Overeenkomst verwerking persoonsgegevens
1. Naam, met adres (adreS) , KvK-nummer (……) (de “Verantwoordelijke”);
en
2. CQG Headoffice B.V., Laan van Waalhaven 98 (2497 GP), KvK-nummer (89276914) (de “Verwerker”).
Verwerkingsverantwoordelijke en Verwerker hierna samen ook partijen (“Partijen”).
ACHTERGROND
• Verantwoordelijke biedt ‘diensten’ aan binnen de gezondheidszorg (hier kan onder worden verstaan, “het aannemen van opdrachten binnen de gezondheidszorg als zorgmedewerker).
• Verantwoordelijke beschikt voor de uitvoering van de Diensten over diverse gegevens, waaronder mede begrepen persoonsgegevens van diverse betrokkenen (de “Betrokkenen”) in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) en is de “verwerkingsverantwoordelijke” in de zin van de AVG.
• Verantwoordelijke wil de opslag, verwerking, bewerking en beveiliging van deze persoonsgegevens laten verrichten door Verwerker (de “Opdracht”). Verwerker is bereid deze Opdracht te aanvaarden.
• De AVG vereist dat een verwerkersovereenkomst wordt gesloten tussen de Verantwoordelijke en de Verwerker.
• Partijen wensen in deze Verwerkersovereenkomst (de “Overeenkomst”) hun rechten en verplichtingen over en weer in verband met de verwerking van persoonsgegevens door Verwerker vast te leggen.
OVEREENKOMST
Artikel 1 – Uitvoering verwerking
1. Verwerker zal bij de uitvoering van de Opdracht op zorgvuldige wijze met de persoonsgegevens omgaan en de persoonsgegevens enkel verwerken in opdracht van Verantwoordelijke, overeenkomstig diens schriftelijke instructies en in overeenstemming met deze Overeenkomst en de voorschriften in de AVG.
2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens.
3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Overeenkomst en de AVG zullen verwerken.
4. Verwerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de AVG, deze Overeenkomst en de overige instructies van Verantwoordelijke te voldoen.
Artikel 2 – Garantie Verantwoordelijke
Verantwoordelijke garandeert dat de verwerking van de persoonsgegevens van de Betrokkenen, zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en dat geen inbreuk wordt gemaakt op de rechten van anderen. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken die hierop betrekking hebben.
Artikel 3 – Doorgifte van persoonsgegevens
Verwerker zal de persoonsgegevens in beginsel binnen de Europese Unie verwerken. Doorgifte van de persoonsgegevens naar landen buiten de Europese Unie is slechts toegestaan naar landen die conform de AVG een passend beschermingsniveau bieden voor de verwerking van persoonsgegevens. Verwerker zal Verwerkingsverantwoordelijke vooraf op de hoogte stellen van een verwerking buiten de Europese Unie, tenzij dit bij wet verboden is.
Artikel 4 – Beveiligingsmaatregelen
1. Verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau van de persoonsgegevens die worden verwerkt.
2. Verwerker neemt in ieder geval de volgende maatregelen:
– Encryptie (versleuteling) van digitale bestanden die persoonsgegevens bevatten
– Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of daaraan vergelijkbare technologie
– De toegang tot de persoonsgegevens is beperkt tot bevoegd personeel
– Back-ups van de persoonsgegevens om deze bij fysieke of technische incidenten tijdig te herstellen
– XX
3. Verwerker zal Verwerkingsverantwoordelijke alle beschikbare informatie verstrekken om Verantwoordelijke bijstand te verlenen bij uitvoeren van beveiligingsmaatregelen, het mogelijk maken van audits en inspecties en het uitvoeren van gegevensbeschermingseffectbeoordelingen.
Artikel 5 – Beveiligingsincidenten
1. Verwerker zal diefstal, verlies of misbruik van persoonsgegevens of elke andere vorm van een datalek zo snel mogelijk melden aan Verantwoordelijke. Deze melding omvat, waar mogelijk, tenminste het volgende: de aard van de inbreuk, de categorieën en omvang van de betrokken persoonsgegevens, de waarschijnlijke gevolgen van het datalek, de maatregelen die Verwerker heeft genomen en het contactpunt waar Verantwoordelijke meer informatie kan verkrijgen.
2. Waar nodig, zal Verwerker zijn volle medewerking verlenen aan het adequaat informeren van de betrokken personen over dergelijke beveiligingsincidenten of datalekken. Ook zal Verwerker zijn volledige medewerking verlenen aan het uitvoeren van risicobeoordelingen, het analyseren van de oorzaak, het identificeren van vereiste corrigerende maatregelen en het uitvoeren hiervan.
Artikel 6 – Duur en beëindiging
1. Deze Overeenkomst vangt aan op —- . Partijen gaan deze Overeenkomst aan voor onbepaalde tijd.
2. Opzegging is schriftelijk mogelijk tegen het einde van de maand met een opzegtermijn van één maanden.
3. Als deze Overeenkomst eindigt of wordt ontbonden moeten Partijen zich blijven houden aan het bepaalde in deze Overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze Overeenkomst voort te duren.
4. Als deze Overeenkomst eindigt of wordt ontbonden zal Verwerker alle gegevens, waaronder persoonsgegevens, die op basis van deze Overeenkomst bij Verwerker aanwezig zijn aan Verantwoordelijke terugbezorgen op diens verzoek. Verantwoordelijke moet dit verzoek binnen twee weken aan Verwerker doorgegeven. Na deze termijn zal Verwerker alle gegevens die bij haar uit hoofde van deze Overeenkomst aanwezig zijn (inclusief alle eventuele kopieën daarvan) op veilige wijze verwijderen of vernietigen, tenzij Verwerker wettelijk verplicht is de gegevens langer op te slaan.
