MAAK JE GRATIS Verwerkersovereenkomst
Inhoudsopgave
Wat is een Verwerkersovereenkomst?
Een Verwerkersovereenkomst is een overeenkomst tussen een opdrachtgever en opdrachtnemer waarbij de opdrachtnemer persoonsgegevens verwerkt die de opdrachtgever heeft aangedragen. Voorbeelden van verwerking zijn het verrichten van marketingactiviteiten en het bezorgen van postpakketten.
Dit document is AVG-proof.
Wanneer heb ik een Verwerkersovereenkomst nodig?
Zodra je als organisatie persoonsgegevens overdraagt aan een ander bedrijf om die te verwerken, heb je een Verwerkingsovereenkomst nodig. Denk daarbij niet alleen aan het verwerken van gegevens voor marketingdoeleinden, maar ook aan het uitbesteden van je salarisadministratie of het bezorgen van bestellingen bij een webshop. Let op: je hebt zelfs een Verwerkersovereenkomst nodig als je deze taken aan een eigen dochteronderneming uitbesteedt.
Voorbeeld Verwerkersovereenkomst
De voorwaarden in je document worden bijgewerkt op basis van de informatie die je verstrekt
VERWERKERSOVEREENKOMST
Partijen:
- , wonende te , , , hierna te noemen ‘verantwoordelijke’
en
- , wonende te , , , hierna te noemen ‘verwerker’
Overwegen als volgt:
partijen zijn een overeenkomst aangegaan krachtens welke de verwerker (persoons)gegevens van de verantwoordelijke verwerkt zoals bedoeld in artikel 4 lid 1 en 2 AVG, hierna te noemen: ‘de hoofdovereenkomst’
partijen zijn op grond van artikel 28 lid 3 AVG gehouden afspraken te maken omtrent het waarborgen van de privacy van persoonsgegevens en vast te leggen in een verwerkersovereenkomst, hierna te noemen: ‘de overeenkomst’
partijen zullen elkaar over en weer tijdig alle benodigde informatie verstrekken om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken
de bepalingen van deze overeenkomst gaan vóór alle andere afspraken die tussen partijen gelden ten aanzien van de verwerking van persoonsgegevens, indien en voor zover zij afwijken van hetgeen in deze overeenkomst is vastgelegd
Zijn overeengekomen:
Artikel 1 - Duur van de overeenkomst
Deze overeenkomst treedt in werking vanaf ondertekening door partijen en eindigt nadat verwerker alle persoonsgegevens waar deze overeenkomst betrekking op heeft, heeft gewist en/of terugbezorgd overeenkomstig het bepaalde in artikel 13.
Deze overeenkomst kan niet tussentijds worden opgezegd.
De bepalingen zoals omschreven in artikel 4 blijven ook na afloop van deze overeenkomst van kracht.
Artikel 2 - Voorwerp van de overeenkomst
De verantwoordelijke heeft voor de uitvoering van de hoofdovereenkomst aan de verwerker een opgave verstrekt van:
de aard en het doel van de overeengekomen verwerking
de categorieën persoonsgegevens die worden verwerkt
de categorieën van betrokkenen
de categorieën ontvangers/gebruikers van persoonsgegevens
Opgave van de in lid 1 genoemde gegevens worden aangehecht als bijlage bij deze overeenkomst.
Artikel 3 - Het verwerken en gebruik van de persoonsgegevens
De verantwoordelijke bepaalt het doel van de verwerking en welke persoonsgegevens hij hiervoor laat verwerken.
De verantwoordelijke geeft hiertoe schriftelijke instructies aan de verwerker.
De verwerker gebruikt de verkregen persoonsgegevens alleen voor de doeleinden waarvoor ze zijn verstrekt en uitsluitend volgens de schriftelijke instructies van de verantwoordelijke.
Indien de verantwoordelijke opdracht geeft om de persoonsgegevens te verwerken op een wijze die volgens de verwerker in strijd is met de wettelijke verplichtingen, dan informeert laatstgenoemde de verantwoordelijke hieromtrent en overlegt hij met de verwerker om tot een oplossing te komen die niet in strijd is met de wettelijke verplichtingen.
De verwerker heeft een eigen verantwoordelijkheid om de gegevens niet in strijd met de geldende wet- en regelgeving te verwerken.
De verwerker zal de persoonsgegevens niet aan derden verstrekken, tenzij dit gebeurt in opdracht van de verantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
Artikel 4 - Geheimhouding
De verwerker treft alle noodzakelijke maatregelen om geheimhouding van de persoonsgegevens van de verantwoordelijke te waarborgen.
