Convenant Verdeling Verwerkersverantwoordelijkheid Schoolleidersregister Primair Onderwijs

Ondergetekenden,

De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag,

te dezen vertegenwoordigd door de Minister voor Onderwijs, Cultuur en Wetenschap,

namens deze,

Directeur Primair Onderwijs, Ria Westendorp,

hierna te noemen: OCW,

en

de Stichting Schoolleidersregister Primair Onderwijs, gevestigd te Amsterdam, vertegenwoordigd door Ursie Lambrechts, Voorzitter,

hierna te noemen: Stichting,

gezamenlijk te noemen: Partijen,

overwegen het volgende:

  • de Stichting exploiteert het Schoolleidersregister Primair onderwijs (hierna: Register);

  • OCW financiert het Register;

  • in het kader van het Register worden persoonsgegevens verwerkt in de zin van artikel 4, eerste lid, Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: AVG);

  • de Stichting en OCW kwalificeren, gelet op hun rol bij de exploitatie, opzet en financiering van het Register, als ‘gezamenlijke verwerkingsverantwoordelijken’ vanwege het gezamenlijk bepalen van het doel van en de middelen voor het verwerken van persoonsgegevens in de context van het Register;

  • dit convenant heeft tot doel om in overeenstemming met artikel 26 AVG de onderlinge verdeling van verantwoordelijkheden en het nakomen van de verplichtingen van OCW en de Stichting uit hoofde van de AVG en in relatie tot de Verwerker van de persoonsgegevens en de Betrokkenen eenduidig vast te leggen.

  • OCW heeft een FG aangesteld, die zijn taken en bevoegdheden mede kan uitoefenen ten aanzien van het register, voor zover dit onder de verwerkingsverantwoordelijkheid van OCW valt;

  • de stichting beschikt ten tijde van het tekenen van deze overeenkomst niet over een FG;

  • een Privacy Impact Assessment (PIA) van het schoolleidersregister PO heeft plaats gevonden. OCW en de Stichting houden bij het uitvoeren van het convenant rekening met de uitkomsten.

Spreken hieromtrent het volgende af,

1. Definities

1.1. Datalek:

een inbreuk in verband met de persoonsgegevens als bedoeld in artikel 4, twaalfde lid, AVG.

1.2. Persoonsgegeven:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4, eerste lid, AVG.

1.3. Betrokkene:

de natuurlijk persoon over wie de Persoonsgegevens worden verwerkt.

1.4. Beveiligingsmaatregelen:

de maatregelen, bedoeld in artikel 30, eerste lid, onder g, en tweede lid, onder d, AVG.

1.5. Verwerkingsverantwoordelijke:

een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt als bedoeld in artikel 4, zevende lid, AVG.

1.6. Verwerker:

een natuurlijk persoon of rechtspersoon, overheidsinstantie, -dienst of ander orgaan die/dat persoonsgegevens verwerkt ten behoeve van de Stichting of OCW als bedoeld in artikel 4, achtste lid, AVG, in casu het Centraal Informatiepunt Beroepen Gezondheidszorg (hierna ook te noemen: CIBG).

1.7. Verwerkersovereenkomst:

de overeenkomst of rechtshandeling als bedoeld in artikel 28, derde lid, AVG.

1.8. FG:

Functionaris voor gegevensbescherming zoals bedoeld in de artikelen 37-39, AVG.

2. Doel

Het doel van dit convenant is om afspraken vast te leggen tussen de Stichting en OCW hoe de gezamenlijke verantwoordelijkheid voor het laten verwerken van Persoonsgegevens in het kader van het Register wordt vormgegeven, het met in acht nemen van alle verplichtingen die op grond van de AVG gelden voor een Verwerkingsverantwoordelijke.

3. Rolverdeling

  • 3.1. De Stichting en OCW erkennen dat er sprake is van gezamenlijke verantwoordelijkheid voor het laten verwerken van Persoonsgegevens in het kader van het Register.

  • 3.2. De Stichting is het eerste aanspreekpunt voor de in- en uitvoer van Persoonsgegevens in het Register en het overleg met het CIBG als Verwerker.

  • 3.3. De Stichting is het eerste aanspreekpunt voor de Verwerker en de Betrokkenen, met het oog op getroffen Beveiligingsmaatregelen, Datalekken, rechten van Betrokkenen en de gegevensbeschermingseffectbeoordeling(en).

