Standaard verwerkingsovereenkomst

Verwerkersovereenkomst


Partijen:
• Skikring Alkmaar (Verantwoordelijke)
• (Verwerker):

In aanmerking nemende dat:
Skikring Alkmaar beschikt als verantwoordelijke over persoonsgegevens, te weten NAW-gegevens van
haar leden die verzameld zijn als gevolg van selectie van emailadressen en lidnummers met als doel het
verzenden van nieuwsbrieven.
Skikring Alkmaar heeft verwerker ingeschakeld als leverancier en hierdoor heeft verwerker toegang tot
deze persoonsgegevens.

Overeengekomen punten:
Beide partijen zijn op de hoogte van de wet bescherming persoonsgegevens inclusief de meldplicht
datalekken, en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De verwerker
zal zich in ieder geval houden aan de volgende punten:
• Partijen komen de Algemene Verordening Gegevensbescherming na. Voor zover de afspraken
tussen partijen niet voorzien in wettelijk vereiste regelingen, komen partijen overeen te
handelen in overeenstemming met de toepasselijke wet- en regelgeving op het gebied van de
bescherming van (persoons)gegevens;
• Verwerker en degenen die onder diens gezag handelen zijn verplicht om persoonsgegevens
waarvan zij kennisnemen, geheim te houden;
• Persoonsgegevens mogen alleen verwerkt worden volgens de instructies van de
verantwoordelijke;
• De verwerker zorgt voor redelijke beveiliging, passend bij de gevoeligheid van de
persoonsgegevens. Dit gebeurt door het nemen van zowel technische maatregelen en
organisatorische maatregelen;
Verwerker heeft de volgende maatregelen genomen ter bescherming van de persoonsgegevens:
• Technische maatregelen zijn bijvoorbeeld firewalls, virus-scanners, encryptie en met
sterke wachtwoorden beschermde accounts;
• Organisatorische maatregelen zijn bijvoorbeeld het registreren van bezoekers, het
screenen van nieuwe medewerkers, en het afsluiten van ruimtes en panden/beveiligde
toegang van locaties en apparatuur.
• Verwerker mag persoonsgegevens alleen bewerken in opdracht van de verantwoordelijke, voor
het door de verantwoordelijke vastgestelde doel. Verwerker mag de gegevens dus niet
gebruiken voor eigen marketingacties en doeleinden. Verwerker mag gegevens niet doorgeven
aan andere partijen, tenzij in opdracht van verantwoordelijke;
• De verwerker mag de gegevens niet verwerken buiten de Europese Unie;
• Als er een beveiligingsincident ontdekt is waarbij mogelijk persoonsgegevens zijn uitgelekt of
verloren gegaan, zal de verwerker direct (binnen 24 uur) de verantwoordelijke telefonisch en
per e-mail op de hoogte brengen, zodat de verantwoordelijke kan inschatten of er een melding
gedaan moet worden aan de AP of betrokkenen. De verwerker zal vervolgens alle instructies
voortkomend uit het onderzoek van het incident zo snel en goed mogelijk uitvoeren;
• De looptijd van deze verwerkersovereenkomst is gelijk aan de looptijd van de tussen partijen
gesloten overeenkomst/geldende afspraken. In het geval dat de dienstverlening van verwerker
aan verantwoordelijke (nog) voortduurt, loopt deze verwerkersovereenkomst door;
• De verwerker moet bij beëindiging van diensten op het gebied van verwerkingen van
persoonsgegevens alle persoonsgegevens wissen of teruggeven aan de verantwoordelijke en
nog bestaande kopieën wissen, behalve als EU-recht of het recht van de lidstaat verplicht tot het
bewaren van deze persoonsgegevens;
• De verwerker moet alle informatie met betrekking tot deze verwerkersovereenkomst
beschikbaar maken aan verantwoordelijke en audits en inspecties door de verantwoordelijke of
gemandateerde auditor toestaan en hieraan meewerken. Indien een instructie, volgens de
verwerker, tegen de verordening, EU-recht of recht van de lidstaat ingaat, moet de verwerker
onmiddellijk de verantwoordelijke op de hoogte stellen;
• Verwerker is aansprakelijk voor de directe schade bij overtredingen van deze
verwerkersovereenkomst door de verwerker;
• In een contract tussen de verwerker met een sub-verwerker moeten dezelfde verplichtingen
gelden als die uit deze verwerkersovereenkomst. Als de sub-verwerker zijn verplichtingen tot
gegevensbescherming niet nakomt, zal de verwerker volledig aansprakelijk zijn jegens de
verantwoordelijke.

Aldus getekend:
Verantwoordelijke:
Naam: H.C. Buis
Plaats, Datum: Egmond aan Zee, 5-4-2018

Verwerker:
Naam:
Plaats, Datum:

Scroll naar top