Skip to main content

Verwerkersovereenkomst ook voor jou

Als jouw websitebouwer bij de gegevens kan van jouw klanten dan moet je een verwerkersovereenkomst afsluiten met elkaar. Samen stel je een document op met welk doel en waarvoor de websitebouwer bij de gegevens kan.

In alle gevallen ligt het initiatief bij jou. Omdat een websitebouwer/webdesigner vaker met dit soort verwerkersverklaringen heeft te maken zal deze in de meeste gevallen al een standaardversie klaar hebben liggen. Vraag hiernaar. In sommige gevallen is het onderdeel van de algemene voorwaarden. Net zoals MailChimp en Google Analytics is dit dan een amendement ‘gegevensverwerking’op de algemene voorwaarden.

Website

Voor een website maak je gebruik van een hostingpartij en een websitebouwer. Als er persoonsgegevens worden ingevoerd in de website door de websitebouwer dan is een verwerkingsovereenkomst nodig.

Als je een onderhoudscontract is afgesloten en de websitebouwer kan inloggen op de website en inzendingen lezen dan is dit ook nodig.

Op het moment dat een websitebouwer een website oplevert met alleen demo content en deze wordt daarna door jou gevuld. En de websitebouwer kan niet meer inloggen dan is er geen overeenkomst nodig.

Om het samen te vatten: kan de websitebouwer bij de persoonsgegevens, kan hij/zij deze inzien, dan sluit je een overeenkomst af.

Nieuwsbrief

Op het moment dat je een webdesigner je nieuwsbrief laat maken binnen je eigen account heeft deze in sommige gevallen toegang tot de maillijsten. Maak hier afspraken over. In sommige gevallen laat je deze persoon de import doen. Het beste is om dit samen te doen op jouw eigen computer, zodat de lijsten met namen en adressen niet bij een derde persoon belanden. Geef je toch toegang dan moet je samen een verwerkersverklaring afsluiten en zorgdragen dat hij/zij daarna de lijsten vernietigd.

Wat staat er in een verwerkersovereenkomst?

In een verwerkersovereenkomst spreek je af:

  • wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

Verder spreek je hierin af dat:

  • verwerking uitsluitend plaatsvindt op basis van je schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
  • personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
  • de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
  • de verwerker zonder je schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
  • de verwerker je helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
  • de verwerker je helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
  • de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar je terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
  • de verwerker meewerkt aan jouw audits of die van een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

Bron: Kvk website

Hieronder volgt een voorbeeld van mijn bewerkersovereenkomst. Deze is gemaakt op basis van de voorbeeld van de Beroepsorganisatie van Nederlandse Ontwerpers.

Verwerkersovereenkomst Studio Sandra Gortemaker

Sluit een verwerkersovereenkomst met mij

Deze Verwerkersovereenkomst maakt – evenals de algemene voorwaarden – integraal onderdeel uit van iedere overeenkomst in zake diensten tussen Studio Sandra Gortemaker ingeschreven bij de Kamer van Koophandel onder nummer: 53368959 (hierna: “Studio Sandra Gortemaker”) en haar wederpartij. In het kader van deze Verwerkersovereenkomst wordt Studio Sandra Gortemaker aangemerkt als “Verwerker” en de wederpartij (klant) als “Verantwoordelijke”.

Maar ik kan je ook een document sturen je we samen ondertekenen. Deze verantwoordelijkheid ligt bij jou als afnemer van mijn diensten.

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De term bewerker komt uit deze wet.

