Verwerkersovereenkomst conform artikel 28 AVG/GDPR
Overwegende dat: • De Verwerkingsverantwoordelijke persoonsgegevens laat verwerken door de Verwerker; • Partijen de rechten en plichten met betrekking tot deze verwerking willen vastleggen in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR); • Deze overeenkomst de verwerkersovereenkomst vormt als bedoeld in artikel 28 AVG; Komen partijen het volgende overeen:
In deze overeenkomst wordt verstaan onder: 1.1 AVG: De Algemene Verordening Gegevensbescherming (EU) 2016/679 1.2 Verwerkingsverantwoordelijke: 't SpeelFabrik VZW, gevestigd te Langestraat 15b, 1910 Kampenhout, hierna te noemen "Verwerkingsverantwoordelijke" 1.3 Verwerker: De partij die in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt 1.4 Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 lid 1 AVG 1.5 Verwerking: Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens zoals bedoeld in artikel 4 lid 2 AVG 1.6 Sub-verwerker: Iedere verwerker die door de Verwerker wordt ingeschakeld 1.7 Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben 1.8 Datalek: Een inbreuk op de beveiliging als bedoeld in artikel 4 lid 12 AVG 1.9 Toezichthouder: De Gegevensbeschermingsautoriteit of andere bevoegde toezichthoudende autoriteit
2.1 Deze verwerkersovereenkomst regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke. 2.2 Deze overeenkomst treedt in werking op de datum van ondertekening en blijft van kracht zolang de Verwerker persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke. 2.3 Deze overeenkomst eindigt automatisch wanneer de onderliggende hoofdovereenkomst eindigt, tenzij anders overeengekomen. 2.4 Na beëindiging van deze overeenkomst gelden de bepalingen over verwijdering of retournering van persoonsgegevens (artikel 11).
3.1 De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van: [Te specificeren doeleinden, bijvoorbeeld:] • Het leveren van [dienst/product] • Technische ondersteuning en onderhoud • Hosting van applicaties en data • [Overige specifieke doeleinden] 3.2 De aard van de verwerking omvat: • Opslag • Raadpleging • Bewerking • Wijziging • Verstrekking • [Overige verwerkingsactiviteiten] 3.3 De persoonsgegevens worden verwerkt voor de duur van de dienstverlening en conform de overeengekomen bewaartermijnen.
4.1 Categorieën van betrokkenen: [Te specificeren, bijvoorbeeld:] • Klanten • Medewerkers van de Verwerkingsverantwoordelijke • Websitebezoekers • Contactpersonen • [Overige categorieën] 4.2 Type persoonsgegevens: [Te specificeren, bijvoorbeeld:] • Naam en contactgegevens • Identificatiegegevens • Financiële gegevens • Gebruikersgegevens • Technische gegevens (IP-adressen, cookies) • [Overige gegevens] 4.3 Bijzondere categorieën persoonsgegevens (indien van toepassing): • Gezondheidsgegevens • Strafrechtelijke gegevens • [Overige gevoelige gegevens] Verwerking van bijzondere categorieën persoonsgegevens is alleen toegestaan indien expliciet overeengekomen.
