Bewerkersovereenkomst Afnemer – Logius behorende bij het aanvraagformulier MijnOverheid
Definitief | 8 mei 2014 | Bewerkersovereenkomst MijnOverheid
De ondergetekenden:
[…], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd door de Minister van Binnenlandse Zaken en Koninkrijksrelaties, voor deze de directeur Logius, de heer S.B. Luitjens, verder te noemen: Logius gezamenlijk verder te noemen: Partijen
Overwegende dat: -
[optionele 1e overweging/waar van toepassing] Afnemer en Logius een Dienstverleningsovereenkomst [kenmerk, datum etc invoegen] zijn overeengekomen;
-
Afnemer en Logius een Opdrachtbrief zijn overeengekomen;
-
In het door Afnemer ondertekende Aanvraagformulier MijnOverheid, Afnemer akkoord is gegaan met de voorwaarden MijnOverheid productieomgeving;
-
Door Afnemer als ‘verantwoordelijke’ in de zin van de Wet bescherming persoonsgegevens (Wbp), Persoonsgegevens worden verwerkt in de door haar verzonden berichten met als doel het afleveren van berichten in de Berichtenbox , dan wel worden verwerkt met als doel het tonen van Persoonsgegevens in Lopende Zaken en/of Persoonlijke Gegevens binnen MijnOverheid;
-
Logius als ‘bewerker’ in de zin van de Wbp, op grond van de door haar te verrichten Dienst(en) te maken krijgt met deze Persoonsgegevens;
-
Door Logius als ‘verantwoordelijke’ in de zin van Wbp daarnaast Persoonsgegevens worden verwerkt met als doel de goede werking van MijnOverheid en de daaronder vallende functionaliteiten;
-
De reikwijdte van deze Bewerkersovereenkomst is dat Logius optreedt als bewerker van Persoonsgegevens waarvoor Afnemer is aan te merken als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens;
2
Definitief | 8 mei 2014 | Bewerkersovereenkomst MijnOverheid
VERKLAREN ALS VOLGT TE ZIJN OVEREENGEKOMEN: Artikel 1. Definities 1.1.
MijnOverheid: de website op het webadres mijn.overheid.nl waarop elektronische diensten aan de Gebruiker ter beschikking worden gesteld.
1.2.
Aanvraagformulier MijnOverheid: het formulier waarmee door Afnemer een opdracht voor beschikbaarstelling van Diensten ten behoeve van MijnOverheid wordt geplaatst.
1.3.
Dienst(en): het door Logius te leveren samenstel van producten en dienstverlening ten behoeve van de Afnemer, zoals beschreven in de producten- en dienstencatalogus die gepubliceerd is op de website van Logius.
1.4.
Berichtenbox: de persoonlijke elektronische berichtenbox binnen MijnOverheid waarin een Gebruiker persoonlijke berichten van Afnemers ontvangt of kan ontvangen.
1.5.
Lopende Zaken: de persoonlijke elektronische dienst op MijnOverheid waarin een Gebruiker kan zien welke zaken/procedures hij bij de aangesloten Afnemers heeft lopen.
1.6.
Persoonlijke Gegevens: de persoonlijke elektronische dienst op MijnOverheid waarin een Gebruiker kan zien welke persoonlijke gegevens zijn geregistreerd bij de aangesloten Afnemers.
1.7.
Gebruiker: een natuurlijk persoon die is ingeschreven in de Basisregistratie Personen (BRP), uit dien hoofde beschikt over een burgerservicenummer of een ander van overheidswege toegekend persoonsnummer, en in het bezit is van een DigiD.
1.8.
Opdrachtbrief MijnOverheid: een jaarlijks door Partijen ondertekend document waarin is vastgelegd welke activiteiten Logius voor een Dienst onderneemt in het kader van het beheer en de exploitatie of doorontwikkeling. In de Opdrachtbrief is eveneens vastgelegd in welke periode Logius zijn activiteiten uitvoert.
1.9.
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, voor zover dat gegeven in opdracht van de Afnemer wordt verwerkt.
1.10.
Functionaris voor de gegevensbescherming: de door Afnemer benoemde functionaris als bedoeld in artikel 62 van de Wet bescherming persoonsgegevens.
1.11.
Meldplicht datalekken: Voorgenomen wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (Kamerstukken Tweede Kamer 2012-2013 - dossiernr. 33 662)
1.12.
Bewerkersovereenkomst: een overeenkomst als bedoeld in artikel 14, tweede lid, van de Wet bescherming persoonsgegevens.