De in lid 1 gestelde verplichting geldt niet wanneer de verantwoordelijke voorafgaande schriftelijke toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken of wanneer de verwerker hiertoe wettelijk verplicht is.
De verwerker zal dezelfde geheimhoudingsplicht opleggen aan diens personeel c.q. hiervoor ingeschakelde personen of sub-verwerkers.
Bij overtreding van dit artikel, verbeurt de verwerker een onmiddellijk opeisbare boete van € per overtreding aan de verantwoordelijke, onverminderd het recht van verantwoordelijke om volledige schadevergoeding te vorderen.
Artikel 5 - Beveiliging
De verantwoordelijke en de verwerker zullen beiden passende technische en organisatorische maatregelen treffen, zoals bedoeld in artikel 32 AVG, zodat zij een op het risico afgestemd beveiligingsniveau kunnen waarborgen.
De verantwoordelijke informeert de verwerker omtrent de wettelijke betrouwbaarheidseisen die op de verwerking van toepassing zijn aan de hand van de mogelijke gevolgen voor de betrokkenen, zoals in geval van verlies, corruptie of onrechtmatige verwerking en verstrekt daartoe alle benodigde informatie zodat de verwerker hieraan kan voldoen.
Indien de verantwoordelijke een hoger beveiligingsniveau wenst dan wettelijk verplicht, kan de verwerker hiervoor de redelijke kosten separaat in rekening brengen aan de verantwoordelijke.
De verwerker houdt bij het treffen van beveiligingsmaatregelen rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard, omvang, context, verwerkingsdoeleinden, waarschijnlijkheid en ernst van de uiteenlopende risico's voor de rechten en vrijheden van personen een en ander conform het bepaalde in artikel 28 lid 3 sub f AVG.
Indien de verantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit, verleent de verwerker alle redelijke medewerking om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te voeren.
De verwerker verleent eveneens alle redelijke medewerking aan een voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
Partijen hebben concrete afspraken gemaakt omtrent de voor de uitvoering van deze overeenkomst noodzakelijke technische en organisatorische beveiligingsmaatregelen, welke de verantwoordelijke op dit moment passend acht.
Deze afspraken omvatten ten minste de volgende onderwerpen:
de betrouwbaarheidseisen
het overeengekomen beveiligingsniveau (indien van toepassing)
de maatregelen getroffen door de verwerker zodat uitsluitend bevoegd personeel toegang heeft tot de persoonsgegevens
maatregelen ter bescherming zoals tegen verlies, wijziging, onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking
de te nemen maatregelen voor het opsporen van zwakke plekken en incidentenbeheer
Partijen zullen de in lid 7 en 8 genoemde afspraken periodiek evalueren en zo nodig aanpassen.
Deze afspraken worden als bijlage bij deze overeenkomst aangehecht.
Artikel 6 - Audit
De verantwoordelijke heeft het recht om jaarlijks op eigen kosten een audit te laten uitvoeren ter controle op de naleving van deze overeenkomst.
De verwerker zal aan de in lid 1 genoemde audit alle redelijke medewerking verlenen, zoals het verlenen van toegang tot de databases en het ter beschikking stellen van alle relevante informatie.
De verwerker voert de aanbevelingen die uit de audit zijn gekomen in overleg met de verantwoordelijke zo spoedig mogelijk uit.
Indien de aanpassingen als gevolg van lid 3 voortkomen uit gewijzigde inzichten of wetgeving, dan zijn de redelijke kosten voor deze aanpassingen voor de verantwoordelijke.
Indien de aanpassingen als gevolg van lid 3 voortkomen uit een tekortkoming in de nakoming van de overeengekomen beveiligingseisen, dan zijn deze kosten voor de verwerker.
Indien de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit een onderzoek wenst uit te voeren, verleent de verwerker daartoe alle redelijke medewerking en stelt hij de verantwoordelijke hieromtrent zo snel mogelijk van op de hoogte.
Artikel 7 - Datalek
Indien zich een datalek als bedoeld in artikel 4 sub 12 AVG voordoet informeert de verwerker de verantwoordelijke hieromtrent op de wijze zoals verder omschreven in artikel 8.
In geval van een datalek treft de verwerker alle redelijke noodzakelijke maatregelen om de gevolgen hiervan te beperken en een nieuw lek te voorkomen.
De verwerker verleent de verantwoordelijke alle medewerking die noodzakelijk is om de omvang en gevolgen van het datalek te kunnen beoordelen en te kunnen voldoen aan de eventuele meldplicht datalekken richting de Autoriteit Persoonsgegevens alsook aan de informatieplicht richting betrokkenen.
