Dit is een voorbeeld van onze standaard verwerkersovereenkomst. Indien deze overeenkomst van toepassing is op de aan u geleverde dienstverlening zullen wij er voor zorgen dat wij deze samen verder opstellen en invullen. Eenvoudig, transparant en helder, daar staan wij voor.

Voor een aantal diensten die ConanDoyle levert kan het noodzakelijk zijn een verwerkersovereenkomst af te sluiten. Indien dat het geval is wordt gebruik gemaakt van onderstaande overeenkomst.

VERWERKERSOVEREENKOMST
(voor Opdrachtgevers)

 

Partijen:

  1. OPDRACHTGEVER, statutair gevestigd aan ADRES OPDRACHTGEVER, in deze rechtsgeldig vertegenwoordigd door NAAM in zijn/haar hoedanigheid van FUNCTIE, hierna te noemen: ‘Opdrachtgever’,

    en

     
  2. OPDRACHTNEMER, statutair gevestigd aan ADRES OPDRACHTNEMER, te dezen rechtsgeldig vertegenwoordigd door NAAM, in hoedanigheid van FUNCTIE, hierna te noemen: ‘Opdrachtnemer’,

 

nemen in aanmerking dat  

  1. de onderhavige overeenkomst een verwerkersovereenkomst is als bedoeld in artikel 28 lid 3 van de Algemene verordening gegevensbescherming (hierna: AVG);
  2. de onderhavige overeenkomst onderdeel is van de Overeenkomst  <NAAM OVEREENKOMST INVULLEN> met kenmerk  <KENMERK> hierna: ‘de Hoofdovereenkomst’);
  3. Opdrachtnemer in voorkomende gevallen persoonsgegevens verwerkt in opdracht van Opdrachtgever in het kader van de uitvoering van de Hoofdovereenkomst en Opdrachtnemer een ‘Verwerker’ is als bedoeld in de AVG;
  4. de AVG aan Opdrachtgever de plicht oplegt om ervoor zorg te dragen dat Opdrachtnemer voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens en Opdrachtgever een Verwerkingsverantwoordelijke is als bedoeld in de AVG;

en komen als volgt overeen:

1     Definitie  

1.1     De begripsbepalingen hebben wij netjes op een rijtje gezet in het overzicht Begripsbepalingen en worden gebruikt in al onze voorwaarden, contracten en deze Verwerkersovereenkomst.

2    Ingangsdatum en duur

2.1     Deze overeenkomst gaat in op het moment van ondertekening en duurt voort zolang Opdrachtnemer als Verwerker van persoonsgegevens optreedt in het kader van de door Opdrachtgever ter beschikking gestelde persoonsgegevens.    

3    Verplichtingen Opdrachtnemer

3.1    Opdrachtnemer beveiligt de in opdracht van Opdrachtgever te verwerken persoonsgegevens met de in Bijlage 1 beschreven beveiligingsmaatregelen.

3.2    Opdrachtnemer heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens komt nimmer bij Opdrachtnemer te berusten. Opdrachtnemer verwerkt in opdracht van Opdrachtgever de in Bijlage 2 beschreven Persoonsgegevens van Opdrachtgever.

3.3    Opdrachtnemer verwerkt de Persoonsgegevens zorgvuldig en in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van Persoonsgegevens. Opdrachtnemer verwerkt Persoonsgegevens slechts in opdracht van Opdrachtgever en zal alle redelijke instructies van Opdrachtgever dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.

3.4    Opdrachtnemer zal bij het ontdekken van beveiligingsinbreuken of datalekken deze binnen 72 uur na ontdekking melden aan Opdrachtgever. Opdrachtnemer geeft daarbij aan wat de aard van de inbreuk of lek is en welke maatregelen hij heeft getroffen of zal treffen om de gevolgen van de inbreuk of lek te beperken en indien mogelijk te verhelpen.  

3.5    Opdrachtnemer houdt een overzicht bij van alle beveiligingsinbreuken of datalekken en overlegt deze aan Opdrachtgever op verzoek van laatstgenoemde.

3.6    Opdrachtnemer zal te allen tijde op eerste verzoek van Opdrachtgever alle van Opdrachtgever afkomstige persoonsgegevens met betrekking tot de Hoofdovereenkomst ter hand stellen. De door Opdrachtnemer in opdracht van Opdrachtgever verwerkte persoonsgegevens zullen door Opdrachtnemer bewaard en beveiligd worden voor zover noodzakelijk voor de uitvoering van de Hoofdovereenkomst of de wet dat vereist.  

3.7    Opdrachtnemer zal alle van Opdrachtgever met betrekking tot de Hoofdovereenkomst verkregen persoonsgegevens, in welke vorm dan ook, op een nader te bepalen wijze vernietigen op uitdrukkelijk verzoek van Opdrachtgever hiertoe. Deze vernietiging moet binnen een door Opdrachtgever gestelde termijn uitgevoerd worden en hiervan maakt Opdrachtnemer een verslag. Persoonsgegevens die Opdrachtnemer nodig heeft voor het uitvoeren van de overeenkomst of de wet dat vereist, zullen eerst na afloop van de overeenkomst of de wettelijk voorgeschreven termijn vernietigd worden op het moment dat deze gegevens niet langer noodzakelijk zijn.

3.8    Opdrachtnemer stelt Opdrachtgever te allen tijde in staat binnen een redelijke termijn na ontvangst van het verzoek van Opdrachtgever te voldoen aan de verplichtingen op grond van de Avg, meer in het bijzonder de rechten van degene op wie een persoonsgegeven betrekking heeft, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. De daarmee samenhangende kosten zullen in redelijkheid door Opdrachtgever worden betaald.        

