0641669615 11 reviews

Nederlands

English

Home

Verwerkersovereenkomst

Onder vind je de tekst van m’n standaard verwerkersovereenkomst. Goed om te weten: rechten kunnen alleen worden ontleend aan een schriftelijke versie, die is ondertekend door beide partijen middels de handtekening van een tekeningsbevoegd persoon, en op een printversie (pdf). Handmatige aanpassingen in het document of op de ondertekende versie zijn niet geldig.

Standaard verwerwerkersovereenkomst

De ondergetekenden

(1) <Bedrijf>, gevestigd te <Plaats>, ten deze rechtsgeldig vertegenwoordigd door <naam> hierna te noemen: ‘Verwerkingsverantwoordelijke’;

en

(2) Michiel Postma, marketing freelancer gevestigd te Haarlem, ten deze rechtsgeldig vertegenwoordigd door Michiel Postma, hierna te noemen: ‘Verwerker’;

Verwerkingsverantwoordelijke (Opdrachtgever) en Verwerker (Opdrachtnemer) worden hierin gezamenlijk ook aangeduid als “Partijen” of individueel als “Partij”;

Nemen het volgende in aanmerking

(A) Verwerkingsverantwoordelijke heeft met Verwerker een dienstverleningsovereenkomst gesloten, verder te noemen: Overeenkomst. Op basis van deze Overeenkomst voert Verwerker <invullen activiteiten> uit met als doel <doel omschrijven>. Ter uitvoering van de Overeenkomst zal Verwerker persoonsgegevens verwerken ten behoeve van en in opdracht van Verwerkingsverantwoordelijke;

(B) Partijen wensen in deze Verwerkersovereenkomst hun afspraken over het verwerken van de persoonsgegevens door Verwerker in opdracht van Verwerkingsverantwoordelijke vast te leggen in overeenstemming met het Toepasselijke Recht;

En verklaren het volgende te zijn overeengekomen

Definities

  • Bijlage: aanhangsel bij deze Verwerkersovereenkomst, die na door beide Partijen ondertekend te zijn, deel uitmaakt van deze Verwerkersovereenkomst;
  • Datalek(ken): elk incident, resulterend in (mogelijke) onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaring van of toegang tot de persoonsgegevens verzonden, opgeslagen of anderszins verwerkt, ongeacht of het incident plaatsvond ter zake van de bewerkingsfaciliteiten of elders;
  • Verwerkersovereenkomst: deze Verwerkersovereenkomst die integraal deel uitmaakt van de algemene voorwaarden en onderdeel vormt van de Overeenkomst inclusief overwegingen en Bijlage(n), alsmede enige wijziging, vervanging, update of andere latere versies daarvan;
  • Medewerkers: de door Verwerker voor de uitvoering van deze Verwerkersovereenkomst in te schakelen werknemers en andere (hulp)personen, die onder haar verantwoordelijkheid vallen;
  • Toepasselijke Recht: de toepasselijke wet- of regelgeving, de Algemene Verordening Gegevensbescherming (EU) 2016/67 die per 25 mei 2018 van toepassing is of enige (andere) richtsnoeren, beleidsregels, instructies of aanbevelingen van enige bevoegde overheidsinstantie, van toepassing op de verwerking van de persoonsgegevens, daaronder begrepen enige wijzigingen, vervangingen, updates of andere latere versies daarvan.

Voorwerp van deze Verwerkersovereenkomst

In het kader van de uitvoering van de Overeenkomst en de Bijlagen daarbij is Partij 1 aan te merken als de Verwerkingsverantwoordelijke voor de verwerking van de persoonsgegevens uit hoofde van het Toepasselijke Recht, en Partij 2 als de Verwerker van de persoonsgegevens ten behoeve van Partij 1.

Deze Verwerkersovereenkomst vormt een onderdeel van de algemene voorwaarden en vervangt alle eventuele eerder gemaakte (mondelinge of schriftelijke) afspraken tussen Verwerkingsverantwoordelijke en Verwerker ter zake van de verwerking van de persoonsgegevens.