1.0 Definities

Betrokkene – degene op wie een Persoonsgegeven betrekking heeft (art. 1 sub f Wbp);

Verwerker – degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag onderworpen te zijn (art. 1 sub e Wbp);

Verwerkersovereenkomst – deze overeenkomst, inclusief de overwegingen en aan deze overeenkomst gehechte bijlagen;

Bijzondere persoonsgegevens – persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven en lidmaatschap van een vakvereniging (art. 16 Wbp);

Datalek – een inbreuk op de (technische of organisatorische) maatregelen ter beveiliging tegen verlies of onrechtmatige verwerking van Persoonsgegevens;

Derde – ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verantwoordelijke of de Verwerkergemachtigd is om Persoonsgegevens te verwerken (art 1 sub g Wbp);

Doel – het door Verantwoordelijke omschreven en aan Verwerkervoorgeschreven doel van de Verwerking van Persoonsgegevens, zoals nader uitgewerkt in Bijlage I bij deze Verwerkersovereenkomst.

Hoofdovereenkomst – de aan de Verwerkersovereenkomst ten grondslag liggende overeenkomst tussen Verantwoordelijke en Verwerker, waarin de achterliggende rechtsrelatie tussen Partijen is vastgelegd, inclusief de daarbij behorende bijlagen;

Persoonsgegevens – elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (art. 1 sub a Wbp);

Verantwoordelijke – de natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt (art. 1 sub d Wbp);

Verwerking – elke handeling (of een serie) van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval – maar niet uitsluitend – het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens (art. 1 sub b Wbp);

Wbp – de meest actuele versie van de Wet Bescherming Persoonsgegevens, te raadplegen
via wetten.overheid.nl.

2.0 Verwerking van Persoonsgegevens

2.1 Om een website of een nieuwsbrief voor jou te maken heb ik in sommige gevallen toegang tot persoonlijke gegevens van jouw klanten. In onze overeenkomst beschrijven we

  1. Een overzicht van de categorieën Persoonsgegevens.
  2. De doeleinden waarvoor de persoonsgegevens worden verwerkt.
  3. Een omschrijving van de Verwerking

2.2 Het verwerken van de gegevens (bijvoorbeeld importeren van een adressenlijst) valt onder de verantwoordelijkheid van de opdrachtgever. In heb geen zeggenschap over het doel, de middelen, het beschikbaar stellen, bewaartermijnen of meldingsplicht.

2.3 De verwerking gebeurt op zorgvuldige wijze en niet langer of uitgebreider dan nodig is voor de uitvoering van de opdracht.

2.4 Ik heb geen medewerkers en heb als enige toegang tot de gegevens. Met uitzondering van derde partijen die eventueel ook toegang hebben tot de website zoals een hostingpartij.

2.5 De opdrachtgever vraagt de verrwerkers geen werkzaamheden te doen die in strijd zijn met de op het moment van Verwerking bestaande toepasselijke wet- en regelgeving. Wanneer er sprake is van een (vermeende) vordering of beschikking, dan vrijwaart Verantwoordelijke Verwerker tegen alle daaruit voortvloeiende aanspraken.

3.0 Beveiligingsmaatregelen

3.1 Ik neem alle passende technische en organisatorisch maatregelen die nodig zijn om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatig gebruik of verwerking.

3.2 De beveiligingsmaatregelen die ik neem zijn:

  1. Mijn laptop is encrypted en gaat direct in slaapstand met wachtwoord
  2. Wachtwoorden en persoonlijke informatie staat niet in notitieboekjes, losse harde schijven of op USB sticks.
  3. Ik gebruik computer gegenereerde wachtwoorden. Je ontvangt een unieke inlogcode en wachtwoord.
  4. Laptop word alleen door mij gebruikt, niet onbemand achtergelaten, nooit achtergelaten in de auto.
  5. Er word niet gebruik gemaakt van onbekende WiFi netwerken

Ik kan niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de huidige stand der techniek en de kosten van de beveiligingsmaatregelen.

3.3 Jij als opdrachtgever hebt kennisgenomen van deze genomen beveiligingsmaatregelen en is van mening dat deze een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking. Verwerker informeert Verantwoordelijke wanneer een van de beveiligingsmaatregelen substantieel wijzigt.

