Bijlage 2 - Bewerkersovereenkomst

<Logo Bewerker>Afbeelding 1

Bewerkersovereenkomst

Afbeelding 2


De overeenkomst

Bewerkersovereenkomst van de gemeente Wageningen met de <nader in te vullen bewerker>


Het College van Burgemeester en Wethoudersvan de gemeente Wageningen, verder te noemen

de verantwoordelijke, ten deze rechtsgeldig vertegenwoordigd door de <heer of mevrouw>

<persoonsnaam>.,


en


<Bedrijf, afdeling>, gevestigd te <plaatsnaam>,verder te noemen de bewerker, ten deze

rechtsgeldig vertegenwoordigd door de <de heer of mevrouw>, <persoonsnaam> , <functie>,


verklaren te zijn overeengekomen een bewerkersovereenkomst als bedoeld in artikel 14, tweede

lid, van de Wbp, tussen de verantwoordelijke en de bewerker.



Definities

Artikel 1.

1.1 Bijlagen: aanhangsels bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze overeenkomst.

1.2 Normen en standaarden: de door de verantwoordelijke vastgestelde normen en standaarden ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de bewerker zullen worden gevolgd als vastgelegd in bijlage 2<door gemeente bij te voegen>.

1.3 Verwerking van persoonsgegevens of het verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.

1.4 Bestand:elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

1.5 Verantwoordelijke:de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.6 Bewerker:degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

1.7 Betrokkene: degene op wie een persoonsgegeven betrekking heeft.

1.8 Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.

1.9 Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.

1.10 Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

1.11 Het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51 van de Wbp.

1.12 Functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de Wbp.

1.13 Voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31 van de Wbp.

1.14 Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.



Ingangsdatum en duur

Artikel 2.

2.1 Deze overeenkomst gaat in op het moment van ondertekening en duurt voort zolang de

bewerker als bewerker van persoonsgegevens optreedt in het kader van de door de verantwoordelijke ter beschikking gestelde persoonsgegevens voor <nader in te vullen omschreven doel>.



Onderwerp van deze overeenkomst

Artikel 3.

3.1 De bewerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke in het kader van de uitvoering van < contract, nummer>; dit is de onderliggende hoofdovereenkomst. De door de bewerker uit te voeren werkzaamheden waar deze bewerkersovereenkomst betrekking op heeft, worden nader omschreven in bijlage 1.

3.2 De bewerker verbindt zich om in het kader van die werkzaamheden de door de verantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.

3.3 De bewerker neemt passende technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze beveiligingsmaatregelen garanderen een passend beveiligingsniveau gelet op de te verrichten verwerkingen.



Naleving wet- en regelgeving

Artikel 4.

4.1 De Dienst / sector / cluster <afdelingsnaam> van de gemeente Wageningen treedt namens de verantwoordelijke op als contactpersoon.

4.2 De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, in overeenstemming met diens instructies.

4.3 De bewerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt nimmer bij de bewerker te berusten.

4.4 De bewerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van persoonsgegevens. De bewerker verwerkt persoonsgegevens slechts in opdracht van de verantwoordelijke en zal alle redelijke instructies van de contactpersoon, als bedoeld in het eerste lid, dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.

4.5 De bewerker zal onmiddellijk bij het ontdekken van beveiligingsinbreuken of datalekken deze melden aan de verantwoordelijke, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 10.3 en 10.4 van deze overeenkomst.

4.6 De bewerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in het eerste lid, alle van de verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst ter hand stellen.

4.7 De bewerker zal alle van de verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst op een nader te bepalen wijze vernietigen op het moment van beëindigen van deze overeenkomst, dan wel op uitdrukkelijk verzoek van de verantwoordelijke de gegevens te vernietigen op een nader te bepalen wijze.

4.8 De bewerker stelt de verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

4.9 Bewerker zal de Persoonsgegevens louter binnen de grenzen van Nederland verwerken (inclusief opslag).



Geheimhoudingsplicht

Artikel 5.

5.1 Personen in dienst van, dan wel werkzaam ten behoeve van de bewerker, evenals de bewerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of de werkzaamheden als bewerker daartoe noodzaken. De medewerkers van de bewerker tekenen hiertoe een geheimhoudingsverklaring.

5.2 Indien de bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de bewerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de bewerker de verantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.



