniging [statutaire naam],
statutair gevestigd te (plaatsnaam), hierna te noemen “Bewerker”, in deze vertegenwoordigd door
[naam];
Hierna tezamen: “Partijen”
KOMEN OVEREEN ALS VOLGT:
Artikel 1 Definities en bijlagen
1.1 In deze overeenkomst betekenen de volgende begrippen hetgeen hieronder is vermeld:
Opdracht: alle dienstverlening van Bewerker aan Verantwoordelijke en iedere andere vorm van
samenwerking waarbij Bewerker persoonsgegevens verwerkt waarvoor Verantwoordelijke
verantwoordelijk is in de zin van de Wet bescherming persoonsgegevens, “Wbp”, ongeacht het
rechtskarakter van de overeenkomst waaronder dat geschiedt;
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke
persoon, dat Bewerker bij of in verband met het uitvoeren van de Opdracht verkrijgt;
Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
Verantwoordelijke: de partij die doel en middelen van de verwerking van Persoonsgegevens vaststelt
en die op grond van de Wbp gehouden is nadere schriftelijke afspraken te maken met de Bewerker.
1.2 Tot deze overeenkomst behoren eveneens de volgende bijlagen:
Bijlage 1: overzicht van de Persoonsgegevens die partijen verwachten te verwerken, het gebruik (=
de wijze(n) van verwerking) van die gegevens, de doeleinden en de middelen van de verwerking(en)
en de gebruiks- en bewaartermijn(en) van de (verschillende soorten) Persoonsgegevens;
Bijlage 2: beschrijving van de door Bewerker getroffen beveiligingsmaatregelen.
Artikel 2 Onderwerp
2.1 Bewerker ontvangt op grond van de met Verantwoordelijke gemaakte afspraken en/of eerder
gesloten overeenkomst(en) Persoonsgegevens van Verantwoordelijke. In Bijlage 1 wordt specifieker
beschreven welke Persoonsgegevens en werkzaamheden onder de reikwijdte van onderhavige
overeenkomst vallen. Bewerker en Verantwoordelijke zullen handelen conform de bepalingen
voortvloeiend uit de overeenkomst en de Wbp.
1
2.2 Deze overeenkomst dient als onlosmakelijk deel te worden beschouwd van de eerder tussen
Partijen gemaakte afspraken.
2.2 Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens.
2.3 Bewerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
2.4 Bewerker verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de instructies
van Verantwoordelijke , in overeenstemming met de door Verantwoordelijke bepaalde doeleinden
en middelen en met inachtneming van de door Verantwoordelijke vastgestelde bewaartermijnen,
zoals beschreven in bijlage 1.
2.5 Bewerker zal onder geen omstandigheid de Persoonsgegevens verder verwerken dan hiervoor
bepaald. Bewerker zal de Persoonsgegevens niet voor eigen doeleinden of die van derden verwerken
noch de Persoonsgegevens aan derden verstrekken.
2.6 Verantwoordelijke garandeert dat zijn instructies aan Bewerker leiden tot een verwerking door
Bewerker die in overeenstemming zal zijn met de in artikel 2.1 genoemde wetgeving.
2.7 Deze overeenkomst treedt in werking na ondertekening door Partijen en wordt geacht te zijn
aangegaan voor de duur van de eerder tussen Partijen gemaakte afspraken en of gesloten
overeenkomst(en). Onderhavige bewerkersovereenkomst eindigt van rechtswege op het moment
dat de afspraken tussen Partijen eindigen, ongeacht de reden van deze beëindiging.
2.8 Deze bewerkersovereenkomst is niet opzegbaar.
Artikel 3 Beveiligingsmaatregelen
3.1 Bewerker neemt alle passende technische en organisatorische maatregelen om de
Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van
onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt
gehouden met de stand van de techniek.
3.2 Bewerker zorgt ervoor dat het personeel dat betrokken is bij de verwerking van
Persoonsgegevens, de in deze overeenkomst opgenomen verplichtingen van Bewerker kent en
verplicht is die na te komen.
3.3 Indien Bewerker tekortschiet in het nemen van passende technische en organisatorische
beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke
termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd diens
overige rechten uit deze overeenkomst en/of uit de wet, indien mogelijk deze maatregelen op kosten
van Bewerker uit te voeren of te laten voeren.
3.4 Bewerker zal Verantwoordelijke onmiddellijk, doch uiterlijk binnen 48 uur na constatering,
gedetailleerd op de hoogte stellen van ieder beveiligingsincident en datalek ter zake van de
Persoonsgegevens.
Artikel 4 Inschakeling derden
4.1 Bewerker is niet gerechtigd bij de verwerking van de Persoonsgegevens een derde in te
schakelen zonder voorafgaande schriftelijke toestemming van Verantwoordelijke. Indien
Verantwoordelijke zijn toestemming geeft, draagt Bewerker ervoor zorg dat de betreffende derde
