BIJLAGE 4C BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: (1) UNIVERSITEIT UTRECHT, gevestigd te 3584 CS, Utrecht en kantoorhoudende aan de Heidelberglaan 8, hierbij rechtsgeldig vertegenwoordigd door [naam], [functie], hierna te noemen: "de universiteit"; EN (2) [BEWERKER]. gevestigd te ([postcode]) [Plaats] en kantoorhoudende aan de [adres], hierbij rechtsgeldig vertegenwoordigd door [naam], [functie] hierna te noemen: "[Bewerker]"; hierna gezamenlijk te noemen: "Partijen" en afzonderlijk te noemen: "Partij"; NEMEN HET VOLGENDE IN AANMERKING: (A) (B) (C) [Bewerker] en de universiteit hebben op [datum] een Dienstverleningsovereenkomst [naam overeenkomst] afgesloten. Deze Overeenkomst maakt onderdeel uit van de Dienstverleningsovereenkomst; Op basis van de Dienstverleningsovereenkomst zal [Bewerker] diensten verlenen aan de universiteit. Deze dienstverlening brengt het verwerken van Persoonsgegevens mee; Volgens de Wet bescherming persoonsgegevens is de universiteit te kwalificeren als de verantwoordelijke en [Bewerker] als de bewerker. In overeenstemming met de Wet bescherming persoonsgegevens wensen Partijen in deze Overeenkomst hun afspraken over het verwerken van de Persoonsgegevens door [Bewerker] als bewerker vast te leggen; EN VERKLAREN HET VOLGENDE TE ZIJN OVEREENGEKOMEN: (1)
1 Definities In het kader van deze Overeenkomst worden de volgende definities gehanteerd: 1.1 Dienstverleningsovereenkomst: de tussen Partijen gesloten overeenkomst inzake de door [Bewerker] aan de universiteit te verlenen diensten; 1.2 Datalek: een inbreuk op de beveiliging welke leidt tot het ongeoorloofd verwerven van, toegang verkrijgen tot, gebruiken van of openbaar maken van Persoonsgegevens. 1.3 Overeenkomst: deze overeenkomst met overwegingen en eventuele bijlagen; 1.4 Persoonsgegevens: enige informatie die herleidbaar is tot een geïdentificeerde of identificeerbare natuurlijke persoon, die verwerkt zal worden door [Bewerker] ter uitvoering van de Dienstverleningsovereenkomst. 2 Voorwerp van deze Overeenkomst 2.1 Bij de uitvoering van de Dienstverleningsovereenkomst is [Bewerker] aan te merken als bewerker van de Persoonsgegevens ten behoeve van de universiteit. De universiteit is de verantwoordelijke van de Persoonsgegevens. 2.2 De universiteit draagt hierbij de [Bewerker] op om Persoonsgegevens te verwerken zoals bepaald in bijlage A van deze Overeenkomst. [Bewerker] zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van de universiteit. De universiteit blijft te allen tijde de eigenaar van de Persoonsgegevens. 2.3 [Bewerker] zal de universiteit onverwijld in kennis stellen van enige klachten, verzoeken of vragen die werden ontvangen van personen, met inbegrip van maar niet beperkt tot verzoeken tot correctie, verwijdering of blokkering van Persoonsgegevens. 2.4 De universiteit zal geen Subbewerkers van [Bewerker] toestaan Persoonsgegevens te verwerken zonder de schriftelijke toestemming van de universiteit. [Bewerker] zal Persoonsgegevens niet overbrengen naar enig land buiten de EER met een Niet-passend beschermingsniveau of dergelijke Persoonsgegevens toegankelijk maken vanuit een dergelijk land met een Niet-passend (2)
beschermingsniveau zonder schriftelijke toestemming van de universiteit en met volledige gebruikmaking van de "Modelcontractbepalingen (verwerkers)" krachtens het bepaalde in artikel 26(2) van richtlijn 95/46/EC en artikel 77(1)(g) van de Wbp. 3 Beveiliging 3.1 [Bewerker] zal passende technische en organisatorische beveiligingsmaatregelen implementeren. Deze maatregelen zullen, met inachtneming van de stand der techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, met inachtneming van de risico's die het verwerken van de Persoonsgegevens, en de aard daarvan, meebrengen. De maatregelen die [Bewerker] zal nemen zijn vermeld in bijlage B van deze Overeenkomst. 3.2 De universiteit kan de bewerkingsfaciliteiten van [Bewerker], in overleg met [Bewerker], (laten) onderwerpen aan een audit om de genomen technische en organisatorische maatregelen te (laten) onderzoeken. 3.3 [Bewerker] zal de Universiteit onverwijld informeren in het geval van het signaleren of het bestaan van een redelijk vermoeden dat er een Datalek heeft plaatsgevonden. [Bewerker] zal in het geval van een Datalek zo snel mogelijk passende corrigerende maatregelen nemen. Verder zal [Bewerker] de universiteit onmiddellijk voorzien van alle relevante informatie over het Datalek. 