5.1 De Verwerker verbindt zich tot het volgende: a) Persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij daartoe verplicht op grond van Unierechtelijke of lidstaatrechtelijke bepalingen; b) Ervoor te zorgen dat personen die gemachtigd zijn om persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden of een wettelijke geheimhoudingsplicht hebben; c) Alle passende technische en organisatorische maatregelen te treffen zoals bedoeld in artikel 32 AVG; d) De voorwaarden voor het inschakelen van een sub-verwerker in acht te nemen zoals bedoeld in artikel 28 lid 2 en 4 AVG; e) Rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke zoveel mogelijk bij te staan met passende technische en organisatorische maatregelen bij het voldoen aan verzoeken van betrokkenen; f) De Verwerkingsverantwoordelijke bij te staan bij het waarborgen van de naleving van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG; g) Naar keuze van de Verwerkingsverantwoordelijke alle persoonsgegevens na afloop van de dienstverlening te verwijderen of te retourneren, en bestaande kopieën te verwijderen, tenzij bewaring vereist is op grond van Unierechtelijke of lidstaatrechtelijke bepalingen; h) Alle informatie beschikbaar te stellen die nodig is om aan te tonen dat aan de verplichtingen uit hoofde van artikel 28 AVG wordt voldaan, en audits en inspecties mogelijk te maken. 5.2 De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien een instructie naar zijn oordeel in strijd is met de AVG of andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
6.1 De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder: a) Pseudonimisering en versleuteling van persoonsgegevens waar passend; b) Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; c) Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; d) Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. 6.2 Specifieke beveiligingsmaatregelen omvatten (niet-limitatief): • Toegangscontrole en authenticatie (multi-factor waar mogelijk) • Encryptie van data in transit (TLS 1.3 of hoger) en at rest (AES-256) • Firewalls en netwerksegmentatie • Logging en monitoring van toegang tot persoonsgegevens • Regelmatige back-ups met off-site opslag • Anti-malware en intrusion detection systemen • Fysieke beveiliging van datacenters • Regelmatige security updates en patch management 6.3 De Verwerker documenteert alle beveiligingsmaatregelen en stelt deze documentatie op verzoek beschikbaar aan de Verwerkingsverantwoordelijke. 6.4 De Verwerker past de beveiligingsmaatregelen aan indien de risico's daartoe aanleiding geven.
7.1 De Verwerker mag geen sub-verwerker inschakelen zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. 7.2 Lijst van huidige sub-verwerkers: • Supabase Inc., Database & Authenticatie, Frankfurt, Duitsland (EU) • Vercel Inc., Website Hosting, Frankfurt, Duitsland (EU) • Stripe Payments Europe Ltd., Betalingsverwerking, Dublin, Ierland (EU) • Sendinblue (Brevo), Transactionele e-mails, Parijs, Frankrijk (EU) • Umami Software Inc., Website Analytics (privacy-vriendelijk, geen tracking cookies), EU Cloud 7.3 De Verwerker stelt de Verwerkingsverantwoordelijke in kennis van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van sub-verwerkers. De Verwerkingsverantwoordelijke heeft een termijn van [aantal dagen, bijv. 14 dagen] om bezwaar te maken tegen deze wijzigingen. 7.4 Wanneer de Verwerker een sub-verwerker inschakelt: a) Worden aan de sub-verwerker via een overeenkomst in essentie dezelfde verplichtingen opgelegd als in deze overeenkomst zijn vastgelegd; b) Blijft de Verwerker volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de sub-verwerker indien deze sub-verwerker niet voldoet aan zijn gegevensbeschermingsverplichtingen. 7.5 De Verwerker zorgt ervoor dat sub-verwerkers dezelfde beveiligingsmaatregelen hanteren als in deze overeenkomst zijn overeengekomen.
8.1 Rechten van betrokkenen De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij het beantwoorden van verzoeken van betrokkenen met betrekking tot: • Inzage (artikel 15 AVG) • Rectificatie (artikel 16 AVG) • Verwijdering/'recht om vergeten te worden' (artikel 17 AVG) • Beperking van de verwerking (artikel 18 AVG) • Dataportabiliteit (artikel 20 AVG) • Bezwaar (artikel 21 AVG) • Geautomatiseerde besluitvorming (artikel 22 AVG) 8.2 De Verwerker: • Stuurt alle verzoeken van betrokkenen binnen [aantal uren, bijv. 48 uur] door naar de Verwerkingsverantwoordelijke; • Neemt geen contact op met betrokkenen zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke, tenzij wettelijk verplicht; • Verleent technische bijstand bij het verzamelen van de gevraagde informatie. 8.3 Compliance ondersteuning De Verwerker verleent redelijke bijstand aan de Verwerkingsverantwoordelijke bij: • Het uitvoeren van Data Protection Impact Assessments (DPIA's) indien van toepassing; • Voorafgaande raadpleging van de toezichthouder indien vereist; • Het voldoen aan overige verplichtingen uit de AVG. 8.4 Kosten voor bijstand worden in rekening gebracht tegen het standaardtarief van de Verwerker, tenzij de bijstand voortvloeit uit een tekortkoming van de Verwerker.