Partijen hebben hun afspraken over de te volgen procedure in geval van een datalek vastgelegd in een procedure meldplicht datalekken, zoals omschreven in artikel 8. Deze procedure kan worden aangepast indien de stand van de techniek dit verlangt of de regelgeving omtrent de meldplicht datalekken wijzigt.
Indien de verwerker nalaat het datalek tijdig te melden conform de procedure meldplicht datalekken zoals bedoeld in artikel 8, is hij een direct opeisbare boete van € verschuldigd aan de verantwoordelijke vermeerderd met 2% van dit bedrag per uur dat de melding te laat geschiedt.
Artikel 8 - Procedure meldplicht datalekken
Artikel 9 - Verzoeken van betrokkenen
Ieder verzoek tot inzage, rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens of bezwaar zoals bedoeld in artikelen 15 tot en met 21 AVG dat de verwerker bereikt, stuurt hij onverwijld door aan de verantwoordelijke.
De verwerker verleent de verantwoordelijke alle redelijke medewerking zodat laatstgenoemde binnen de wettelijke termijnen kan voldoen aan een verzoek zoals bedoeld in lid 1.
De verantwoordelijke zal de redelijke kosten die een dergelijke medewerking met zich meebrengt aan de verwerker vergoeden.
Artikel 10 - Sub-verwerkers
De verwerker is verantwoordelijk en aansprakelijk voor de handelingen van door hem ingeschakelde sub-verwerkers.
Indien een verwerker een sub-verwerker inschakelt is hij verplicht te bedingen dat deze sub-verwerker alle bij deze overeenkomst opgelegde verplichtingen aan de verwerker nakomt en zal daartoe met de betreffende sub-verwerkers een overeenkomst sluiten die in overeenstemming is met deze overeenkomst.
Indien de verwerker zonder toestemming zoals bedoeld in lid 1 sub-verwerkers inschakelt, is de verwerker een boete verschuldigd van € onverminderd het recht van de verantwoordelijke op volledige schadevergoeding.
Artikel 11 - Toegang tot de persoonsgegevens
De verwerker zorgt ervoor dat de verantwoordelijke te allen tijde toegang houdt tot de betreffende persoonsgegevens, zelfs in geval van zijn faillissement of surséance van betaling.
Artikel 12 - Aansprakelijkheid en vrijwaring
De verwerker is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verantwoordelijke.
De verantwoordelijke vrijwaart de verwerker voor aanspraken van derden en door verwerker gemaakte kosten als gevolg van een schending zoals bedoeld in lid 1.
De verantwoordelijke is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verwerker.
De verwerker vrijwaart de verantwoordelijke voor aanspraken van derden en door verantwoordelijke gemaakte kosten als gevolg van een schending zoals bedoeld in lid 3.
De andere partij, is in een geval als bedoeld in lid 1 of 3, gerechtigd de hoofdovereenkomst met onmiddellijke ingang op te zeggen.
Artikel 13 - Beëindiging en gevolgen van beëindiging
Deze overeenkomst eindigt pas nadat de onderliggende opdracht is beëindigd én de verwerker alle aan hem verstrekte persoonsgegevens heeft overgedragen aan de verantwoordelijke of aan een door verantwoordelijke voorafgaand schriftelijk aangewezen derde, alsook alle achtergebleven gegevens bij de verwerker en diens eventuele sub-verwerkers zijn vernietigd.
Op verzoek van de verantwoordelijke stelt de verwerker de aan hem verstrekte persoonsgegevens ter beschikking in een ander formaat dan waarin ze zijn aangeleverd tegen vergoeding van de redelijke kosten hiervan.
In plaats van overdraging van de gegevens kan de verantwoordelijke de verwerker ook verzoeken om de gegevens te vernietigen.
Vernietiging van de gegevens zoals bedoeld in lid 3 kan pas plaatsvinden nadat de verantwoordelijke hiervoor voorafgaande schriftelijke toestemming heeft gegeven.
De bepalingen van artikel 4 blijven echter onverminderd van kracht.
Artikel 14 - Gevolgen van nietigheid of vernietigbaarheid
Indien een deel van de overeenkomst nietig of vernietigbaar is, dan tast dit de overige bepalingen in de overeenkomst niet aan. Een bepaling die nietig of vernietigbaar is, wordt in dat geval vervangen door een bepaling die het dichtst in de buurt komt van wat partijen bij het sluiten van de overeenkomst op dat punt voor ogen hadden.
Artikel 15 - Online handtekening
Indien Partijen gebruikmaken van de online handtekening dienst voor dit elektronische contract dat is opgesteld op het platform van Rocket Lawyer, dan verklaren zij daarmee dat dit contract de originele versie is en het contract Partijen rechtsgeldig bindt. Partijen ontvangen een e-mail zodra alle Partijen dit contract hebben ondertekend, hetgeen bewijs vormt dat dit contract rechtsgeldig tot stand is gekomen.