Bij enige tegenspraak tussen de bepalingen uit deze Verwerkersovereenkomst, de algemene voorwaarden en de Overeenkomst, prevaleren de bepalingen uit de algemene voorwaarden, tenzij uitdrukkelijk in deze Verwerkersovereenkomst anders is bepaald.
Verwerker zal de persoonsgegevens uitsluitend verwerken in opdracht van Verwerkingsverantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over de persoonsgegevens die door haar worden verwerkt. Verwerker zal de persoonsgegevens niet ten eigen nutte, ten nutte van derden, of voor andere doeleinden verwerken, behoudens op haar rustende afwijkende wettelijke verplichtingen onder het Toepasselijke Recht.

Verwerker garandeert dat zij de persoonsgegevens zal verwerken in overeenstemming met het Toepasselijke Recht. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar haar mening enige instructie inbreuk oplevert op het Toepasselijke Recht.

Indien Verwerker in strijd met deze Verwerkersovereenkomst en/of het Toepasselijke Recht doeleinden en middelen van de verwerking van de persoonsgegevens bepaalt, wordt Verwerker voor die verwerkingen als de Verwerkingsverantwoordelijke in de zin van het Toepasselijke Recht beschouwd.

Verwerking van de persoonsgegevens

Om de Overeenkomst en de Bijlagen uit te voeren, verwerkt de Verwerker de persoonsgegevens zoals beschreven in Bijlage 1. Met inachtneming van de aard van de verwerking en de beschikbare informatie zal de Verwerker de Verwerkingsverantwoordelijke bijstaan bij het nakomen van de verplichtingen onder het Toepasselijke Recht. Dit omvat met name verplichtingen met betrekking tot de beveiliging van persoonsgegevens, meldingsverplichtingen van datalekken, verplichtingen met betrekking tot gegevensbeschermingeffectbeoordeling (DPIA), evenals het uitvoeren van een voorafgaande raadpleging door bevoegde overheidsinstanties.

De Verwerker zal de persoonsgegevens alleen openbaren aan Medewerkers die deze gegevens nodig hebben voor de uitvoering van hun werkzaamheden in overeenstemming met de Overeenkomst en de Bijlagen. Deze informatie moet vertrouwelijk blijven, behalve in het geval van afwijkende wettelijke verplichtingen onder het Toepasselijke Recht. In Bijlage 1 staat vermeld welke Medewerkers toegang mogen hebben tot welke persoonsgegevens. Het is de Verwerker uitdrukkelijk verboden andere personen dan omschreven in Bijlage 1 toegang te verlenen tot de persoonsgegevens.

Subverwerkers

De Verwerker geeft in Bijlage 1 aan welke derde partijen (subverwerkers) worden ingeschakeld bij de verwerking van persoonsgegevens.

Opdrachtgever verleent toestemming aan de Verwerker om andere subverwerkers in te schakelen voor de uitvoering van verplichtingen voortvloeiend uit de Overeenkomst. De Verwerker informeert de Opdrachtgever over wijzigingen in de ingeschakelde derde partijen. De Opdrachtgever heeft het recht bezwaar te maken tegen deze wijzigingen. De Verwerker zorgt ervoor dat de ingeschakelde derde partijen zich committeren aan hetzelfde beveiligingsniveau als waaraan de Verwerker gebonden is jegens de Opdrachtgever op grond van deze Verwerkersovereenkomst.

Betrouwbaarheidseisen en Beveiliging

De Verwerker zal ten minste de betrouwbaarheidseisen uit Bijlage 2 in acht nemen en de in Bijlage 2 uitgewerkte technische en organisatorische beveiligingsmaatregelen implementeren. Deze maatregelen moeten zorgen voor een passend beschermingsniveau, rekening houdend met de verplichtingen van de Verwerkingsverantwoordelijke met betrekking tot verzoeken van betrokkenen die hun rechten uitoefenen. Dit moet in overeenstemming zijn met het Toepasselijke Recht, met aandacht voor de stand der techniek, de kosten van implementatie, en de aard, omvang, context en doeleinden van de verwerking, evenals de waarschijnlijkheid en ernst van verschillende risico’s voor de rechten en vrijheden van personen. Deze maatregelen omvatten, indien van toepassing:

  • Het vermogen om permanent de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingsdiensten te garanderen;
  • Passende preventieve maatregelen, zoals intrusion detection, toekomstbestendige versleuteling, en de mogelijkheid om de beschikbaarheid van persoonsgegevens tijdig te herstellen;
  • Een proces voor regelmatige testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische beveiligingsmaatregelen om de veiligheid van de verwerking van persoonsgegevens te waarborgen. De Verwerker zal regelmatig de getroffen technische en organisatorische beveiligingsmaatregelen evalueren en indien nodig bijwerken.