9.1 De Verwerker meldt een datalek zonder onredelijke vertraging, en waar mogelijk binnen 24 uur na constatering, aan de Verwerkingsverantwoordelijke. 9.2 De melding bevat tenminste de volgende informatie (voor zover beschikbaar): a) De aard van het datalek, met waar mogelijk vermelding van de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal databestanden; b) De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt; c) De waarschijnlijke gevolgen van het datalek; d) De door de Verwerker genomen of voorgestelde maatregelen om het datalek aan te pakken, waaronder maatregelen om eventuele nadelige gevolgen te beperken. 9.3 De Verwerker documenteert alle datalekken, met inbegrip van de feiten, de gevolgen en de genomen herstelmaatregelen. 9.4 De Verwerker verleent alle redelijke medewerking aan de Verwerkingsverantwoordelijke bij het afhandelen van het datalek en het voldoen aan de wettelijke meldplichten. 9.5 De Verwerker neemt onmiddellijk alle noodzakelijke maatregelen om: • Verdere ongeoorloofde verwerking te voorkomen; • De gevolgen van het datalek te beperken; • Het datalek te herstellen. 9.6 De Verwerker stelt een grondige analyse op van de oorzaak van het datalek en treft preventieve maatregelen om herhaling te voorkomen.
10.1 De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen uit deze overeenkomst en de AVG. 10.2 De Verwerkingsverantwoordelijke heeft het recht om, of via een door hem gemandateerde auditor: a) Audits uit te voeren bij de Verwerker; b) Inspecties uit te voeren; c) Documentatie op te vragen die relevant is voor de naleving van deze overeenkomst. 10.3 De Verwerker verleent volledige medewerking aan dergelijke audits en inspecties, inclusief: • Toegang tot relevante faciliteiten; • Toegang tot relevante systemen en gegevens; • Toegang tot relevante documentatie; • Medewerking van relevante personeelsleden. 10.4 Audits worden aangekondigd met een redelijke termijn van tenminste [aantal dagen, bijv. 14 dagen], tenzij er sprake is van een incident of vermoeden van niet-naleving. 10.5 Audits vinden plaats tijdens normale kantooruren en op een wijze die de bedrijfsvoering van de Verwerker zo min mogelijk verstoort. 10.6 De Verwerker mag vergoeding vragen voor medewerking aan audits indien deze meer dan [aantal, bijv. 1] keer per jaar plaatsvinden, tenzij de audit het gevolg is van niet-naleving door de Verwerker. 10.7 De Verwerker verstrekt jaarlijks, of op verzoek, een rapportage of certificering (zoals ISO 27001, SOC 2) die aantoont dat aan de beveiligingseisen wordt voldaan.
