De ondergetekenden:
- De vertegenwoordigers van de dienstafnemers van Rijksorganisatie voor Informatie huishouding (RvIHH) te dezen vertegenwoordigd door, opdrachtgever Bestuurlijk Overleg hierna te noemen: Verwerkingsverantwoordelijke (opdrachtgevers van Rijksorganisatie voor Informatiehuishouding), EN
- RvIHH, onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties te dezen vertegenwoordigd door …, n.t.b. hierna te noemen: Verwerker, hierna gezamenlijk te noemen: Partijen;
Overwegende dat:
- in het kader van de Dienstverlening door Verwerker aan Verwerkingsverantwoordelijke Persoonsgegevens in de zin van artikel 4, onderdeel 1, van de Verordening worden verwerkt;
- artikel 28, derde lid, van de Verordening ertoe verplicht dat de Verwerking wordt geregeld in een overeenkomst of andere rechtshandeling die Verwerker ten aanzien van Verwerkingsverantwoordelijke bindt;
- partijen onderdeel zijn van dezelfde rechtspersoon, zijnde de Staat der Nederlanden, en derhalve geen overeenkomst in de zin van art. 6:213 BW kunnen sluiten;
- partijen evenwel hun afspraken over het Verwerken van de Persoonsgegevens door Verwerker wensen vast te leggen.
Komen overeen:
1. Begrippen
De in deze Verwerkersafspraken vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Dienstverlening: de dienstverleningsafspraken zoals omschreven in meest recente versie van de Producten en Diensten Catalogus (PDC) RvIHH.
1.3 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die Per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke Persoon, die Verwerker in het kader van de Dienstverlening ten behoeve van Verwerkingsverantwoordelijke verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke Personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkersafspraken: deze afspraken.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Dienstverlening met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
2. Voorwerp van deze Verwerkersafspraken
2.1 Deze Verwerkersafspraken regelen de Verwerking van Persoonsgegevens door Verwerker in het kader van de Dienstverlening.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens. Betrokkenen en ontvangers worden door de individuele verwerkingsverantwoordelijke vastgesteld en bijgehouden.
2.3 Partijen spannen zich gezamenlijk in voor het treffen van maatregelen om te voldoen aan de vereisten van de wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
3. Inwerkingtreding en duur
3.1 Deze Verwerkersafspraken treden in werking op het moment waarop sprake is van de dienstverlening aan de afnemers.
3.2 Deze Verwerkersafspraken eindigen niet dan nadat en voor zover Verwerker alle persoonsgegevens overeenkomstig afspraak 10 heeft gewist of terugbezorgd.
4. Omvang verwerkingsbevoegdheid Verwerker
4.1 Verwerker Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn.
4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verwerkings- verantwoordelijke daarvan voorafgaand aan de Verwerking in kennis.
4.3 Indien Verwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.4 Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens
5. Beveiliging van de Verwerking
5.1 Verwerker treft de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Indien en voor zover Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, treft Verwerker aanvullende maatregelen met het oog op de beveiliging van de Persoonsgegevens.
5.3 Verwerker Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Verwerkings verantwoordelijke en behoudens afwijkende wettelijke verplichtingen.
5.4 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.5 Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
6. Geheimhouding
Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die hij als uitvloeisel van de Dienstverlening Verwerkt, behoudens in zoverre die Persoons gegevens of informatie klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, dan wel reeds algemeen bekend zijn.
7. Subverwerker
7.1 Bij het uitvoeren van de Dienstverlening maakt Verwerker slechts na schriftelijke toestemming van Verwerkingsverantwoordelijke gebruik van de diensten van een andere verwerker.
7.2 Wanneer Verwerker een andere verwerker binnen de Staat der Nederlanden inschakelt om ten behoeve van Verwerkingsverantwoordelijke verwerkingsactiviteiten te ver richten, worden aan deze andere verwerker dezelfde verplichtingen inzake gegevens bescherming opgelegd als die welke in deze Verwerkersafspraken zijn opgenomen.
7.3 Wanneer een andere verwerker buiten de Staat der Nederlanden wordt ingeschakeld om ten behoeve van verwerkingsverantwoordelijke verwerkingsactiviteiten te verrichten, dan moet met deze verwerker een verwerkersovereenkomst worden afgesloten.
8. Bijstand vanwege rechten van Betrokkene
Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
9. Inbreuk in verband met Persoonsgegevens
9.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
10. Terugbezorgen of wissen Persoonsgegevens
Na afloop van de Dienstverlening draagt Verwerker, naar gelang de keuze van Verwerkings verantwoordelijke, zorg voor het terugbezorgen aan Verwerkings- verantwoordelijke of het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
11. Informatieverplichting en controle
11.1 Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersafspraken zijn en worden nagekomen.
11.2 Verwerker rapporteert Periodiek met een frequentie van eenmaal Per jaar aan Verwerkingsverantwoordelijke over de door Verwerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten dan wel verbeterplannen daarin.
11.3 Verwerker verleent alle benodigde medewerking aan controles door of in opdracht van Verwerkingsverantwoordelijke.
12. Geschil
12.1 Een partij die meent dat een geschil bestaat, deelt dat mede aan de andere partij en treedt daarmee in overleg.
12.2 Indien het overleg tussen Partijen niet tot overeenstemming leidt, treedt het tussen Partijen geldende escalatiemodel in werking.
Bijlagen
De (meest recente versie van de) verwerkersafspraken worden met alle afnemers van RvIHH gemaakt en in het Bestuurlijk Overleg bekrachtigd namens het afnemersberaad van RvIHH. Deze afspraken treden in werking op het moment waarop sprake is van dienstverlening door RvIHH aan een afnemer en zijn daarmee integraal onderdeel van dienstverleningsafspraken.
Wanneer de verwerkingsverantwoordelijke het model verwerkersafspraken dekkend acht, wordt het vastgestelde model onverkort gebruikt.
Wanneer de verwerkings-verantwoordelijke van mening is dat specifieke afspraken met RvIHH als verwerker nodig zijn, is het model uitgebreid met bijlagen. Iedere bijlage is afzonderlijk te beheren.
Wanneer de verwerkingsverantwoordelijke bepaalt dat afspraken met RvIHH betreffende de verwerking van Persoonsgegevens aanvulling behoeven, dan is het mogelijk om een bijlage afzonderlijk te herzien en te ondertekenen.
Aldus bekrachtigd in het Bestuurlijk Overleg in december 2018.