Verwerkersovereenkomst

Hoofdkenmerken

De Verwerkersovereenkomst Voorbeeld is een uitgebreide sjabloon die speciaal is ontworpen om te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Hieronder staan enkele van de belangrijkste kenmerken:

• Volledige compliant met AVG: Deze sjabloon bevat alle nodige bepalingen om te voldoen aan de regelgeving zoals vastgelegd in de AVG.
• Gebruiksvriendelijk: De sjabloon is ontworpen om gemakkelijk aan te passen en in te vullen, waardoor het geschikt is voor een breed scala aan organisaties.
• Duidelijke structuur: De sjabloon is logisch opgebouwd, met duidelijk gedefinieerde secties voor elk aspect van de gegevensverwerkingsovereenkomst.
• Juridisch correct: De inhoud van de sjabloon is zorgvuldig opgesteld door juridische experts om ervoor te zorgen dat alle juridische vereisten worden nageleefd.
• Flexibiliteit: De sjabloon biedt ruimte voor aanpassingen, zodat u specifieke bepalingen kunt toevoegen die relevant zijn voor uw organisatie.

---

Toepassingsvoorbeelden

De Verwerkersovereenkomst Voorbeeld kan in diverse situaties worden gebruikt waar verwerking van persoonsgegevens plaatsvindt. Hieronder enkele voorbeelden:

• Uitbesteding van IT-diensten: Wanneer uw organisatie IT-diensten uitbesteed aan een derde partij, zoals cloud opslag diensten.
• Marketingbureaus: Wanneer u een marketingbureau inhuurt dat toegang heeft tot persoonsgegevens van uw klanten voor het uitvoeren van campagnes.
• HR-diensten: Bij het inhuren van een externe HR-dienstverlener die verwerking van persoonsgegevens van uw medewerkers uitvoert.
• Gezondheidszorg: Voor samenwerkingen met organisaties die gezondheidsgegevens verwerken, zoals zorgverzekeraars of diagnostische laboratoria.
• E-commerce: Wanneer u werkt met derden die bestellingen verwerken en klantgegevens beheren in een online winkelomgeving.

---

Inhoud van de sjabloon

De Verwerkersovereenkomst Voorbeeld sjabloon bevat verschillende cruciale secties om er zeker van te zijn dat alle aspecten van de gegevensverwerkingsovereenkomst worden gedekt:

• Inleiding: Definieert de betrokken partijen en biedt een korte omschrijving van de overeenkomst.
• Onderwerp en Duur: Beschrijft welke gegevens worden verwerkt en voor hoe lang de overeenkomst van kracht is.
• Rechten en Plichten van de Verwerkingsverantwoordelijke: Specificeert de verantwoordelijkheden van degene die gegevens verstrekt aan de verwerker.
• Rechten en Plichten van de Verwerker: Beschrijft de verplichtingen van de partij die de gegevens verwerkt, inclusief beveiligingsmaatregelen en aansprakelijkheid.
• Technische en Organisatorische Maatregelen: Detaillering van de beveiligingsmaatregelen die moeten worden genomen om de gegevens te beschermen.
• Data Protection Impact Assessment (DPIA): Instructies voor het uitvoeren van een DPIA indien nodig.
• Meldplicht Datalekken: Procedures voor het melden van datalekken aan de verwerkingsverantwoordelijke.
• Subverwerkers: Voorwaarden voor het inschakelen van subverwerkers door de verwerker.
• Beëindiging: Bepalingen over de beëindiging van de overeenkomst en de verwijdering of teruggave van de persoonsgegevens.
• Bijlagen: Ruimte voor bijlagen zoals een gedetailleerde lijst van verwerkte gegevens, specifieke beveiligingsmaatregelen, enz.

---

1. Wat zijn de essentiële onderdelen die in een verwerkersovereenkomst moeten staan?

Een verwerkersovereenkomst (Data Processing Agreement, DPA) is een essentieel document in het kader van de Algemene Verordening Gegevensbescherming (AVG). De volgende onderdelen zijn cruciaal:

• Doel en reikwijdte: Beschrijving van de specifieke verwerkingsactiviteiten, inclusief het doel van de verwerking.
• Aard en duur: Duidelijke omschrijving over de aard, duur en soort van de persoonsgegevens die zullen worden verwerkt.
• Rechten en plichten: Gedetailleerde beschrijving van de rechten en plichten van zowel de verwerkingsverantwoordelijke als de verwerker.
• Beveiliging: Specificaties van de technische en organisatorische beveiligingsmaatregelen die moeten worden genomen om de persoonsgegevens te beschermen.
• Sub-verwerkers: Voorwaarden waaronder de verwerker sub-verwerkers kan inschakelen, inclusief de verplichting om de verwerkingsverantwoordelijke op de hoogte te stellen en goedkeuringen te verkrijgen.
• Datalekken: Proces en verplichtingen met betrekking tot het melden van datalekken.
• Beëindiging: Regelingen over de behandeling van persoonsgegevens na beëindiging van de overeenkomst, zoals terugsturen of vernietigen ervan.