Artikel 7 – Vertrouwelijkheid en geheimhouding
1. Verwerker zal alle persoonsgegevens en andere gegevens die hij van Verantwoordelijkheid ontvangt vertrouwelijk behandelen. Verwerker zal de toegang tot deze gegevens beperken tot personen werkzaam voor Verwerker, die toegang nodig hebben voor een juiste uitvoering van de verwerking ten behoeve van Verantwoordelijke.
2. Op alle persoonsgegevens die Verwerker op basis van deze Overeenkomst ontvangt rust een geheimhoudingsplicht jegens derden behalve de ‘partij’ die de diensten aanbiedt aan verwerker die verantwoordelijke zal invullen. Alle personen in dienst van, dan wel werkzaam ten behoeve van, Verwerker, alsmede Verwerker zelf, zijn verplicht tot geheimhouding van de persoonsgegevens.
3. Verwerker zal de persoonsgegevens niet zonder toestemming van Verantwoordelijke aan derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.
Artikel 8 – Rechten van Betrokkenen
1. Verwerker zal Verantwoordelijke bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken van Betrokkenen te beantwoorden, zoals het recht op inzage, rectificatie en gegevenswissing.
2. Als Verwerker een verzoek van een derde ontvangt om inzage in de persoonsgegevens te verstrekken op grond van een vermeende (wettelijke) verplichting dan zal hij Verantwoordelijke daarover eerst schriftelijk informeren alvorens hij die derde inzage in de persoonsgegevens verschaft, zodat Verwerkingsverantwoordelijke kan beoordelen of het verzoek van die derde gegrond is.
Artikel 9 – Personen werkzaam onder gezag Verwerker
De verplichtingen van Verwerker die uit deze Overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen, maar niet beperkt tot, werknemers.
Artikel 10 – Sub Verwerkers
1. Verwerker kan bij de verwerking van de persoonsgegevens gebruik maken van externe partijen. Verwerker heeft de verwerking van de persoonsgegevens (gedeeltelijk) uitbesteed aan de volgende Sub Verwerkers: Parttir.
2. Verwerker mag nieuwe Sub Verwerkers in dienst nemen voor de verwerking van de persoonsgegevens. Verwerker zal Verantwoordelijke op de hoogte stellen van de toevoeging of vervanging van Sub Verwerkers, waarbij Verantwoordelijke de mogelijkheid krijgt bezwaar te maken. Ook kan Verantwoordelijke Verwerker verzoeken om een overzicht van alle ingeschakelde Sub Verwerkers.
Artikel 11 – Vrijwaring
1. Verwerker is aansprakelijk voor schade die Verantwoordelijke lijdt als Verwerker de nadere instructies van Verantwoordelijke, deze Overeenkomst, de AVG of andere toepasselijke wet- en regelgeving op het gebied van privacy en bescherming van persoonsgegevens niet naleeft.
2. Verwerker is aansprakelijk voor schade van derden, indien deze schade is veroorzaakt doordat Verwerker heeft gehandeld in strijd met de rechtmatige instructies van Verantwoordelijke of met verplichtingen uit de AVG die zich specifiek tot verwerkers richten.
3. Verwerker is niet aansprakelijk voor schade die voortvloeit uit het nakomen van schriftelijke instructies van Verantwoordelijke, indien deze instructies in strijd zijn met de AVG of andere toepasselijke wet- en regelgeving op het gebied van privacy en bescherming van persoonsgegevens.
4. Verwerker vrijwaart Verantwoordelijke tegen aanspraken van derden voor zover Verwerker aansprakelijk is voor de schade die aan de derden is veroorzaakt.
Artikel 12 – Kosten, verzuim
1. Verwerker moet alle kosten vergoeden die Verantwoordelijke maakt om Verwerker tot nakoming van deze Overeenkomst te dwingen.
2. Als een bepaalde verplichting niet wordt nagekomen of een bepaalde termijn voor de nakoming van een verplichting verloopt, dan is Verwerker automatisch in verzuim. Een ingebrekestelling is niet vereist.
Artikel 13 – Boetebepaling
Verwerker is een boete verschuldigd aan Verantwoordelijke als hij zich niet houdt aan een bepaling uit deze Overeenkomst en dit niet herstelt, nadat hem daarvoor een redelijke termijn van 14 dagen is gegeven. Deze boete van € 250,00 per dag is direct opeisbaar en geldt vanaf het moment dat Verwerker in verzuim is. Daarnaast moet Verwerker de schade vergoeden die Verantwoordelijke heeft opgelopen als gevolg van de schending van deze Overeenkomst door Verwerker.
Artikel 14 – Nietigheid
Als een deel van deze Overeenkomst nietig of vernietigbaar is, verandert dat niets aan de geldigheid van de rest van de Overeenkomst. Het nietige deel wordt vervangen door een bepaling die zoveel mogelijk de inhoud van de nietige bepaling volgt.
Artikel 15 – Slotbepaling
1. Alleen schriftelijke wijzigingen op deze Overeenkomst zijn geldig.
2. Deze Overeenkomst vervangt alle eerdere overeenkomsten tussen Partijen.
Artikel 16 – Toepasselijk recht
Nederlands recht.
Artikel 17 – Bevoegde rechter
Rechtbank Den Haag.
PLAATS ONDERTEKENING: Den Haag
DATUM ONDERTEKENING:
………………………………… …………………………………
CQG Headoffice B.V.
Zakaria Bounif
Titel: Bestuurder