Melden van datalekken

De verwerker handhaaft procedures gericht op het detecteren van alle mogelijke datalekken en het ondernemen van actie, inclusief procedures voor correctieve maatregelen en ter voorkoming van herhaling van datalekken. Deze procedures zijn zodanig opgezet dat zowel de verwerkingsverantwoordelijke als de verwerker kan voldoen aan de meldplichten met betrekking tot datalekken volgens het toepasselijke recht.

Zodra de verwerker een datalek detecteert of redelijkerwijs vermoedt dat zich een datalek heeft voorgedaan of kan voordoen, informeert de verwerker de verwerkingsverantwoordelijke onmiddellijk en uiterlijk binnen 24 uur na detectie of vermoeden van een datalek. Deze melding wordt gedaan via de website en telefonisch, zoals vermeld in bijlage 3.

Bij een datalek neemt de verwerker zo snel mogelijk passende herstelmaatregelen. Daarnaast voorziet de verwerker de verwerkingsverantwoordelijke van alle door deze gevraagde relevante informatie met betrekking tot het datalek. Deze informatie omvat minimaal:

  • Een beschrijving van de aard en omvang van het datalek, een inschatting van het aantal mogelijk getroffen betrokkenen en een indicatie van de aard van de getroffen persoonsgegevens en of deze persoonsgegevens versleuteld waren of anderszins beveiligd of ontoegankelijk waren gemaakt;
  • Een beschrijving van de getroffen en te treffen correctieve maatregelen, geplande maatregelen en aanbevolen maatregelen ter beperking van de schade, inclusief een noodplan en de verwachte oplossings- en work-aroundtijd;
  • Informatie over welke derden, zoals overheidsinstanties en (sociale) media, bekend zijn of kunnen zijn met het datalek;
    De contactgegevens van de bevoegde vertegenwoordiger(s) van de verwerker bij wie de verwerkingsverantwoordelijke onmiddellijke en regelmatige updates kan verkrijgen over de status van het datalek.
  • De verwerker zal redelijke assistentie verlenen aan de verwerkingsverantwoordelijke en alle noodzakelijke of door de verwerkingsverantwoordelijke gevraagde informatie delen, zodat de verwerkingsverantwoordelijke de (mogelijk) getroffen betrokkenen en/of de relevante overheidsinstanties of toezichthouders die bevoegd zijn te oordelen over de verwerking van persoonsgegevens, tijdig kan informeren over het datalek en in staat wordt gesteld om naleving van de meldplichten inzake datalekken volgens het toepasselijke recht aan te tonen.

Auditrecht van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is gerechtigd, op eigen kosten, de maatregelen en de naleving van de op de verwerker rustende verplichtingen te controleren, mits de verwerkingsverantwoordelijke de verwerker tien (10) werkdagen van tevoren op de hoogte stelt en de verwerkingsverantwoordelijke tijdens de inspectie redelijke aanwijzingen van de verwerker opvolgt, en de inspectie de bedrijfsvoering van de verwerker niet onredelijk verstoort.

De verwerker verstrekt de verwerkingsverantwoordelijke alle benodigde informatie om aan te tonen dat wordt voldaan aan de naleving van het toepasselijke recht. De verwerkingsverantwoordelijke kan derde partijen (experts) inschakelen voor de uitoefening van haar auditrechten. Het uitvoeren van een audit door de verwerkingsverantwoordelijke of namens de verwerkingsverantwoordelijke zal niet leiden tot vertraging van de werkzaamheden van de verwerker of een van haar onderaannemers. Indien een dergelijke vertraging dreigt, treden de partijen in overleg.