11.1 Na beëindiging van de dienstverlening: a) Verwijdert de Verwerker alle persoonsgegevens, of b) Retourneert de Verwerker alle persoonsgegevens aan de Verwerkingsverantwoordelijke De keuze ligt bij de Verwerkingsverantwoordelijke. 11.2 De verwijdering of retournering vindt plaats binnen [aantal dagen, bijv. 30 dagen] na beëindiging, tenzij anders overeengekomen. 11.3 Bij retournering: • Worden de gegevens geleverd in een gangbaar, machineleesbaar formaat; • Worden de gegevens op veilige wijze overgedragen (versleuteld); • Ontvangt de Verwerkingsverantwoordelijke een bevestiging van succesvolle overdracht. 11.4 Na retournering of verwijdering verwijdert de Verwerker alle kopieën van de persoonsgegevens, tenzij: • Bewaring vereist is op grond van Unierechtelijke of lidstaatrechtelijke bepalingen; • De gegevens onderdeel zijn van back-ups die volgens het reguliere back-up beleid automatisch worden verwijderd. 11.5 De Verwerker verstrekt een schriftelijke bevestiging van verwijdering of retournering aan de Verwerkingsverantwoordelijke. 11.6 Indien bewaring vereist is op grond van wetgeving, informeert de Verwerker de Verwerkingsverantwoordelijke hierover en blijft deze overeenkomst van toepassing op de bewaarde gegevens.
12.1 De Verwerker zal persoonsgegevens verwerken binnen de Europese Economische Ruimte (EER), tenzij anders overeengekomen. 12.2 Indien overdracht naar een land buiten de EER noodzakelijk is: a) Vindt deze overdracht alleen plaats met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke; b) Zijn passende waarborgen van toepassing, zoals: • Adequaatheidsbesluit van de Europese Commissie (art. 45 AVG); • Standaard Contractuele Clausules goedgekeurd door de Europese Commissie (art. 46 AVG); • Binding Corporate Rules (art. 47 AVG); • Goedgekeurde gedragscode of certificering (art. 40, 42 AVG); c) Voert de Verwerker een Transfer Impact Assessment (TIA) uit conform de Schrems II uitspraak; d) Documenteert de Verwerker alle internationale overdrachten. 12.3 De Verwerker informeert de Verwerkingsverantwoordelijke onmiddellijk indien: • Een overheidsdienst toegang vraagt tot de persoonsgegevens; • Wijzigingen in wet- en regelgeving de gegevensbescherming kunnen beïnvloeden; • De Verwerker niet langer kan voldoen aan de afgesproken waarborgen. 12.4 De Verwerker zorgt ervoor dat sub-verwerkers in derde landen aan dezelfde waarborgen voldoen.
13.1 Beide partijen verbinden zich tot strikte geheimhouding van alle vertrouwelijke informatie die zij in het kader van deze overeenkomst van elkaar verkrijgen. 13.2 De Verwerker zorgt ervoor dat alle personen die toegang hebben tot de persoonsgegevens: • Zijn gebonden aan een geheimhoudingsplicht (contractueel of wettelijk); • Getraind zijn in gegevensbescherming en privacy; • Alleen toegang hebben op 'need-to-know' basis. 13.3 De geheimhoudingsplicht blijft ook na beëindiging van deze overeenkomst van kracht. 13.4 De geheimhoudingsplicht geldt niet voor informatie die: • Publiekelijk bekend is of wordt zonder schending van deze overeenkomst; • Rechtmatig wordt verkregen van een derde partij; • Openbaar gemaakt moet worden op grond van een wettelijke verplichting.
14.1 Elke partij is aansprakelijk voor schade die zij veroorzaakt door een inbreuk op deze overeenkomst of de AVG. 14.2 De Verwerker is alleen aansprakelijk voor schade veroorzaakt door verwerking indien: a) Hij de in de AVG aan verwerkers opgelegde verplichtingen niet is nagekomen; of b) Hij heeft gehandeld buiten of in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke. 14.3 De Verwerker is niet aansprakelijk indien hij aantoont dat hij op geen enkele wijze verantwoordelijk is voor de gebeurtenis die de schade heeft veroorzaakt. 14.4 Indien meerdere verwerkingsverantwoordelijken of verwerkers betrokken zijn bij dezelfde verwerking, is iedere verwerkingsverantwoordelijke of verwerker aansprakelijk voor de gehele schade, tenzij hij bewijst niet verantwoordelijk te zijn. 14.5 Naast de hierboven genoemde aansprakelijkheid gelden de aansprakelijkheidsbepalingen uit de hoofdovereenkomst. 14.6 De aansprakelijkheidsbeperkingen uit de hoofdovereenkomst zijn niet van toepassing indien de schade is veroorzaakt door opzet of grove schuld van de Verwerker. 14.7 Beide partijen hebben een passende aansprakelijkheidsverzekering afgesloten.