Artikel 16 - Toepasselijk recht en bevoegde rechter
Op deze overeenkomst is Nederlands recht van toepassing.
Alle eventuele geschillen die ontstaan naar aanleiding van deze overeenkomst en die niet in der minne kunnen worden opgelost worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de verantwoordelijke.
Aldus getekend:
_________________________________ | _________________________________ |
Datum: | |
_________________________________ | _________________________________ |
Datum: | |
Veelgestelde vragen over de Verwerkersovereenkomst
-
Is een Verwerkersovereenkomst verplicht?
Ja, zodra je persoonsgegevens overdraagt ter verwerking ben je verplicht om een Verwerkersovereenkomst aan te gaan. De AVG (Algemene Verordening Gegevensbescherming, of General Data Protection Regulation - GDPR) stelt strenge eisen aan het verwerken van persoonsgegevens, waaronder het verplichte gebruik van de Verwerkersovereenkomst. Het ontbreken van een Verwerkersovereenkomst kan je op een boete komen te staan van maximaal €10 miljoen of 2% van de wereldwijde omzet (als dat bedrag hoger is).
-
Hoe kom ik aan een Verwerkersovereenkomst voorbeeld?
Je kunt natuurlijk een model Verwerkersovereenkomst AVG, standaard Verwerkersovereenkomst of Verwerkersovereenkomst AVG voorbeeld van internet gebruiken. Met onze Verwerkersovereenkomst generator kun je echter zelf je eigen op maat gemaakte Verwerkersovereenkomst opstellen. Je weet dan zeker dat je over de juiste Verwerkersovereenkomst beschikt. Zoek je een voorbeeld Verwerkersovereenkomst AVG, dan kun je dat ook hier bekijken.
-
Verwerkingsverantwoordelijke
Het is voor organisaties niet altijd even duidelijk of ze erwerkingsverantwoordelijke of verwerker zijn. Je bent verwerkingsverantwoordelijke als jij degene bent die beslist waarom en hoe de persoonsgegevens worden verwerkt. Ook bepaal je welke persoonsgegevens precies worden verwerkt en geef je instructies voor de gegevensverwerking. Zo ben je verwerkingsverantwoordelijke van de persoonsgegevens van je personeel.
Als verwerker verwerk je persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Voorbeelden zijn internet service providers, clouddienstverleners en callcenters die direct marketing voor een opdrachtgever uitvoeren. Zij gebruiken de ontvangen persoonsgegevens alleen voor de doelen die hun opdrachtgever als verwerkingsverantwoordelijke heeft bepaald.
-
Bewerkersovereenkomst
Onder de voormalige privacywetgeving Wet Bescherming Persoonsgegevens had het AVG register een andere naam: Bewerkersovereenkomst. Voor de GDPR Verwerkersovereenkomst geldt dat:
- er meer afspraken verplicht in moeten staan, zoals de voorafgaande toestemming van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers door de verwerker
- de verwerker zijn aansprakelijkheid niet meer kan beperken of uitsluiten
-
Wat is verwerking van persoonsgegevens?
Onder het verwerken van persoonsgegevens valt alles wat je kunt doen met persoonsgegevens. Enkele voorbeelden zijn:
- het ordenen van de persoonsgegevens
- het invoeren van personeelsgegevens (verwerkersovereenkomst salarisadministratie)
- het invoeren van klantgegevens
- het raadplegen van persoonsgegevens (zoals het zoeken naar iemands telefoonnummer om hem te bellen)
- het gebruiken van de persoonsgegevens (zoals gebruik van adresgegevens om een pakket te sturen)
- het analyseren van persoonsgegevens (bijvoorbeeld om een voorspelling te maken van het koopgedrag)
-
Verwerkersovereenkomst Engels
Laat je persoonsgegevens buiten de EU verwerken, dan heb je meestal een door de EU goedgekeurde Verwerkersovereenkomst nodig: de GPDR data processing agreement (Verwerkersovereenkomst Engels). Dat geldt overigens niet voor de volgende landen en gebieden: Andorra, Argentinië, Canada, Faeroër Eilanden, Guernsey, IJsland, Israël, Isle of Man, Jersey, Liechtenstein, Nieuw-Zeeland, Noorwegen, Uruguay en Zwitserland.
Onze kwaliteitsgarantie
We garanderen dat de documenten die je via Rocket Lawyer maakt rechtsgeldig zijn in Nederland en veilig worden opgeslagen op Europese servers.
Hulp nodig? Geen probleem!
Stel een vraag of krijg juridisch advies van een advocaat.