  • 3.4. Partijen formuleren in gemeenschappelijkheid een visie op privacy en gegevensbescherming, die wordt uitgedragen via het privacybeleid omtrent het Register, en de wijze waarop die in de eigen organisatie wordt geïmplementeerd.

4. Verwerkers

De Stichting legt de verplichtingen waaraan de Verwerker is onderworpen vast in een Verwerkersovereenkomst, en beperkt hierbij het verwerken van gegevens tot het Koninkrijk de Europese Economische Ruimte.

5. Beveiliging

  • 5.1. De Stichting draagt zorg voor het uit laten voeren van het beleid rondom de technische en organisatorische maatregelen voor informatiebeveiliging, die binnen haar beïnvloedingssfeer ligt.

  • 5.2. De Stichting toetst minimaal eenmaal per kalenderjaar het beleid rondom de technische en organisatorische maatregelen voor informatiebeveiliging.

6. Datalekken

  • 6.1. Gelet op artikel 33, AVG, meldt de Stichtingeen Datalek binnen 72 uur bij de Autoriteit Persoonsgegevens.

  • 6.2. De Stichting stelt OCW onverwijld op de hoogte van een Datalek. Tevens informeert zij OCW over de voortgang van een melding daarover aan de Autoriteit Persoonsgegevens.

  • 6.3. Gelet op artikel 34, AVG meldt de Stichting een Datalek onverwijld bij de Betrokkene.

  • 6.4. De Stichting zorgt dat zij haar medewerkers informeert en instrueert over de te volgen procedure inzake Datalekken.

7. Rechten van betrokkenen

  • 7.1. De Stichting en OCW verlenen elkaar volledige medewerking teneinde de rechten van de Betrokkene, bedoeld in Hoofdstuk III, AVG te waarborgen.

  • 7.2. De Stichting verstrekt de Betrokkene alle informatie als bedoeld in de artikelen 13 of 14, AVG.

  • 7.3. De Stichting stelt een contactpunt open waar Betrokkenen terecht kunnen met vragen, klachten en verzoeken met betrekking tot het uitoefenen van hun rechten op grond van de AVG.

  • 7.4. De Stichting toetst periodiek de procedures en het beleid die betrekking hebben op Betrokkenen en op het uitoefenen van hun rechten rondom het verwerken van hun Persoonsgegevens.

  • 7.5. Gelet op artikel 26, derde lid, AVG, kan de Betrokkene zijn rechten uit hoofde van de AVG jegens zowel de Stichting als OCW uitoefenen. Partijen dragen er zorg voor dat dit bij Betrokkenen voldoende bekend is door dit te vermelden op hun eigen website of andere reguliere inlichtingenbronnen.

8. Registers

  • 8.1. De Stichting stelt op, houdt bij en beheert namens Partijen een register van de verwerkingsactiviteiten in het kader van het Register, zoals bedoeld in artikel 30, AVG.

  • 8.2. Voor het Register wordt in het register voor alle verwerkingsactiviteiten aangegeven in welke hoedanigheid de Stichtingen OCW deel uitmaken van de gegevensverwerkingen waarvoor artikel 3.1 onverkort geldt.

  • 8.3. De Stichting stelt op, houdt bij en beheert namens Partijen een register van Datalekken zoals bedoeld in artikel 33, vijfde lid, AVG.

  • 8.4. De Stichting stelt het register van verwerkingsactiviteiten en het register van Datalekken in het kader van het Register op aanvraag aan OCW beschikbaar.

9. Functionaris voor gegevensbescherming

  • 9.1. Partijen stellen de FG-OCW desgevraagd in de gelegenheid om diens taken en bevoegdheden uit te oefenen.

  • 9.2. Indien de stichting een FG aanstelt, dan geldt het eerste lid ook ten aanzien van deze FG.

10. Gegevensbeschermingseffectbeoordeling

  • 10.1. De Stichting is verantwoordelijk voor het (laten) uitvoeren van een Gegevensbeschermingseffectbeoordeling, overeenkomstig de voorschriften, bedoeld in artikel 35, AVG.

  • 10.2. De Stichting verricht eens in de 12 maanden een toetsing om te beoordelen of de verwerking overeenkomstig de Gegevensbeschermingseffectbeoordeling wordt uitgevoerd. Deze toetsing gebeurt structureel en incidenteel wanneer er sprake is van een verandering van het risico dat de verwerkingen inhouden.