tenminste dezelfde verplichtingen op zich neemt als opgenomen voor Bewerker in deze
overeenkomst.
2
4.2 Indien de derde die Bewerker wil inschakelen buiten de EU is gevestigd, garandeert Bewerker,
onverminderd het voorgaande lid, dat deze derde een passend niveau van bescherming en veiligheid
van persoonsgegevens waarborgt in de zin van de Wbp en overlegt Bewerker daarvan bewijs aan
Verantwoordelijke.
4.3 Toestemming als bedoeld in artikel 4.1 zal niet zonder redelijke grond worden geweigerd.
Verantwoordelijke kan aan die toestemming nadere voorwaarden verbinden die door Bewerker aan
de derde moeten worden opgelegd.
4.4 Bewerker blijft in de verhouding tussen partijen altijd aanspreekpunt en volledig
verantwoordelijk en aansprakelijk voor de naleving van de bepalingen uit deze overeenkomst.
Artikel 5 Geheimhoudingsplicht
5.1 Bewerker houdt de Persoonsgegevens geheim. Bewerker draagt ervoor zorg dat de
Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook
het personeel van Bewerker begrepen voor zover het niet noodzakelijk is dat zij bij de Opdracht
en/of deze overeenkomst kennis hoeft te nemen van de Persoonsgegevens. Dit gebod geldt niet
indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis
tot enige bekendmaking verplicht.
5.2 Bewerker zorgt dat zijn personeel gebonden is aan de in dit artikel opgenomen
geheimhoudingsplicht en dat Bewerker van die gebondenheid schriftelijk bewijs bezit. Op eerste
verzoek van Verantwoordelijke verstrekt Bewerker Verantwoordelijke dat bewijs.
5.3 Bewerker zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot
kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens
in strijd met de in dit artikel opgenomen geheimhoudingsplicht.
Artikel 6 Vernietiging en back-up
6.1 Bewerker stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, doch uiterlijk
binnen tien werkdagen na het einde van deze overeenkomst of het einde van de Opdracht, ter
beschikking aan Verantwoordelijke.
6.2 Bewerker is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en
onherroepelijk te verwijderen.
6.3 Bewerker is gehouden alle Persoonsgegevens die zij van Verantwoordelijke heeft ontvangen na
het einde van de onderhavige overeenkomst volledig te retourneren aan Verantwoordelijke, of –
indien Verantwoordelijke daartoe opdracht geeft- deze gegevens te vernietigen op een door
Verantwoordelijke aangegeven wijze, zonder een kopie van deze Persoonsgegevens te behouden.
6.4 Bewerker kan afwijken van het in beide voorgaande leden bepaalde, voor zover ten aanzien van
Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om
tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen .
Artikel 7 Recht van inzage, correctie en verzet van Betrokkene
7.1 Bewerker draagt ervoor zorg dat Betrokkene al zijn rechten uit de in artikel 2.1 opgenomen
regelgeving kan uitoefenen.
7.2 Bewerker zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, doch uiterlijk
binnen vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
3
a. het schriftelijk verstrekken van alle benodigde informatie die Verantwoordelijke nodig mocht
hebben;
b. het verbeteren, aanvullen, verwijderen of afschermen van Persoonsgegevens.
Artikel 8 Aansprakelijkheid
8.1 Indien Bewerker tekortschiet in de nakoming van de op haar rustende verplichtingen zoals deze
voortvloeien uit de Wbp, onderhavige overeenkomst en/of overige wet-regelgeving, komen alle
daaruit voortvloeiende gevolgen, schade, boetes, kosten, zulks in de ruimste zin des woords, volledig
voor rekening en risico van Bewerker.
8.2 Bewerker vrijwaart Verantwoordelijke onverkort en volledig voor alle schade veroorzaakt door
Bewerker of derden voortvloeiende uit het niet nakomen van deze overeenkomst alsmede verband
houdende met overtreding door Bewerker of derden van de Wbp.
Artikel 9 Controle
9.1 Verantwoordelijke heeft het recht de naleving van de bepalingen van deze
bewerkersovereenkomst ten hoogste eenmaal per jaar te controleren. Verantwoordelijke kan dat na
toestemming van Bewerker daartoe zelf doen of hij kan dat laten doen door een onafhankelijke
registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.
9.2 Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het
personeel van Bewerker dat de controle begeleidt. Deze laatste kosten zijn voor Bewerker. Indien uit
de controle blijkt dat Bewerker materieel tekortschiet in de nakoming van deze overeenkomst,
komen alle kosten voor rekening van Bewerker, onverminderd de overige rechten van
Verantwoordelijke. Indien Bewerker tekortschiet doch de tekortkomingen zijn niet materieel, zal
Bewerker die tekortkomingen op zo kort mogelijke termijn herstellen.
9.3 Een controle mag de bedrijfsactiviteiten van Bewerker niet onnodig verstoren.