3
Definitief | 8 mei 2014 | Bewerkersovereenkomst MijnOverheid
Artikel 2. Reikwijdte en onderwerp van deze Bewerkersovereenkomst 2.1.
De reikwijdte van deze Bewerkersovereenkomst is dat Logius optreedt als bewerker van Persoonsgegevens waarvoor Afnemer is aan te merken als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens.
2.2.
Logius verplicht zich om bij het verrichten van haar Dienst(en) en het beheer zoals bedoeld in de Opdrachtbrief de Persoonsgegevens te verwerken conform de instructies van Afnemer met als doel het juist en conform overeengekomen afspraken afleveren van berichten van de Afnemer in de Berichtenbox en/of met als doel het tonen van Persoonsgegevens in Lopende Zaken en/of Persoonlijke Gegevens.
Artikel 3. Verplichtingen van Afnemer 3.1.
Afnemer is in de zin van de Wbp de verantwoordelijke voor de inhoud en gerelateerde verwerking van Persoonsgegevens van de door hem verzonden berichten die via de Berichtenbox aan Gebruiker beschikbaar worden gesteld en/of de door hem getoonde Persoonsgegevens in Lopende Zaken en/of Persoonlijke Gegevens.
3.2.
Afnemer heeft de verwerking van de Persoonsgegevens gemeld bij het College Bescherming Persoonsgegevens of zijn Functionaris Gegevensbescherming.
3.3.
Afnemer garandeert dat de persoonsgegevens rechtmatig zijn verkregen. Afnemer zal alle toepasselijke bepalingen betreffende het verwerken van de persoonsgegevens stipt in acht nemen. Afnemer zal Logius alle ter zake gevraagde informatie onverwijld schriftelijk verstrekken.
3.4.
Afnemer zal Logius vrijwaren tegen iedere claim van een derde die jegens Logius mocht worden ingesteld wegens schending van de Wet bescherming persoonsgegevens door de Afnemer, die toerekenbaar is aan Afnemer.
Artikel 4. Verplichtingen van Logius 4.1.
Logius zal overeenkomstig het bepaalde in deze Bewerkersovereenkomst handelen bij de uitvoering van haar Dienst(en).
4.2.
Logius stelt Afnemer, mits Afnemer het verzoek daartoe tijdig doet, te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, welke samenhangen met de verwerking door Logius, meer in het bijzonder met betrekking tot de rechten van betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
4.3.
Logius verwerkt de Persoonsgegevens slechts in opdracht van de Afnemer en zal alle redelijke instructies van Afnemer dienaangaande opvolgen, behoudens indien deze afwijken van wettelijke voorschriften.
4
Definitief | 8 mei 2014 | Bewerkersovereenkomst MijnOverheid
4.4.
Indien Logius de Dienst(en) geheel of ten dele heeft uitbesteed aan één of meer derden, is Logius gehouden de verplichtingen van deze Bewerkersovereenkomst, voor zover relevant, aan bedoelde derde(n) op te leggen, alsmede toe te zien op de naleving daarvan. Logius blijft te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de verplichtingen in deze Bewerkersovereenkomst welke aan haar zijn opgelegd.
4.5.
Op verzoek van Afnemer wordt binnen een daartoe door Afnemer bepaalde redelijke termijn door Logius (een deel van) de Persoonsgegevens aan een derde overgedragen of worden Persoonsgegevens in een andere vorm door Logius bewaard of worden deze Persoonsgegevens op een door Afnemer nader te bepalen wijze vernietigd. Berichten die zijn afgeleverd in een Berichtenbox worden niet overgedragen, maar alleen periodiek door Logius vernietigd na verloop van de vaste bewaartermijn.
4.6.
Logius zal te allen tijde op eerste verzoek onmiddellijk alle in opdracht van Afnemer verwerkte Persoonsgegevens aan Afnemer ter beschikking stellen. Berichten die zijn afgeleverd in een Berichtenbox worden niet overgedragen aan Afnemer.
4.7.
Logius zal te allen tijde op eerste verzoek van Afnemer onmiddellijk alle kopieën van van Afnemer afkomstige en/of in opdracht van Afnemer verwerkte Persoonsgegevens met betrekking tot de Afnemer vernietigen. Berichten die zijn afgeleverd in een Berichtenbox worden alleen door Logius periodiek vernietigd na verloop van de vaste bewaartermijn.
4.8.