11. Opzegging

  • 11.1. Elke partij kan het convenant met inachtneming van een opzegtermijn van 12 maanden schriftelijk opzeggen, indien een zodanige verandering van omstandigheden is opgetreden dat dit convenant billijkheidshalve op korte termijn behoort te eindigen. Onder een zodanige verandering van omstandigheden wordt begrepen door het kabinet vastgestelde bezuinigingen. De opzegging moet de verandering in omstandigheden vermelden.

  • 11.2. Ingeval van beëindiging van het convenant krachtens opzegging is geen van de partijen jegens een andere partij schadeplichtig.

12. Ontbinding

  • 12.1. Onverminderd wat in het convenant is vastgelegd, kan elk van de partijen het convenant door middel van een aangetekend schrijven buiten rechte geheel of gedeeltelijk ontbinden indien de andere partij in verzuim is, dan wel nakoming blijvend of tijdelijk onmogelijk is.

  • 12.2. Indien een van de partijen gedurende een bij dit convenant te bepalen periode ten gevolge van overmacht haar verplichtingen op grond van dit convenant niet kan nakomen, heeft de andere partij het recht dit convenant door middel van een aangetekend schrijven met onmiddellijke ingang buiten rechte geheel of gedeeltelijk te ontbinden, zonder dat daardoor enig recht op schadevergoeding zal ontstaan.

  • 12.3. Onder overmacht wordt in ieder geval niet verstaan: gebrek aan personeel, stakingen, ziekte van personeel en tekortschieten van ingeschakelde derde partijen.

  • 12.4. Ingeval van overmacht gaan partijen niet eerder tot ontbinding over dan nadat een termijn van 12 maanden is verstreken, tenzij partijen een andere termijn overeenkomen.

13. Gang naar de rechter

Alle geschillen in verband met dit convenant of met afspraken die daarmee samenhangen, worden beslecht door de bevoegde rechter.

14. Ongeldigheid

Indien een bepaling van dit convenant in enige mate als nietig, vernietigbaar, ongeldig, onwettig of anderszins als niet-bindend moet worden beschouwd, wordt die bepaling, voor zover nodig, uit dit convenant verwijderd en vervangen door een bepaling die wel bindend en rechtsgeldig is en de inhoud van de niet-geldige bepaling zoveel mogelijk benadert. Het overige deel van het convenant blijft in een dergelijke situatie ongewijzigd.

15. Informatieplicht

  • 15.1. Partijen stellen elkaar onmiddellijk op de hoogte van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van Persoonsgegevens.

  • 15.2. Partijen verstrekken elkaar alle informatie die nodig is om het naleven van de verplichtingen van de wederpartij als gezamenlijke Verwerkingsverantwoordelijke te controleren.

  • 15.3. Partijen werken samen met de Toezichthoudende autoriteit, bedoeld in art. 31, AVG bij het vervullen van haar toezichthoudende taken.

Slotbepalingen

16. Inwerkingtreding en looptijd

Dit convenant treedt in werking met ingang van de dag na ondertekening en eindigt met ingang van het beëindigen van het voortbestaan van het Schoolleidersregister Primair Onderwijs.

17. Bijlage

De volgende bij dit convenant behorende bijlage maakt integraal onderdeel uit van dit convenant: Verwerkersovereenkomst CIBG en Stichting Schoolleidersregister PO.

18. Geheimhouding

  • 18.1. Partijen zijn, behoudens wettelijk voorschrift, verplicht de Persoonsgegevens geheim te houden en deze niet direct of indirect ter beschikking te stellen aan derden.

  • 18.2. Partijen zorgenervoor dat personeelsleden en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen zich houden aan onderhavige geheimhoudingsverplichting.

19. Toepasselijk recht

Op dit convenant is uitsluitend Nederlands recht van toepassing.

20. Publicatie in Staatscourant

  • 20.1. Binnen 10 werkdagen na ondertekening van dit convenant zorgt OCW dat de tekst daaraan gepubliceerd wordt in de Staatscourant.

  • 20.2. Bij wijzigingen in het convenant vindt het eerste lid overeenkomstige toepassing.

  • 20.3. Van toetreden, uittreden, opzeggen of ontbinden wordt melding gemaakt in de Staatscourant.