Doorgifte van persoonsgegevens

De verwerker zal geen persoonsgegevens – anders dan omschreven in bijlage 1 – overbrengen naar, toegankelijk maken vanuit, of anderszins verwerken in een land buiten de Europese Economische Ruimte (EER) of waarmee afspraken zijn die een passend beschermingsniveau bieden.

Verzoeken van betrokkenen

De verwerker zal haar volledige medewerking verlenen zodat de verwerkingsverantwoordelijke kan voldoen aan haar wettelijke verplichtingen wanneer een betrokkene zijn rechten uitoefent op grond van het toepasselijke recht.

Zodra de verwerker een verzoek van een betrokkene ontvangt, zoals bedoeld in het vorige lid, informeert de verwerker de verwerkingsverantwoordelijke onmiddellijk hierover en overhandigt daarbij een afschrift van alle ter zake ontvangen correspondentie aan de verwerkingsverantwoordelijke.

Verzoeken van overheidsinstanties

Indien de verwerker een verzoek van een overheidsinstantie ontvangt om (inzage in) persoonsgegevens te verschaffen, informeert de verwerker de verwerkingsverantwoordelijke onmiddellijk schriftelijk hierover voordat (inzage in) persoonsgegevens worden (wordt) verschaft, en overhandigt daarbij een afschrift van alle ter zake ontvangen correspondentie aan de verwerkingsverantwoordelijke. De verwerker zal alleen aan een dergelijk verzoek haar medewerking verlenen als zij daartoe uit hoofde van het toepasselijke recht verplicht is.

Kosten

De kosten voor de uitvoering van deze verwerkersovereenkomst zijn niet inbegrepen in de prijzen en vergoedingen zoals overeengekomen in de overeenkomst. De prijzen die in rekening worden gebracht voor eventuele werkzaamheden die vallen onder de uitvoering van ondersteuning in het kader van deze verwerkersovereenkomst, zijn vermeld als bijlage.

Aansprakelijkheid en vrijwaring

De aansprakelijkheid van de verwerker voor schade voortvloeiend uit of verband houdend met het niet-nakomen van deze verwerkersovereenkomst, dan wel handelen in strijd met het toepasselijke recht, is beperkt overeenkomstig hetgeen bepaald in artikel 14 van de algemene voorwaarden, tenzij sprake is van opzet of bewuste roekeloosheid.

Duur en beëindiging

Deze overeenkomst heeft een looptijd gelijk aan de overeenkomst en kan niet tussentijds worden beëindigd. Artikelen die gezien hun aard, met name in het kader van de afwikkeling van de verwerkersovereenkomst, bestemd zijn om na het einde van de verwerkersovereenkomst van toepassing te blijven, blijven onverminderd van kracht na beëindiging van de verwerkersovereenkomst.

Wijziging van de verwerkersovereenkomst is slechts mogelijk door schriftelijke overeenstemming van de partijen. Voor zover niet anders voortvloeit uit het toepasselijke recht, zorgt de verwerker ervoor dat, indien deze verwerkersovereenkomst eindigt, de persoonsgegevens onmiddellijk op een door de verwerkingsverantwoordelijke geschikt bevonden wijze worden geretourneerd of verstrekt aan de verwerkingsverantwoordelijke of aan een door de verwerkingsverantwoordelijke aangewezen vervangende dienstverlener, dan wel worden vernietigd, indien de verwerkingsverantwoordelijke daar schriftelijk om verzoekt.

Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Aldus overeengekomen en getekend:

  • Verwerkingsverantwoordelijke: Michiel Postma
  • Functie: Marketing freelancer
  • Datum: [datum] (in te vullen)

Bijlagen

Bij het opstellen van de overeenkomst worden de volgende bijlagen toegevoegd:

  • Bijlage 1. Overzicht van de Diensten en gerelateerde verwerkingsactiviteiten
  • Bijlage 2. Betrouwbaarheidseisen en beveiligingsmaatregelen
  • Bijlage 3. Procedure datalekken
  • Bijlage 4. Kosten ondersteuning
Vragen? Stuur een mail

© 2024 Michiel Postma