Anticiperend op de invoering van een Meldplicht datalekken, komen Partijen voor de periode na inwerkingtreding van bedoelde wijziging van de Wbp overeen dat ingeval Logius (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of inbreuken op de beveiligingsmaatregelen van de Persoonsgegevens signaleert, Afnemer hierover onmiddellijk zal inlichten en alle redelijkerwijs benodigde maatregelen zal treffen om (verdere) schending van de Wbp of andere regelgeving betreffende de verwerking van de Persoonsgegevens, te voorkomen of te beperken.
Artikel 5. Verstrekken van persoonsgegevens 5.1.
Het is Logius niet toegestaan Persoonsgegevens te verstrekken aan derden, tenzij dit op schriftelijk verzoek van Afnemer wordt gedaan of Afnemer schriftelijk toestemming tot de verstrekking door Logius heeft gegeven. Logius is verplicht schriftelijk te bevestigen dat een dergelijke verstrekking heeft plaatsgevonden, waarbij exact de verstrekte Persoonsgegevens, de betrokkene(n), de ontvanger(s) en het moment van verstrekking worden beschreven.
5.2.
Indien Logius op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken waarvoor Afnemer verantwoordelijke is, zal Logius de grondslag van het verzoek en de identiteit van de verzoeker verifiëren.
5
Definitief | 8 mei 2014 | Bewerkersovereenkomst MijnOverheid
Artikel 6. Beveiliging Logius legt passende technische en organisatorische maatregelen ten uitvoer om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van deze persoonsgegevens te voorkomen. De maatregelen sluiten aan en maken deel uit van de tussen Partijen geldende Service Niveau Overeenkomst (SNO).
Artikel 7. Geheimhouding Indien Afnemer daarom schriftelijk verzoekt, zal Logius ten aanzien van de daarbij aangeduide gegevens of informatie bijzondere maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van betrokken gegevens of informatie zodra de noodzaak voor Logius om daarvan nog langer kennis te nemen, is komen te vervallen. Berichten die zijn afgeleverd in een Berichtenbox worden niet vernietigd, maar door Logius alleen vernietigd na verloop van de vaste bewaartermijn.
Artikel 8. Controle 8.1.
Afnemer heeft het recht een controle op de nakoming van de verplichtingen van Logius onder deze Bewerkersovereenkomst uit te (laten) voeren. Logius is verplicht aan deze controle alle medewerking te verlenen.
8.2.
De kosten van een controle als bedoeld in artikel 9.1 van deze Bewerkersovereenkomst komen voor rekening van Afnemer, tenzij blijkt dat Logius haar verplichtingen op grond van deze Bewerkersovereenkomst niet nakomt. In dat geval komen de kosten voor rekening van Logius.
Artikel 9. Aansprakelijkheid Ingeval Logius of Afnemer toerekenbaar tekortschiet in de nakoming van zijn verplichtingen onder deze Bewerkersovereenkomst geldt het bepaalde omtrent ‘aansprakelijkheid’ als neergelegd in de Algemene voorwaarden Logius.
Artikel 10. Rechten op gegevensdragers en Persoonsgegevens 10.1.
Afnemer behoudt alle rechten van welke aard dan ook ten aanzien van de door hem onder deze Bewerkersovereenkomst aangeleverde Persoonsgegevens of gegevens.
6
Definitief | 8 mei 2014 | Bewerkersovereenkomst MijnOverheid
10.2.
Alle externe gegevensdragers, zoals tapes, diskettes, CD-ROM’s, microfiches of papier, voorzien van Persoonsgegevens, blijven de volle eigendom van Afnemer. Logius zal nimmer enig recht claimen ten aanzien van de betrokken gegevensdragers, dan wel de daarop opgeslagen Persoonsgegevens noch gerechtigd zijn tot enige vorm van gebruik van deze gegevensdragers en de daarop opgeslagen Persoonsgegevens, anders dan ten behoeve van de Dienst(en), bedoeld in deze Bewerkersovereenkomst.
Artikel 11. Duur en beëindiging van deze Bewerkersovereenkomst Deze Bewerkersovereenkomst maakt na ondertekening integraal deel uit van het aanvraagformulier en wordt aangegaan voor de periode van het afnemen van de Dienst(en) in het kader van MijnOverheid.
Aldus opgemaakt en geparafeerd en ondertekend in tweevoud,
Afnemer: […], Voor deze …………………………….
Handtekening ………… Datum:
Logius: Minister van Binnenlandse Zaken en Koninkrijksrelaties, Voor deze de Directeur Logius, S.B. Luitjens
Handtekening ………… Datum:
7