3.4 Verantwoordelijke mag controleren of en op welke wijze de genomen beveiligingsmaatregelen worden nageleefd. De kosten van deze controle zijn voor rekening van de Verantwoordelijke. De Verwerker ontvangt een kopie van het controlerapport. Er zullen tijdig afspraken gemaakt worden over de wijze en het moment waarop de controle zal plaatsvinden, zodat dit de bedrijfsvoering van Verwerker niet onnodig verstoort.

3.5 Wanneer de Verwerking buiten de Europese Economische Ruimte (EER) plaatsvindt, zalVerwerker daar aanvullende afspraken over maken met Verantwoordelijke.

4.0 Recht van inzage, correctie en verzet Betrokkene

4.1 De opdrachtgever kan mij verzoeken Persoonsgegevens in te zien, te wijzigen of te verbeteren, voor zover Verwerker toegang heeft tot deze Persoonsgegevens.

4.2 Wanneer ik een dergelijk (rechtstreeks) verzoek ontvangt van Betrokkene(n), dan wordt stuur ik dat door naar jou, zodat je dit zelf kan afhandelen. Alleen op uitdrukkelijk schriftelijk verzoek van jou de opdrachtgever zal ik een dergelijk verzoek van Betrokkene(en) behandelen.

5.0 Datalekken

5.1 Als er sprake is van een (mogelijk) Datalek, dan stelt ik jou daarvan zo spoedig mogelijk op de hoogte. Ik streef ernaar dit te doen binnen 48 uur nadat het Datalek is ontdekt of door eventuele sub-Verwerkers bij Verwerker is gemeld.

5.2 Verwerker informeert Verantwoordelijke in ieder geval over de aard van de Persoonsgegevens, de hoeveelheid Persoonsgegevens en Betrokkenen, en de genomen beveiligingsmaatregelen. Ik zal alle redelijkerwijs benodigde medewerking verlenen om inzicht te krijgen in de ernst en (mogelijke) gevolgen van een geconstateerd Datalek.

5.3 Verantwoordelijke is zelf verantwoordelijk om te beoordelen of het beveiligingsincident een Datalek betreft en of dit meldingsplichtig is. Verwerker zal nooit zelfstandig overgaan tot het melden van enig Datalek aan Betrokkenen of de Autoriteit Persoonsgegevens. Dit is altijd de verantwoordelijkheid van Verantwoordelijke.

6. Mededelingen

De contactpersonen voor mededelingen en meldingen in het kader van deze Verwerkersovereenkomst zijn:Bij Verantwoordelijke: naam. telefoonnummer en e-mailadres
Bij Verwerker: Sandra van der Gugten-Gortemaker – studio@sandragortemaker.nl – 06 531 90 681

Partijen informeren elkaar van iedere verandering in deze gegevens.

7 Derden (sub-Verwerkers)

7.1 Verwerker kan Derden (sub-Verwerkers) inschakelen voor bepaalde werkzaamheden, bijvoorbeeld wanneer deze Derden over specialistische kennis of middelen beschikken, die Verwerker niet heeft. Wanneer dit betekent dat deze Persoonsgegevens van Verantwoordelijke gaat verwerken, dan zal Verwerker alle verplichtingen uit deze Verwerkersovereenkomst schriftelijk aan deze Derden opleggen. Verantwoordelijke geeft op voorhand toestemming om de Derden in te schakelen die zijn vermeld in Bijlage III. Wanneer andere Derden ingeschakeld moeten worden, dan zal eerst toestemming aan Verantwoordelijke worden gevraagd.

7.2 Toestemming als bedoeld in het vorige lid zal niet zonder redelijke grond geweigerd worden. Zo nodig kan Verantwoordelijke aanvullende voorwaarden stellen, die door de Verwerker aan de Derde moeten worden opgelegd.

8 Geheimhouding

8.1 Verwerker houdt de Persoonsgegevens geheim en zorgen ervoor dat Medewerkers en eventuele sub-Verwerkers ook verplicht zijn tot geheimhouding.