9.4 Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen
aan Bewerker, voorzien van een omschrijving op welke onderdelen de controle ziet en het
controleproces.
9.5 Indien Bewerker zelf de naleving van deze overeenkomst laat controleren door een
onafhankelijke daartoe gecertificeerde partij, verstrekt Bewerker daarvan de eindresultaten aan
Verantwoordelijke.
Artikel 10 Overig
10.1 Wijzigingen van deze bewerkersovereenkomst zijn uitsluitend geldig indien deze tussen partijen
schriftelijk zijn overeengekomen.
10.2 Deze bewerkersovereenkomst duurt zolang de Opdracht duurt. De bepalingen van deze
overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor
zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie
bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent
geheimhouding en geschillen.
10.3 Bewerker is niet gerechtigd de nakoming van zijn verplichtingen uit deze overeenkomst op te
schorten, te verrekenen of afhankelijk te stellen van enige actie of verklaring van Verantwoordelijke.
Verzuim van Verantwoordelijke bij de Opdracht of vernietiging van de overeenkomst op basis
4
waarvan de opdracht wordt uitgevoerd, kan op geen enkele manier leiden tot het niet nakomen van
de verplichtingen van Bewerker onder deze bewerkersovereenkomst.
10.4 Deze bewerkersovereenkomst prevaleert boven alle overige overeenkomsten tussen
Verantwoordelijke en Bewerker.
10.5 Op deze bewerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
10.6 Partijen zullen hun geschillen verband houdende met deze overeenkomst uitsluitend
voorleggen aan de Nederlandse rechter. De bevoegde Nederlandse rechter is de rechter van het
arrondissement waarin Verantwoordelijke is gevestigd.
Aldus overeengekomen en in tweevoud opgemaakt te [plaats] op [datum]
(Verantwoordelijke)
(Bewerker)
…………………………………………
…………………………………………
[bedrijfsnaam]
[bedrijfsnaam]
Namens deze: [naam]
Namens deze: [naam]
5
Bijlage 1
Deze bijlage is onderdeel van de bewerkersovereenkomst tussen [Verantwoordelijke] en [Bewerker]
van [datum] en moet door partijen geparafeerd worden.
I. De Persoonsgegevens die partijen verwachten te verwerken:
o Naam, adres, woonplaats
o Telefoonnummer
o E-mailadres
o Geboortedatum
o Geslacht
o Beroep
o Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische
kenmerken)
o Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen
o Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)
o Gegevens met betrekking tot de nationaliteit, gezondheid, seksuele geaardheid godsdienst of
levensovertuiging, politieke voorkeuren, lidmaatschappen van vakverenigingen of BSN-nummers.
o Financiële data (bankrekeningnummer, creditcardnummer)
o Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit)
o Credit scoring
o Anders, namelijk…
II. Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de doeleinden van en de
middelen voor de verwerking:
[Beschrijving van wat er met de Persoonsgegevens wordt gedaan (bijvoorbeeld opslag in een
bestand, e -mailing etc.), wat het doel van de verwerking is (bijvoorbeeld marketing, klantenwerving,
uitvoering overeenkomst) en van welke middelen gebruik wordt gemaakt (bijvoorbeeld CRMsoftware).]
III. De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
Paraaf Verantwoordelijke: Paraaf Bewerker:
6
Bijlage 2
Deze bijlage maakt deel uit van de bewerkersovereenkomst tussen [Verantwoordelijke] en
[Bewerker] van [datum] en moet door partijen geparafeerd worden.
I. Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door Bewerker zijn
getroffen.
[Indien sprake is van een gedocumenteerd Informatiebeveiligingsbeleid kan (ook) worden volstaan
met een kopie van dit beleid.]
[Beschrijving van het informatiebeveiligingsbeleid, de beveiliging van online formulieren (websites,
landingspages, enquêtes), het gebruik van versleutelde bestanden, een beveiligd draadloos netwerk,
eventuele controle op ongeautoriseerde toegang, regels omtrent de opslag van data, het bestaan
van een applicatieregister, een reserve-infrastructuur, eventuele logbestanden en rapportages, het
toegangs- en autorisatiebeleid, een protocol datalekken etc.
* De beveiligingsmaatregelen die een organisatie dient te treffen, zijn mede afhankelijk van de mate
van gevoeligheid van de data. Logischerwijs geldt voor het vastleggen van naam, adres,
telefoonnummer en e-mailadres een milder beveiligingsregime dan wanneer gevoelige(re) gegevens
worden verwerkt.]
Paraaf Verantwoordelijke: Paraaf Bewerker:
7
8
Download
Random flashcards
fff

2 Cards Rick Jimenez

mij droom land

4 Cards Lisandro Kurasaki DLuffy

Test

2 Cards oauth2_google_0682e24b-4e3a-44be-9bca-59ad7a2e66a4

Create flashcards