Meldplicht datalekken en beveiligingsincidenten

Artikel 6

6.1 De bewerker zal de verantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 24 uur na de eerste ontdekking – informeren over alle inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan een toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.

6.2 De bewerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de verantwoordelijke.

6.3 De bewerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).

6.4 De bewerker houdt een gedetailleerd logboek bij van alle inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen, en geeft daar op eerste verzoek van de verantwoordelijke inzage in.



Beveiligingsmaatregelen

Artikel 7.

7.1 De bewerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. De wijze van beveiliging wordt nader omschreven in bijlage 2.

7.2 De verantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te (doen) controleren. De bewerker is verplicht de verantwoordelijke of controlerende instantie in opdracht van verantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

7.3 De verantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de bewerker.

7.4 De bewerker verbindt zich om binnen een door de verantwoordelijke te bepalen termijn de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de bewerker van deze overeenkomst. De verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

7.5 Bewerker staat er voor in, de door de verantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de verantwoordelijkete bepalen termijn uit te voeren.

7.6 De bewerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze overeenkomst.

7.7 Naast rapportages door de bewerker en audits door de verantwoordelijke of controlerende instantie in opdracht van de verantwoordelijke, kunnen beide partijen ook overeenkomen gebruik te maken van een Third Party Memorandum (TPM) opgesteld door een onafhankelijke externe deskundige.



Inschakeling derden

Artikel 8.

8.1 De bewerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de verantwoordelijke.

8.2 De verantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze bewerkersovereenkomst.

8.3 De bewerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bewerkersovereenkomst.



Wijziging overeenkomst

Artikel 9.

9.1 Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

9.2 Zodra de samenwerking is beëindigd, zal de bewerker naar keuze van de verantwoordelijke (i) alle of een door verantwoordelijke bepaald gedeelte van haar in het kader van deze overeenkomst ter beschikking gestelde persoonsgegevens aan de verantwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van de verantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. De verantwoordelijk kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.

9.3 De bewerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit waarborgen zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.

9.3 Elk van de partijen is gerechtigd de overeenkomst met onmiddellijke ingang te beëindigen bij een zodanige wijziging van wettelijke regels dat een verdere voortzetting van de overeenkomst niet kan worden verlangd.

9.4 Bij het beëindigen van de overeenkomst met onmiddellijke ingang, wordt in de brief aan de bewerker de reden van beëindiging vermeld.

9.5 Verantwoordelijke en bewerker treden met elkaar in overleg over wijzigingen in deze overeenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.




Aansprakelijkheid

Artikel 10.

10.1 Indien de bewerker tekortschiet in de nakoming van de verplichting uit deze overeenkomst kan verantwoordelijke hem in gebreke stellen. Bewerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de bewerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is bewerker in verzuim.

10.2 Bewerker is aansprakelijk op grond van het bepaalde in artikel 49 van de Wbp, schade of nadeel voortvloeiende uit het niet nakomen van deze overeenkomst daaronder begrepen.

10.3. Bewerker vrijwaart Verantwoordelijke voor schade of nadeel voor zover ontstaan door werkzaamheid van de Bewerker.

10.4 Indien de verantwoordelijke een boete krijgt opgelegd door een derde partij zoals de Autoriteit Persoonsgegevens, waarbij het aantoonbaar is dat oorzaak volledig bij de bewerker ligt, zal de bewerker de volledige boete vergoeden.



Toepasselijk recht

Artikel 11.

11.1 Op deze overeenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.



Citeertitel

Artikel 12.

12.1 Deze overeenkomst kan worden aangehaald als ‘Bewerkersovereenkomst uitvoering

<………>’.


Aldus in tweevoud opgesteld en getekend de dato


Namens de verantwoordelijke, de Dienst / Afdeling / cluster <afdelingsnaam> van de gemeente Wageningen,


de


Namens de <nader in te vullen gegevens bewerker> <nader in te vullen gegevens vertegenwoordiger bewerker, zoals genoemd in de aanhef>



Bijlage 1: omschrijving werkzaamheden ter

uitwerking van artikel 3

Afbeelding 3


  1. De werkzaamheden van de bewerker (de verleende diensten en de bijbehorende verwerking).


Hier een lijstje opnemen met werkzaamheden die veel voorkomen zoals:

  • Hosting bestaande uit activiteiten zoals…

  • Back-ups maken en restoren

  • Applicatiebeheer bestaande uit activiteiten zoals…

  • Technisch beheer bestaande uit activiteiten zoals…

  • Database beheer bestaande uit activiteiten zoals…

  • Helpdesk bestaande uit activiteiten zoals…

  • Communicatievoorziening (zoals berichtenverkeer)

  • Archiefbeheer

  • Vernietiging van gegevensdragers

  • Printing, scanning, kopieren (lease van Multifunctionals)

  • Inhoudelijke werkzaamheden die namens de gemeente worden uitgevoerd zoals:

    • Uitgifte parkeervergunningen

    • Voeren salarisadministratie

    • Bijvoorbeeld: uitvoeren bepaalde gemeentelijke taken uit de Jeugdwet, WMO,

    • participatiewet


Indien de werkzaamheden in de hoofdovereenkomst specifiek omschreven zijn, kan dit lijstje

achterwege blijven. Of hier verwijzen naar de hoofdovereenkomst. De achtergond van de

beschrijving is dat je voldoende duidelijk maakt wat er beveiligd moet worden. Het is de bedoeling

dat de zinnen afgemaakt worden met specifieke omschrijvingen!


  1. Omschrijving van de werkzaamheden van de derden (subbewerkers) als deze er zijn, als

bedoeld in artikel 8.


  • Lijstje opnemen met werkzaamheden die veel voorkomen zoals:

  • Hosting bestaande uit activiteiten zoals…

  • Back-ups maken en restoren

  • Applicatiebeheer bestaande uit activiteiten zoals…

  • Technisch beheer bestaande uit activiteiten zoals…

  • Database beheer bestaande uit activiteiten zoals…

  • Helpdesk bestaande uit activiteiten zoals…

  • Communicatievoorziening (zoals berichtenverkeer)

  • Onderhoud aan multifunctionals


De achtergond van de beschrijving is dat er voldoende duidelijk gemaakt wordt wat er beveiligd

moet worden. Ook hier geldt dat de zinnen afgemaakt worden met specifieke omschrijvingen!


  1. Categorieën personen en soorten persoonsgegevens


Algemene omschrijving van de categorieën personen waar de gegevens die verwerkt worden

betrekking op hebben zoals: personeelsleden, burgers, ingeschrevenen, vergunning aanvragers,

voorziening aanvragers (cliënten).

Is er bij de verwerkte gegevens sprake van gegevens van gevoelige aard als bedoelt in de

beleidsregels datalekken van de AP:

  • Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp. Het gaat hierbij om

persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid,

gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke

persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband

met een opgelegd verbod naar aanleiding van dat gedrag. Het BSN valt ook onder

bijzondere persoonsgegevens.

  • Gegevens over de financiële of economische situatie van de betrokkene. Hieronder vallen

bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens.

  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene.

Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of

relatieproblemen.

  • Gebruikersnamen, wachtwoorden en andere inloggegevens. De mogelijke gevolgen voor

betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de

inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel

mensen wachtwoorden hergebruiken voor verschillende verwerkingen.

  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude. Het gaat hierbij onder

meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het

Burgerservicenummer (bsn).


Is er sprake van de verwerking van gegevens over kwetsbare groepen zoals:

  • minderjarigen;

  • mensen die te maken hebben met stalking;

  • die in een blijf-van-mijn-lijfhuis verblijven.

Voor bepaalde categorieën van betrokkenen:

  • kinderen en mensen met een verstandelijke handicap.


Bijlage 2: Beschrijving beveiliging ter uitwerking van artikel 7 lid 1

Afbeelding 4


1. Normenstelsel (kies a of b)

a. De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk:

(vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS)

b. De informatiebeveiliging vindt plaats volgens een algemeen erkende overheidsnorm zoals

de BIG of de BIR of vergelijkbaar.


2. De toereikendheid van de informatiebeveiliging blijkt uit:

a. Certificering;

b. Periodieke externe controles zoals audits of TPM’s (bijv. ISAE3xxx SOC type II);

c. Een Assurance rapport met conclusie over de bevindingen van de auditor;

d. Eigen controles of eigen mededelingen.


3. Uit de certificering of periodieke externe controles of uit de audits of uit de eigen controles

blijkt of kan afgeleid worden dat de beveiliging voldoet aan of gelijkwaardig is met de

toelichting en de daarin omschreven elementen. [ zie bijlage model VNG]