MODEL BEWERKERSOVEREENKOMST

DDMA MODEL BEWERKERSOVEREENKOMST
MODEL BEWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
(i)
De besloten/naamloze vennootschap/stichting/vereniging [statutaire naam], statutair gevestigd te
[plaats] en kantoorhoudende te (postcode) [plaats] aan [adres], hierna te noemen
“Verantwoordelijke”, in deze vertegenwoordigd door [naam];
en
(ii)
De besloten /naamloze vennootschap/stichting/vereniging [statutaire naam], statutair gevestigd te
[plaats] en kantoorhoudende te (postcode) [plaats] aan [adres], hierna te noemen “Bewerker”, in deze
vertegenwoordigd door [naam];
OVERWEGINGEN:
A. Bewerker levert (onder meer) diensten aan Verantwoordelijke of zal die leveren.
B. Het gaat om de volgende diensten: [korte omschrijving];
C. Bewerker zal daarbij persoonsgegevens verwerken waarvoor Verantwoordelijke verantwoordelijk is in
de zin van de Wet Bescherming Persoonsgegevens (Wbp);
D. Verantwoordelijke zal deze persoonsgegevens aan Bewerker verstrekken, althans Bewerker zal deze
persoonsgegevens onder verantwoordelijkheid van Verantwoordelijke verkrijgen;
E. Partijen willen, gelet op het bepaalde in artikel 14 Wbp, de voorwaarden van de verwerking van deze
persoonsgegevens vastleggen.
KOMEN OVEREEN ALS VOLGT:
Artikel 1 Definities en bijlagen
1.1
In deze overeenkomst betekenen de volgende begrippen hetgeen daarbij hieronder is vermeld wanneer
zij met een hoofdletter worden geschreven:
Opdracht:
alle dienstverlening van Bewerker aan Verantwoordelijke en iedere andere
vorm van samenwerking waarbij Bewerker persoonsgegevens verwerkt
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 1 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
waarvoor Verantwoordelijke verantwoordelijk is in de zin van de Wbp,
ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt;
Persoonsgegeven:
elk gegeven betreffende een geïdentificeerd of identificeerbare natuurlijke
persoon, dat Bewerker bij of in verband met het uitvoeren van de Opdracht
verkrijgt;
Betrokkene:
1.2
degene op wie een persoonsgegeven betrekking heeft.
Tot deze overeenkomst behoren de volgende bijlagen:
Bijlage 1:
overzicht van de Persoonsgegevens die partijen verwachten te verwerken, het
gebruik (= de wijze(n) van verwerking) van die gegevens, de doeleinden en de
middelen van de verwerking(en) en de gebruiks- en bewaartermijn(en) van de
(verschillende soorten) Persoonsgegevens;
Bijlage 2:
beschrijving van de door Bewerker getroffen beveiligingsmaatregelen.
Artikel 2 Onderwerp
2.1
Bewerker en Verantwoordelijke zullen handelen conform de Wet bescherming persoonsgegevens, de
Telecommunicatiewet, de Nederlandse Reclame Code en alle overige privacyregelgeving, waaronder,
maar niet beperkt tot, al dan niet universeel toegepaste gedragscodes van de DDMA en FEDMA.
2.2
Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens.
2.3
Bewerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
2.4
Bewerker verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de instructies van
Verantwoordelijke , in overeenstemming met de door Verantwoordelijke bepaalde doeleinden en
middelen en met inachtneming van de door Verantwoordelijke vastgestelde bewaartermijnen, zoals
beschreven in bijlage 1.
2.5
Bewerker zal onder geen omstandigheid de Persoonsgegevens verder verwerken dan hiervoor bepaald.
Bewerker zal, bijvoorbeeld, de Persoonsgegevens niet voor eigen doeleinden of die van derden verwerken
noch de Persoonsgegevens aan derden verstrekken.
2.6
Verantwoordelijke garandeert dat zijn instructies aan Bewerker leiden tot een verwerking door Bewerker
die in overeenstemming zal zijn met de in artikel 2.1 genoemde regelgeving.
Artikel 3 Beveiligingsmaatregelen
3.1
Bewerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens
adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig
of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek.
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 2 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
3.2
Bewerker zorgt ervoor dat het personeel dat betrokken is bij de verwerking van Persoonsgegevens, de in
deze overeenkomst opgenomen verplichtingen van Bewerker kent en verplicht is die na te komen. Dat
kan, bijvoorbeeld, door het ondertekenen van de DDMA model integriteits- en geheimhoudingsverklaring.
3.3
Indien Bewerker tekortschiet in het nemen van passende technische en organisatorische
beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke
termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd diens overige
rechten uit deze overeenkomst en/of uit de wet, indien mogelijk deze maatregelen op kosten van
Bewerker uit te voeren of te laten voeren.
3.4
Bewerker zal Verantwoordelijke onmiddellijk - doch uiterlijk binnen 24 uur - gedetailleerd op de hoogte
stellen van iedere doorbraak van de beveiliging van de Persoonsgegevens.
