Versie: URS-September 2025

​

Verwerkersovereenkomst

 

De ondergetekenden:

​

1. [NAAM VERANTWOORDELIJKE], gevestigd te [plaats], ingeschreven bij de Kamer van Koophandel onder nummer [KvK-nummer], rechtsgeldig vertegenwoordigd door [naam], hierna te noemen: “Verantwoordelijke”,

en

1. [NAAM VERWERKER], gevestigd te [plaats], ingeschreven bij de Kamer van Koophandel onder nummer [KvK-nummer], rechtsgeldig vertegenwoordigd door [naam], hierna te noemen: “Verwerker”,

gezamenlijk te noemen: “Partijen”.

​

Artikel 1. Doel en onderwerp

​

1. Verwerker verwerkt in opdracht van Verantwoordelijke persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG).

2. Deze overeenkomst regelt de voorwaarden waaronder Verwerker persoonsgegevens verwerkt ten behoeve van Verantwoordelijke.

 

Artikel 2. Aard en doel van de verwerking

​

1. Verwerker verwerkt uitsluitend persoonsgegevens voor de volgende doeleinden:

   • [omschrijving doeleinden, bijv. hosting, klantenbeheer, betalingsafhandeling, etc.].

2. Verwerker zal persoonsgegevens niet voor eigen doeleinden verwerken.

 

Artikel 3. Persoonsgegevens en betrokkenen

​

1. De soorten persoonsgegevens die worden verwerkt zijn: [opsomming, bijv. NAW-gegevens, contactgegevens, betaalgegevens].

2. De categorieën van betrokkenen zijn: [opsomming, bijv. klanten, medewerkers, leveranciers].

 

Artikel 4. Duur van de verwerking

​

1. Deze overeenkomst geldt zolang Verwerker persoonsgegevens verwerkt ten behoeve van Verantwoordelijke.

2. Na afloop van de dienstverlening zal Verwerker, naar keuze van Verantwoordelijke, alle persoonsgegevens wissen of retourneren, tenzij wettelijke bewaarplichten zich daartegen verzetten.

 

Artikel 5. Verplichtingen Verwerker

​

1. Verwerker verwerkt persoonsgegevens uitsluitend op schriftelijke instructie van Verantwoordelijke.

2. Verwerker waarborgt dat personen die handelen onder zijn gezag vertrouwelijkheid in acht nemen.

3. Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen conform artikel 32 AVG.

4. Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten (art. 30 AVG).

5. Verwerker verleent medewerking aan audits en controles door of namens Verantwoordelijke.

 

Artikel 6. Subverwerkers

​

1. Verwerker mag geen subverwerkers inschakelen zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.

2. Indien toestemming wordt verleend, legt Verwerker deze subverwerker minimaal dezelfde verplichtingen op als in deze overeenkomst.

 

Artikel 7. Rechten van betrokkenen

​

1. Verwerker verleent alle noodzakelijke medewerking aan Verantwoordelijke bij het vervullen van diens verplichtingen inzake de uitoefening van rechten van betrokkenen (art. 12–23 AVG).

 

Artikel 8. Meldplicht datalekken

​

1. Verwerker meldt iedere inbreuk in verband met persoonsgegevens zonder onredelijke vertraging, uiterlijk binnen 24 uur, aan Verantwoordelijke.

2. De melding bevat alle informatie die nodig is voor Verantwoordelijke om te voldoen aan zijn meldplicht aan de Autoriteit Persoonsgegevens en betrokkenen.

 

Artikel 9. Doorgifte buiten de EER

​

1. Persoonsgegevens worden uitsluitend binnen de Europese Economische Ruimte verwerkt, tenzij Verantwoordelijke vooraf schriftelijk toestemming heeft gegeven en passende waarborgen aanwezig zijn conform hoofdstuk V AVG.

 

Artikel 10. Aansprakelijkheid

​

1. Iedere Partij is aansprakelijk voor de door haar veroorzaakte schade en boetes indien en voor zover deze het gevolg zijn van het niet nakomen van haar verplichtingen uit deze overeenkomst en de AVG.

 

Artikel 11. Slotbepalingen

​

1. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.

2. Geschillen die voortvloeien uit of samenhangen met deze overeenkomst worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verantwoordelijke is gevestigd.

 

Aldus overeengekomen en in tweevoud ondertekend:

Plaats: ………………………………
Datum: ………………………………

Verantwoordelijke
 

Naam: ………………………………
Handtekening: ………………………………

Verwerker
 

Bijlage 1 - Register van Verwerkingen

Verwerkingsactiviteiten door Verwerker in opdracht van Verantwoordelijke

 

​

​

​

​

​

​

​

​

​

​

​

 

Bijlage 2 - ​Minimale beveiligingsmaatregelen

Verwerker treft ten minste de volgende technische en organisatorische maatregelen:

​

1. Organisatorische maatregelen

​

• Geheimhoudingsplicht voor medewerkers en inlogrechten op need-to-know basis.

• Regelmatige training medewerkers m.b.t. gegevensbescherming en AVG.

• Procedures voor afhandeling van datalekken.

• Duidelijke rollen & verantwoordelijkheden voor privacy en informatiebeveiliging.

 

2. Technische maatregelen

​

• Toegangsbeveiliging: unieke accounts, sterke wachtwoorden, 2FA waar mogelijk.

• Netwerkbeveiliging: firewall, monitoring, intrusion detection.

• Encryptie: versleuteling van persoonsgegevens tijdens transport (TLS/SSL) en opslag waar passend.

• Back-ups: dagelijkse back-ups, versleuteld opgeslagen en getest op herstelbaarheid.

• Logging & monitoring: vastleggen van toegang tot persoonsgegevens, monitoring van verdachte activiteiten.

• Patch management: tijdige updates van software, besturingssystemen en beveiligingssoftware.

 

3. Datalekken

​

• Incident response procedure met meldplicht binnen 24 uur aan Verantwoordelijke.

• Registratie van alle beveiligingsincidenten en de opvolging hiervan.

 

4. Subverwerkers

​

• Contractuele afspraken met subverwerkers met minimaal gelijkwaardige beveiligingsmaatregelen.

​​​

Laatst gewijzigd: 1 September 2025 | Unified Retail Services UA