15.1 De Verwerker verleent volledige medewerking aan de toezichthoudende autoriteit(en) bij het uitoefenen van hun taken. 15.2 De Verwerker informeert de Verwerkingsverantwoordelijke onmiddellijk indien: • De toezichthouder contact opneemt met de Verwerker; • Een onderzoek wordt ingesteld door de toezichthouder; • Een sanctie wordt opgelegd door de toezichthouder. 15.3 De Verwerker overlegt met de Verwerkingsverantwoordelijke voordat hij informatie verstrekt aan de toezichthouder, tenzij dit wettelijk niet is toegestaan.
16.1 Wijzigingen in deze verwerkersovereenkomst zijn alleen geldig indien deze schriftelijk zijn overeengekomen door beide partijen. 16.2 Indien wijzigingen in de AVG of andere wetgeving aanpassingen vereisen, zullen partijen te goeder trouw overleg plegen om deze overeenkomst dienovereenkomstig aan te passen. 16.3 De Verwerker mag eenzijdig wijzigingen aanbrengen in de beveiligingsmaatregelen indien deze leiden tot een hoger beschermingsniveau, mits de Verwerkingsverantwoordelijke hiervan op de hoogte wordt gesteld.
17.1 Indien een bepaling van deze overeenkomst nietig of niet afdwingbaar blijkt, blijven de overige bepalingen onverminderd van kracht. 17.2 Deze verwerkersovereenkomst prevaleert boven tegenstrijdige bepalingen in de hoofdovereenkomst voor zover het gaat om de verwerking van persoonsgegevens. 17.3 Op deze overeenkomst is Nederlands/Belgisch recht van toepassing. 17.4 Alle geschillen voortvloeiend uit of verband houdend met deze overeenkomst zullen worden voorgelegd aan de bevoegde rechter in [plaats].
't SpeelFabrik VZW
Langestraat 15b
1910 Kampenhout
KBO: 1030.185.629
BTW: BE 1030.185.629
Naam: _________________________
Functie: _________________________
Datum: _________________________
Handtekening: _________________________
[Naam Verwerker]
[Adres]
[Postcode en plaats]
KVK: [nummer]
BTW: [nummer]
Naam: _________________________
Functie: _________________________
Datum: _________________________
Handtekening: _________________________
BIJLAGE A: DETAILS VAN DE VERWERKING 1. Onderwerp van de verwerking: [Te specificeren] 2. Duur van de verwerking: Voor de duur van de hoofdovereenkomst plus [X] maanden voor retentie 3. Aard en doel van de verwerking: [Gedetailleerde beschrijving van de verwerkingsactiviteiten] 4. Type persoonsgegevens: [Gedetailleerde lijst van alle persoonsgegevens] 5. Categorieën van betrokkenen: [Gedetailleerde lijst van betrokkenen] 6. Specifieke instructies van de Verwerkingsverantwoordelijke: [Gedetailleerde instructies] --- BIJLAGE B: TECHNISCHE EN ORGANISATORISCHE MAATREGELEN [Gedetailleerde beschrijving van alle beveiligingsmaatregelen conform artikel 32 AVG] 1. Toegangsbeveiliging 2. Toegangscontrole 3. Versleuteling 4. Back-ups en disaster recovery 5. Incident response procedures 6. Logging en monitoring 7. Fysieke beveiliging 8. Netwerkbeveiliging 9. Awareness en training 10. [etc.] --- BIJLAGE C: LIJST SUB-VERWERKERS [Actuele lijst met alle sub-verwerkers, regelmatig bij te werken]