3.4 [Bewerker] zal Persoonsgegevens vertrouwelijk behandelen en Persoonsgegevens niet verstrekken aan derden zonder de schriftelijke toestemming van de universiteit, tenzij (i) overeenkomstig bepaling 2.4 de verstrekking noodzakelijk is voor de uitvoering van de verwerking, of (ii) Persoonsgegevens moeten worden verstrekt aan een bevoegde overheidsinstantie in het kader van een wettelijke verplichting. 4 Verplichtingen van de universiteit 4.1 De universiteit garandeert dat de Persoonsgegevens rechtmatig zijn verkregen. De universiteit zal alle toepasselijke wettelijke bepalingen betreffende het verwerken van de Persoonsgegevens stipt in acht nemen, en er voor zorgen dat alle voorgeschreven meldingen zijn vereist. De universiteit zal [Bewerker] alle ter zake gevraagde informatie onverwijld schriftelijk verstrekken. (3)
4.2 De universiteit zal [Bewerker] vrijwaren tegen iedere claim van een derde die jegens [Bewerker] mocht worden ingesteld wegens schending van de Wet bescherming persoonsgegevens door de universiteit, die toerekenbaar is aan de universiteit. 5 Duur en beëindiging 5.1 Deze Overeenkomst treedt in werking zodra de Dienstverleningsovereenkomst van kracht is. Deze Overeenkomst zal van kracht zijn gedurende de looptijd van de Dienstverleningsovereenkomst. 5.2 Indien de Dienstverleningsovereenkomst eindigt, eindigt deze Overeenkomst automatisch. 5.3 Indien deze Overeenkomst eindigt, dienen alle Persoonsgegevens en alle kopieën daarvan onmiddellijk op eerste schriftelijke verzoek van de universiteit te worden verstrekt aan de universiteit, of zal [Bewerker], naar keuze van de universiteit, alle Persoonsgegevens vernietigen. 6 Overige bepalingen 6.1 Op deze Overeenkomst is Nederlands recht van toepassing. 6.2 Alle geschillen die uit deze Overeenkomst mochten voortvloeien, zullen worden beslecht door de instantie die ook bevoegd is te oordelen over de geschillen die uit de Dienstverleningsovereenkomst mochten voortvloeien. 6.3 Afwijkingen van en aanvullingen op deze Overeenkomst zijn slechts geldig indien deze uitdrukkelijk en schriftelijk zijn overeengekomen. 6.4 Deze Overeenkomst vormt een aanvulling op de Dienstverleningsovereenkomst. Bij tegenspraak tussen bepalingen uit deze Overeenkomst en de Dienstverleningsovereenkomst prevaleren de bepalingen uit deze Overeenkomst. (4)
ALDUS OVEREENGEKOMEN EN IN TWEEVOUD OPGEMAAKT EN GETEKEND TE.. OP 2015. Universiteit Utrecht [Bewerker] [naam] [functie] [naam] [functie] (5)
BIJLAGE A - Overzicht van het verwerken van Persoonsgegevens Betrokkenen De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen: [kies een of meer categorieën betrokkenen] (potentiële)/(ex) klanten (potentiële)/(ex) studenten sollicitanten en (ex) werknemers, stagiaires (ex) (potentiële) leveranciers (potentiële)/(ex) zakelijke partners Categorieën persoonsgegevens De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens: [kies en beschrijf een of meer categorieën, zie hieronder een voorbeeld] (potentiële)/(ex) klanten Persoonlijke gegevens (naam, user naam, functie etc.), communicatie gegevens (e.g. telefoon, e-mail, adres), contract gegevens (contractuele relatie, orders), klantgeschiedenis, gegevens betreffende facturatie en betalingen, bankrekening nummers. Bijzondere categorieën gegevens (indien van toepassing) De doorgegeven persoonsgegevens betreffen de volgende bijzondere categorieën gegevens: [kies een of meer categorieën uit gegevens betrekking hebbende op (niet van toepassing/godsdienst/ras/politieke gezindheid, gezondheid/strafrechtelijk verleden/bsn nummers] Verwerking De doorgegeven persoonsgegevens zullen de volgende basisverwerkingen ondergaan: [voeg beschrijving toe van de werkzaamheden voor de universiteit] Het uitvoeren van een analyse voor het verlenen van ondersteuning,beheer, versterken en aanpassen van het applicatie en infrastructuur landschap. Het invoeren van data, het verwijderen en/of aanpassen van data op verzoek en na goedkeuring van door de universiteit geautoriseerd personeel. (6)
BIJLAGE B - Beveiligingsmaatregelen [Beschrijving toevoegen] (7)