Artikel 4 Inschakeling derden
4.1
Bewerker is niet gerechtigd bij de verwerking van de Persoonsgegevens een derde in te schakelen zonder
voorafgaande schriftelijke toestemming van Verantwoordelijke. Indien Verantwoordelijke zijn
toestemming geeft, draagt Bewerker ervoor zorg dat de betreffende derde tenminste dezelfde
verplichtingen op zich neemt als opgenomen voor Bewerker in deze overeenkomst.
4.2
Indien de derde die Bewerker wil inschakelen buiten de EU is gevestigd, garandeert Bewerker,
onverminderd het voorgaande lid, dat deze derde een passend niveau van bescherming en veiligheid van
persoonsgegevens waarborgt in de zin van de Wet bescherming persoonsgegevens en overlegt Bewerker
daarvan bewijs aan Verantwoordelijke.
4.3
Toestemming als bedoeld in artikel 4.1 zal niet zonder redelijke grond worden geweigerd.
Verantwoordelijke kan aan die toestemming nadere voorwaarden verbinden die door Bewerker aan de
derde moeten worden opgelegd.
4.4
Bewerker blijft in de verhouding tussen partijen altijd aanspreekpunt en volledig verantwoordelijk en
aansprakelijk voor de naleving van de bepalingen uit deze overeenkomst, inclusief de naleving van de
nadere voorwaarden als bedoeld in het voorgaande lid.
Artikel 5 Geheimhoudingsplicht
5.1
Bewerker houdt de Persoonsgegevens geheim. Bewerkers draagt ervoor zorg dat de Persoonsgegevens
niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van
Bewerker begrepen voor zover het niet noodzakelijk is dat zij bij de Opdracht en/of deze overeenkomst
kennis hoeft te nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst
anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
5.2
Bewerker zorgt dat zijn personeel gebonden is aan de in dit artikel opgenomen geheimhoudingsplicht en
dat Bewerker van die gebondenheid schriftelijk bewijs bezit. Op eerste verzoek van Verantwoordelijke
verstrekt Bewerker Verantwoordelijke dat bewijs. De DDMA model integriteits- en
geheimhoudingsverklaring levert daarvan bewijs mits ondertekend ofwel bepalingen van soortgelijke
strekking die onderdeel uitmaken van het met de personeelsleden afgesloten arbeidscontract.
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 3 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
5.3
Bewerker zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming,
verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit
artikel opgenomen geheimhoudingsplicht.
Artikel 6 Vernietiging en back-up
6.1
Bewerker stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, doch uiterlijk binnen tien
werkdagen na het einde van deze overeenkomst of het einde van de Opdracht, ter beschikking aan
Verantwoordelijke.
6.2
Bewerker is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en
onherroepelijk te verwijderen.
6.3
Indien na het einde van deze overeenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een
door Verantwoordelijke schriftelijk geaccepteerd technisch formaat bezit, verwijdert Bewerker alle
Persoonsgegevens volledig en onherroepelijk binnen veertien dagen nadat is vastgesteld dat
Verantwoordelijke de Persoonsgegevens bezit.
6.4
Bewerker kan afwijken van het in beide voorgaande leden bepaalde, voor zover ten aanzien van
Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om
tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.
6.5
Bewerker maakt minimaal [x] keer per [maand/week], volgens een door partijen overeengekomen
procedure die tenminste voldoet aan de eisen van professionele toewijding, reservekopieën van de
Persoonsgegevens.
Artikel 7 Recht van inzage, correctie en verzet van Betrokkene
7.1
Bewerker draagt ervoor zorg dat Betrokkene al zijn rechten uit de in artikel 2.1 opgenomen regelgeving
kan uitoefenen.
7.2
Bewerker zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen
vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
a. het schriftelijk verstrekken van alle benodigde informatie die Verantwoordelijke nodig mocht hebben;
b. het verbeteren, aanvullen, verwijderen of afschermen van Persoonsgegevens.
Artikel 8 Aansprakelijkheid
8.1
Bewerker is aansprakelijk voor en vrijwaart Verantwoordelijke voor alle schade veroorzaakt door
Bewerker voortvloeiende uit het niet nakomen van deze overeenkomst alsmede verband houdende met
overtreding door Bewerker van de Wet bescherming persoonsgegevens en de Telecommunicatiewet en
alle overige geldende (Europese) privacyregelgeving waaronder maar niet beperkt tot gedragscodes van
de DDMA en FEDMA.
Artikel 9 Controle
9.1
Verantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst ten hoogste
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 4 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
eenmaal per jaar te controleren. Verantwoordelijke kan dat na toestemming van Bewerker daartoe zelf
doen of hij kan dat laten doen door een onafhankelijke registeraccountant, registerinformaticus of andere
daartoe gecertificeerde auditor.
9.2
Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het personeel van
Bewerker dat de controle begeleidt. Deze laatste kosten zijn voor Bewerker. Indien uit de controle blijkt
dat Bewerker materieel tekortschiet in de nakoming van deze overeenkomst, komen alle kosten voor
rekening van Bewerker, onverminderd de overige rechten van Verantwoordelijke. Indien Bewerker
tekortschiet doch de tekortkomingen zijn niet materieel, zal Bewerker die tekortkomingen op zo kort
mogelijke termijn herstellen.