---

2. Hoe bepalen we of we een verwerker of verwerkingsverantwoordelijke zijn?

Het onderscheid tussen een verwerker en een verwerkingsverantwoordelijke is belangrijk en hangt af van de rol en verantwoordelijkheden:

• Verwerkingsverantwoordelijke: Degene die het doel (waarom) en de middelen (hoe) van de gegevensverwerking bepaalt. Dit is vaak de organisatie die de gegevens verzamelt en gebruikt voor haar eigen doeleinden.
• Verwerker: Degene die de persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke en volgens diens instructies. Een verwerker maakt geen eigen beslissingen over de verwerkingen, maar volgt de instructies van de verantwoordelijke.

Om zodoende positie te bepalen, kunt u de volgende vragen stellen:

• Wie beslist over het doel en de manier van verwerking?
• Wie bepaalt welke gegevens worden verzameld en hoe lang ze worden bewaard?
• Wie geeft instructies voor de verwerking?

---

3. Welke beveiligingsmaatregelen moeten we opnemen in de verwerkersovereenkomst?

De AVG vereist dat verwerkingsverantwoordelijken en verwerkers passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Voorbeelden van beveiligingsmaatregelen die u kunt opnemen in de verwerkersovereenkomst zijn:

• Encryptie: Versleuteling van persoonsgegevens tijdens opslag en overdracht.
• Toegangscontrole: Beperking van toegang tot persoonsgegevens tot geautoriseerd personeel alleen.
• Incidentbeheer: Procedure voor het melden, reageren op en beheren van beveiligingsincidenten en datalekken.
• Regelmatige evaluatie: Periodieke beoordeling en evaluatie van de effectiviteit van beveiligingsmaatregelen.
• ISO-certificering: Naleving van erkende normen en certificeringen zoals ISO 27001.

---

4. Hoe gaan we om met sub-verwerkers in de verwerkersovereenkomst?

Het gebruik van sub-verwerkers moet zorgvuldig worden gereguleerd om te voldoen aan de AVG. Overwegingen hierbij zijn:

• Toestemming: Voordat een verwerker een sub-verwerker inschakelt, moet toestemming worden verkregen van de verwerkingsverantwoordelijke.
• Contractuele eisen: Verwerkers moeten ervoor zorgen dat sub-verwerkers eveneens voldoen aan de verplichtingen die in de verwerkersovereenkomst zijn vastgelegd. Dit kan via een aparte sub-verwerkersovereenkomst.
• Datalekken: Sub-verwerkers moeten verplicht worden om datalekken direct te melden aan de hoofdverwerker, die op zijn beurt de verwerkingsverantwoordelijke informeert.

Het is vaak wenselijk om een lijst van goedgekeurde sub-verwerkers op te nemen in de overeenkomst en procedures voor het toevoegen van nieuwe sub-verwerkers te definiëren.

---

5. Wat zijn onze verplichtingen bij een datalek volgens de verwerkersovereenkomst?

De AVG stelt stringente eisen aan de omgang met datalekken. Hier zijn de belangrijkste verplichtingen:

• Meldplicht: De verwerker moet onverwijld elk ontdekt datalek melden aan de verwerkingsverantwoordelijke, bij voorkeur binnen 24 uur nadat het lek is vastgesteld.
• Informatievoorziening: De verwerker moet gedetailleerde informatie verstrekken over het datalek, zoals de aard van het lek, de betrokken persoonsgegevens en de genomen of te nemen maatregelen.
• Documentatie: Het datalek moet gedocumenteerd worden, inclusief de feiten omtrent het datalek, de gevolgen ervan en de getroffen herstelmaatregelen.
• Ondersteuning: De verwerker moet de verwerkingsverantwoordelijke ondersteunen bij het melden van het datalek aan de toezichthoudende autoriteit en betrokkenen, indien nodig.