8.2 Deze geheimhoudingsplicht geldt niet voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

9 Duur en beëindiging

9.1 Deze Verwerkersovereenkomst heeft dezelfde ingangs- en einddatum als de Hoofdovereenkomst. De bepalingen van deze overeenkomst blijven gelden voor zover dat nodig is voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen over geheimhouding en geschillen.

10 Bewaartermijn, teruggave en vernietiging Persoonsgegevens

10.1 Ik bewaar de Persoonsgegevens niet langer dan strikt noodzakelijk is. Dit is in geen geval langer dat tot het einde van deze Verwerkersovereenkomst, of, als er tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.

10.2 Verwerker zal bij het einde van deze Verwerkersovereenkomst alle Persoonsgegevens aanVerantwoordelijke overdragen of, als Verantwoordelijke daarom verzoekt, vernietigen. Er zalalleen een kopie van de Persoonsgegevens bewaard worden als Verwerker hiertoe op grond van wet- of regelgeving verplicht is.

10.3 De kosten van het verzamelen en overdragen van de Persoonsgegevens of van het vernietigen ervan, als bedoeld in het vorige lid, zijn voor rekening van de Verantwoordelijke. Desgevraagd wordt een kosteninschatting gemaakt.

10.4 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle Derden die betrokken zijn bij de Verwerking van de Persoonsgegevens informeren over de beëindiging van de Verwerkersovereenkomst en zal deze partijen verzoeken eveneens de gegevens aan Verantwoordelijke over te dragen, dan wel te vernietigen, volgens de procedure als beschreven in artikel 10.2 en 10.3.

11 Aansprakelijkheid

11.1 Verwerker is niet aansprakelijk voor schade die het gevolg is van niet naleven van de AVG of andere wet- of regelgeving door Verantwoordelijke. Verantwoordelijke vrijwaart Verwerker voor aanspraken van sub-Verwerkers, andere Derden, Betrokkenen of van andere personen op grond van zulke schade, als ook voor (juridische) kosten die Verwerker in dit verband moet maken en eventuele boetes die aan Verwerker worden opgelegd.

11.2 De overeengekomen beperking van aansprakelijkheid van Verwerker in de Hoofdovereenkomst en daarop van toepassing zijnde Algemene voorwaarden is van kracht op deze Verwerkersovereenkomst, waarbij geldt dat een of meerdere schadevorderingen uit hoofde van deze Verwerkersovereenkomst en/of de Hoofdovereenkomst gezamenlijk nooit tot overschrijding van die beperking kunnen leiden.

12 Overige bepalingen

12.1 Deze Verwerkersovereenkomst geldt als bijlage bij de tussen partijen gesloten Hoofdovereenkomst, waarvan het onlosmakelijk onderdeel uitmaakt. Ingeval van strijdigheid tussen de Hoofdovereenkomst en deze Verwerkersovereenkomst, gaan de bepalingen uit dezeVerwerkersovereenkomst voor.

12.2 Wijziging van een of meerdere bepalingen van deze Verwerkersovereenkomst kan alleen schriftelijk door partijen worden overeengekomen.

12.3 Wanneer een of meerdere bepalingen in deze Verwerkersovereenkomst nietig is of vernietigd wordt, blijven de overige bepalingen van deze overeenkomst onverminderd van kracht blijven. Partijen zullen in dat geval in overleg treden met het doel nieuwe vervangende bepalingen overeen te komen, waarbij zoveel mogelijk het doel en de strekking van de nietige of vernietigde bepalingen in acht wordt genomen.

12.4 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

12.5 De rechter in het arrondissement waar de Verwerker is gevestigd, of de volgens de wet bevoegde rechter, dit ter keuze van de Verwerker, is bevoegd om van geschillen voortvloeiend uit deze Verwerkersovereenkomst kennis te nemen en hierover te beslissen.