9.3
Een controle mag de bedrijfsactiviteiten van Bewerker niet onnodig verstoren.
9.4
Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan
Bewerker, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.
9.5
Indien Bewerker zelf de naleving van deze overeenkomst laat controleren door een onafhankelijke
daartoe gecertificeerde partij, verstrekt Bewerker daarvan de eindresultaten aan Verantwoordelijke
Artikel 10 Overig
10.1
Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn
overeengekomen.
10.2
Deze overeenkomst duurt zolang de Opdracht duurt. De bepalingen van deze overeenkomst blijven
gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het
einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer,
zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.
10.3
Bewerker is niet gerechtigd de nakoming van zijn verplichtingen uit deze overeenkomst op te schorten, te
verrekenen of afhankelijk te stellen van enige actie of verklaring van Verantwoordelijke. Verzuim van
Verantwoordelijke bij de Opdracht of vernietiging van de overeenkomst op basis waarvan de opdracht
wordt uitgevoerd, kan op geen enkele manier leiden tot het niet nakomen van de verplichtingen van
Bewerker onder deze overeenkomst.
10.4
Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verantwoordelijke en
Bewerker.
10.5
Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
10.6
Partijen zullen hun geschillen verband houdende met deze overeenkomst uitsluitend voorleggen aan de
Nederlandse rechter. De bevoegde Nederlandse rechter is de rechter van het arrondissement waarin
Verantwoordelijke is gevestigd.
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 5 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
Aldus overeengekomen en in tweevoud opgemaakt te [plaats] op [datum]
(Verantwoordelijke)
(Bewerker)
…………………………………………
…………………………………………
[bedrijfsnaam]
[bedrijfsnaam]
Namens deze: [naam]
Namens deze: [naam]
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 6 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
Bijlage 1
Deze bijlage is onderdeel van de Bewerkersovereenkomst tussen [Verantwoordelijke] en [Bewerker] van
[datum] en moet door partijen geparafeerd worden.
I.
o
o
o
o
o
o
o
o
o
o
o
o
o
o
II.
De Persoonsgegevens die partijen verwachten te verwerken:
Naam, adres, woonplaats
Telefoonnummer
E-mailadres
Geboortedatum
Geslacht
Beroep
Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken)
Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen
Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)
Gegevens met betrekking tot de nationaliteit, gezondheid, seksuele geaardheid godsdienst of
levensovertuiging, politieke voorkeuren, lidmaatschappen van vakverenigingen of BSN-nummers.
Financiële data (bankrekeningnummer, creditcardnummer)
Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit)
Credit scoring
Anders, namelijk…
Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de doeleinden van en de
middelen voor de verwerking:
[Beschrijving van wat er met de Persoonsgegevens wordt gedaan (bijvoorbeeld opslag in een bestand, emailing etc.), wat het doel van de verwerking is (bijvoorbeeld marketing, klantenwerving, uitvoering
overeenkomst) en van welke middelen gebruik wordt gemaakt (bijvoorbeeld CRM-software).]
III.
De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
[* De Wet bescherming persoonsgegevens (Wbp) regelt dat persoonsgegevens niet langer bewaard
mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt.
Bepaal aan de hand van de doeleinden van de verwerking hoelang de gegevens bewaard mogen blijven.
Houd rekening met eventuele andere wettelijke verplichtingen (de fiscus kent bijv. een bewaartermijn
van 8 jaar) of als bewijsmateriaal bij klachten.]
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 7 van 8
DDMA MODEL BEWERKERSOVEREENKOMST
Bijlage 2
Deze bijlage maakt deel uit van de Bewerkersovereenkomst tussen [Verantwoordelijke] en [Bewerker] van
[datum] en moet door partijen geparafeerd worden.
I.
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door Bewerker zijn
getroffen.
[Indien sprake is van een gedocumenteerd Informatiebeveiligingsbeleid kan (ook) worden volstaan
met een kopie van dit beleid.]
[Beschrijving van het informatiebeveiligingsbeleid, de beveiliging van online formulieren (websites,
landingspages, enquêtes), het gebruik van versleutelde bestanden, een beveiligd draadloos netwerk,
eventuele controle op ongeautoriseerde toegang, regels omtrent de opslag van data, het bestaan van
een applicatieregister, een reserve-infrastructuur, eventuele logbestanden en rapportages, het
toegangs- en autorisatiebeleid, een protocol datalekken etc.
* De beveiligingsmaatregelen die een organisatie dient te treffen, zijn mede afhankelijk van de mate van
gevoeligheid van de data. Logischerwijs geldt voor het vastleggen van naam, adres, telefoonnummer en
e-mailadres een milder beveiligingsregime dan wanneer gevoelige(re) gegevens worden verwerkt.]
Paraaf Verantwoordelijke:
Paraaf Bewerker:
Pagina 8 van 8

Download Report