---

6. Hoe kunnen we de naleving van de verwerkersovereenkomst door de verwerker monitoren?

Het monitoren van de naleving van de verwerkersovereenkomst is cruciaal voor het waarborgen van continue gegevensbescherming. Hier zijn enkele methoden:

• Audits: Het recht van de verwerkingsverantwoordelijke om periodieke audits uit te voeren bij de verwerker om naleving te controleren.
• Rapportages: Regelmatige rapportages door de verwerker over de verwerkingsactiviteiten en naleving van de beveiligingsmaatregelen.
• Certificeringen: Eis dat de verwerker beschikt over relevante beveiligingscertificaten zoals ISO 27001, die periodiek moeten worden herzien.
• Compliance meetings: Regelmatige bijeenkomsten tussen beide partijen om de naleving en eventuele verbeteringen te bespreken.

---

7. Wat gebeurt er met de verwerkte gegevens na beëindiging van de verwerkersovereenkomst?

Bij beëindiging van de verwerkersovereenkomst moeten specifieke afspraken gemaakt worden over de behandeling van de persoonsgegevens:

• Terugzending of vernietiging: De verwerker moet de persoonsgegevens terugzenden aan de verwerkingsverantwoordelijke of deze veilig vernietigen, afhankelijk van de afspraken in de overeenkomst.
• Certificaat van vernietiging: Als gekozen wordt voor vernietiging, moet de verwerker een certificaat of bewijs van vernietiging overleggen.
• Overgangsperiode: Eventuele afspraken over een overgangsperiode waarin de verwerking nog voortgezet mag worden om operationele redenen.
• Behoud van gegevens: Uitzonderingen waarbij de verwerker wettelijk verplicht is om bepaalde gegevens te behouden, dienen duidelijk omschreven te worden.

Het is essentieel dat deze afspraken vooraf duidelijk en ondubbelzinnig worden vastgelegd in de verwerkersovereenkomst.

---

Sjabloon

---

 

Deze Verwerkersovereenkomst (“Overeenkomst“) is gemaakt op [Datum] tussen:

[Naam Verantwoordelijke], gevestigd aan [Adres Verantwoordelijke], ingeschreven in het Handelsregister onder nummer [KvK-nummer Verantwoordelijke] (hierna te noemen “Verantwoordelijke“),

en

[Naam Verwerker], gevestigd aan [Adres Verwerker], ingeschreven in het Handelsregister onder nummer [KvK-nummer Verwerker] (hierna te noemen “Verwerker“).

In deze Overeenkomst hebben de volgende termen de hieronder weergegeven betekenis, tenzij anders aangegeven:

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• Verwerken: elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens.
• Data Subject: de persoon op wie de Persoonsgegevens betrekking hebben.

De Verwerker verbindt zich ertoe om in opdracht van de Verantwoordelijke de volgende Persoonsgegevens te verwerken: [Beschrijving van de gegevens en doeleinden van de verwerking].

Deze Overeenkomst treedt in werking op [Ingangsdatum] en heeft een looptijd tot [Duur overeenkomst]. Beëindiging van de Overeenkomst ontslaat de Verwerker niet van zijn verplichtingen uit hoofde van deze Overeenkomst met betrekking tot de gegevensverwerking.

De Verwerker zal:

• De Persoonsgegevens uitsluitend verwerken in opdracht van de Verantwoordelijke en volgens diens schriftelijke instructies.
• De Persoonsgegevens geheim houden en ervoor zorgen dat personen die onder zijn gezag handelen hetzelfde doen.
• Passende technische en organisatorische maatregelen treffen om de Persoonsgegevens te beveiligen.
• De Verantwoordelijke assisteren bij het vervullen van diens verplichtingen ten aanzien van de rechten van Data Subjects.

De Verwerker zal de volgende beveiligingsmaatregelen implementeren: [Beschrijving van beveiligingsmaatregelen].

De Verwerker zal de Verantwoordelijke informeren over elk datalek binnen [Aantal uren] uur na ontdekking. De melding dient de aard van het datalek, de getroffen Persoonsgegevens, de waarschijnlijkheid van verdere gevolgen en de genomen maatregelen te bevatten.

De Verwerker mag geen sub-verwerkers inschakelen zonder de voorafgaande schriftelijke toestemming van de Verantwoordelijke. Indien toestemming wordt verleend, blijft de Verwerker volledig verantwoordelijk voor de naleving van deze Overeenkomst door de sub-verwerker.