3.9    Als Opdrachtnemer voor het verwerken van de persoonsgegevens van Opdrachtgever gebruik maakt van een sub-Verwerker, dan zal Opdrachtnemer zelf een verwerkersovereenkomst sluiten met deze sub-Verwerker.      

4    Geheimhoudingsplicht

4.1    Opdrachtnemer staat er voor in dat personen in dienst van, dan wel werkzaam ten behoeve van Opdrachtnemer, verplicht zijn tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen. De medewerkers van Opdrachtnemer hebben hiertoe een geheimhoudingsverklaring in de arbeidsovereenkomst ondertekend.

4.2     Indien Opdrachtnemer op grond van een wettelijke verplichting gegevens dient te verstrekken, zal Opdrachtnemer de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Opdrachtnemer Opdrachtgever onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.

5    Beveiligingsmaatregelen

5.1    Opdrachtnemer is verplicht Opdrachtgever of controlerende instantie in opdracht van Opdrachtgever toe te laten en verplicht medewerking te verlenen zodat een controle op naleving uitgevoerd kan worden, nadat daarover vooraf overleg heeft plaatsgevonden en partijen daartoe een afspraak hebben gemaakt.  
Opdrachtgever, of de door Opdrachtgever ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

5.2    Opdrachtgever zal de in artikel 5.1 genoemde controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Opdrachtnemer.

6    Wijziging overeenkomst

6.1     Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

7    Aansprakelijkheid en vrijwaring

7.1    Opdrachtnemer is aansprakelijk voor schade of nadeel voortvloeiende uit het wettelijk toerekenbaar niet-nakomen van of in strijd handelen met het in deze overeenkomst bepaalde, voor zover ontstaan door zijn werkzaamheid, met toepassing van het bepaalde omtrent aansprakelijkheid uit de Hoofdovereenkomst. Opdrachtgever vrijwaart Opdrachtnemer voor schade of nadeel voortvloeiende uit de door zijn werkzaamheid ontstane inbreuken op de persoonlijke levenssfeer van degene op wie een persoonsgegeven betrekking heeft voor zover de aansprakelijkheid uitstijgt boven de aansprakelijkheidsgrens uit de Hoofdovereenkomst.  

8    Toepasselijk recht

8.1    Op deze overeenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.

 

Aldus overeengekomen en in tweevoud opgesteld en ondertekend,

             Opdrachtgever,                                                                    Opdrachtnemer,

             NAAM                                                                                   NAAM

 

 

            ____________________________                                       ____________________________

 

           Plaats: PLAATS                                                                    Plaats: Leusden

           Datum: <datum>                                                                  Datum: <datum>

 

 


Bijlage 1: Omschrijving van de door Opdrachtnemer genomen beveiligingsmaatregelen om persoonsgegevens van Opdrachtgever te beschermen.


De door Opdrachtnemer getroffen passende technische en organisatorische beveiligingsmaatregelen* ter bescherming van de 
door Opdrachtgever aangeleverde persoonsgegevens:
a.    Hantering informatiebeveiligingsbeleid conform de ISO 27001 standaard;
b.    Bij voorkeur certificering van systemen conform de ISO 27001 en ISAE3402 standaard;
c.    Periodieke externe controles zoals audits of TPM’s (bijv. ISAE3402  SOC type II);
d.    Een ISAE 3402 II Assurance rapport met conclusie over de bevindingen van de auditor;
e.    Dan wel vergelijkbare eigen controles of eigen mededelingen.

Uit bovenstaande blijkt of kan afgeleid worden dat de beveiliging voldoet. Opdrachtnemer heeft een 
gegevensbeschermingseffectbeoordeling, een privacy impact assessment, op de werkzaamheden ten behoeve van 
Opdrachtgever verricht of laten verrichten. 

 
 
* ten aanzien van de genoemde certificering geldt dat eventuele leveranciers van Opdrachtnemer per datum 
inwerkingtreding van de Avg zal zorgdragen voor certificering of garandeert dat de processen en maatregelen voldoen aan 
de Avg. Thans zijn de beveiligingsmaatregelen reeds conform het normenkader van de certificering ingericht.      
 


Bijlage 2: Omschrijving van de ten behoeve van Opdrachtgever verwerkte persoonsgegevens en de te verrichten werkzaamheden.


Aard en doel van de verwerking door Opdrachtnemer: 
 
Het leveren van beveiligingsdienstverlening voor de OPDRACHTGEVER, waaronder:

-    INVULLEN AF TE NEMEN DIENSTEN

Opdrachtnemer verwerkt de volgende persoonsgegevens voor Opdrachtgever:

<Beschrijf welke persoonsgegevens wij van Opdrachtgever krijgen om de hierboven genoemde  
werkzaamheden voor ons uit te kunnen voeren. Maak een keuze uit de op de volgende bladzijde genoemde 
persoonsgegevens door in de kolommen er achter een vinkje te plaatsen en vul die desnoods aan als een 
persoonsgegeven ontbreekt>
.
.


Categorieën van personen van de door Opdrachtgever aan Opdrachtnemer verstrekte Persoonsgegevens: 
 
<Geef hier aan voor welke categorieën van personen Persoonsgegevens van Opdrachtgever door ons worden 
verwerkt, zoals werknemers van Opdrachtgever, bezoekers, opdrachtnemers van Opdrachtgever, andere 
leveranciers. Als er andere categorieën van personen zijn, dan kun op de volgende bladzijde nog een kolom 
toevoegen>   
.
.
.

 


Door OPDRACHTNEMER te verwerken gegevens voor Opdrachtgever

<Hier wordt het verwerkingsregister opgenomen>