Op deze Overeenkomst is het Nederlands recht van toepassing. Geschillen die voortvloeien uit deze Overeenkomst zullen worden voorgelegd aan de bevoegde rechter te [Plaats].

Ondertekend te [Plaats] op [Datum]:

Namens de Verantwoordelijke:

Handtekening: _______________________
Naam: [Naam verantwoordelijke]
Functie: [Functie verantwoordelijke]

Namens de Verwerker:

Handtekening: _______________________
Naam: [Naam verwerker]
Functie: [Functie verwerker]

Voorbeeld

---

 

Partijen:

1. Verantwoordelijke: [Naam bedrijf], gevestigd te [Adres bedrijf], rechtsgeldig vertegenwoordigd door [Naam vertegenwoordiger], hierna te noemen “Verantwoordelijke”, en

2. Verwerker: [Naam bedrijf], gevestigd te [Adres bedrijf], rechtsgeldig vertegenwoordigd door [Naam vertegenwoordiger], hierna te noemen “Verwerker”.

1.1 Deze Verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens door Verwerker ten behoeve van Verantwoordelijke zoals beschreven in Bijlage 1.

1.2 De verwerker zal de persoonsgegevens uitsluitend verwerken in opdracht van Verantwoordelijke, conform de schriftelijke instructies zoals uiteengezet in deze overeenkomst.

2.1 Deze overeenkomst treedt in werking op [Startdatum] en blijft van kracht voor de duur van de samenwerking tussen partijen, of totdat de overeenkomst wordt beëindigd door een van de partijen zoals beschreven in artikel 10.

• 3.1 De verwerker zal de persoonsgegevens uitsluitend verwerken in overeenstemming met de toepasselijke wet- en regelgeving.
• 3.2 De verwerker zal passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking.
• 3.3 De verwerker zal de persoonsgegevens niet doorgeven aan derden, tenzij schriftelijk overeengekomen met de Verantwoordelijke of wanneer dit verplicht is krachtens wetgeving.

• 4.1 De verwerker zal Verantwoordelijke onmiddellijk informeren in geval van een inbreuk op de beveiliging die leidt tot verlies, onrechtmatige verwerking of openbaarmaking van persoonsgegevens.
• 4.2 De verwerker zal alle redelijke maatregelen nemen om de gevolgen van de inbreuk te beperken en verdere inbreuken te voorkomen.

5.1 De verwerker verplicht zich tot geheimhouding van de persoonsgegevens en verplicht alle personen die bij de verwerking van persoonsgegevens betrokken zijn tot dezelfde geheimhouding.

• 6.1 De verwerker mag zonder voorafgaande schriftelijke toestemming van Verantwoordelijke geen sub-verwerkers inschakelen.
• 6.2 Indien toestemming wordt gegeven, zal de verwerker ervoor zorgen dat deze sub-verwerker voldoet aan dezelfde verplichtingen als de verwerker onder deze overeenkomst.

• 7.1 De verwerker zal, voor zover mogelijk, medewerking verlenen aan Verantwoordelijke om te voldoen aan diens verplichtingen onder de AVG, inclusief het mogelijk maken van verzoeken om inzage, wijziging, of verwijdering van persoonsgegevens.

• 8.1 Verantwoordelijke heeft het recht om, na redelijke kennisgeving, audits uit te voeren of te laten uitvoeren door een onafhankelijke derde om de naleving van deze overeenkomst te verifiëren.
• 8.2 Verwerker verstrekt alle informatie die nodig is om de naleving van deze overeenkomst aan te tonen en verleent hierbij toegang tot zijn systemen en documenten.

9.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze overeenkomst is beperkt tot het bedrag dat door de verzekeraar van Verwerker wordt uitgekeerd, tenzij de schade het gevolg is van opzet of grove nalatigheid.

• 10.1 Verantwoordelijke kan deze overeenkomst op ieder moment met een opzegtermijn van [Aantal dagen] dagen schriftelijk beëindigen.
• 10.2 Bij beëindiging van deze overeenkomst zal Verwerker alle persoonsgegevens, naar keuze van Verantwoordelijke, teruggeven of vernietigen.

Ondertekening

Voor akkoord,

Verantwoordelijke: [Naam bedrijf]
Handtekening: ____________________
Naam: ___________________________
Datum: __________________________

Verwerker: [Naam bedrijf]
Handtekening: ____________________
Naam: ___________________________
Datum: __________________________