Aldus overeengekomen en in tweevoud ondertekend, 22 februari 2019

A. Slob namens OCW R. Westendorp Directeur Primair Onderwijs

namens de Stichting U. Lambrechts, Voorzitter

BIJLAGE BIJ CONVENANT VERDELING VERWERKERSVERANTWOORDELIJKHEID SCHOOLLEIDERSREGISTER PRIMAIR ONDERWIJS D.D. 22 SEPTEMBER 2019877848

Verwerkersovereenkomst

Stichting Schoolleidersregister Primair Onderwijs, statutair gevestigd te Utrecht en ingeschreven bij de Kamer van Koophandel onder nummer 30171908, hierbij rechtsgeldig vertegenwoordigd door ****************** (hierna: Verwerkingsverantwoordelijke)

en

CIBG, onderdeel van het Ministerie van Volksgezondheid, Welzijn en Sport, te dezen vertegenwoordigd door ********************* (hierna: Verwerker),

hierna gezamenlijk te noemen als ‘Partijen’,

overwegende dat:

  • Verwerker voor verwerkingsverantwoordelijke in het kader van de Overeenkomst van 27 november 2013 betreffende raamafspraken tussen het Ministerie van Onderwijs, Cultuur en Wetenschap en het CIBG persoonsgegevens als bedoeld in de Algemene Verordening Gegevensbescherming verwerkt.

  • Het Schoolleidersregister PO hecht grote waarde aan het beschermen van deze persoonsgegevens. Het Schoolleidersregister PO is verantwoordelijk voor de gegevens die CIBG gaat verwerken. Partijen leggen in deze verwerkingsovereenkomst en de daarbij behorende bijlagen:

    • 1. Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen

    • 2. Overzicht met technische beveiligingsmaatregelen.

    • 3. Proces rondom het melden van Datalekken en de te verstrekken informatie

    vast wat CIBG wel en niet mag doen met de Persoonsgegevens.

Artikel 1 Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.1 Persoonsgegevens:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de Betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon

1.2 Verwerking:

een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

1.3 Verwerkingsverantwoordelijke:

een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (‘Verantwoordelijke’);

1.4 Verwerker:

een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (‘Verwerker’);

1.5 Betrokkene:

geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;

1.6 Verwerkersovereenkomst:

deze overeenkomst inclusief de bijlagen;

1.7 Overeenkomst:

de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;

1.8 Inbreuk in verband met persoonsgegevens:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘Datalek’);

1.9 Gegevensbeschermingseffectbeoordeling:

het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens;

1.10 Toezichthoudende autoriteit:

een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.

Artikel 2. Totstandkoming, duur en beëindiging van deze Verwerkersovereenkomst

  • 2.1 Deze Verwerkersovereenkomst treedt in werking op de datum waarop partijen deze ondertekenen.

  • 2.2 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.

  • 2.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.

  • 2.4 Na beëindiging van deze Verwerkersovereenkomst zal het CIBG de verplichtingen die voortvloeien uit de AVG blijven nakomen.

Artikel 3. Verwerken Persoonsgegevens

  • 3.1 CIBG mag alleen Persoonsgegevens verwerken in opdracht van het Schoolleidersregister PO en heeft geen zeggenschap over de Persoonsgegevens. CIBG volgt de instructies van het Schoolleidersregister PO hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij het Schoolleidersregister CIBG daar van te voren toestemming of opdracht voor geeft.

  • 3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens CIBG precies zal verwerken en voor welke verwerkingsdoeleinden.

  • 3.3 CIBG houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

  • 3.4 CIBG mag zonder voorafgaande schriftelijke toestemming van het Schoolleidersregister PO geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

  • 3.5 Wanneer CIBG met toestemming van het Schoolleidersregister PO andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.

  • 3.6 Wanneer het Schoolleidersregister PO een verzoek krijg van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt CIBG daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

  • 3.7 Wanneer het Schoolleidersregister PO CIBG verzoekt om informatie te geven, dan zal CIBG de informatie verstrekken die Het Schoolleidersregister PO nodig heeft voor het uitvoeren van een Gegevensbeschermingseffectbeoordeling. Het Schoolleidersregister PO heeft dit nodig om in te kunnen schatten wat het risico van de Verwerking is die CIBG namens het Schoolleidersregister PO uitvoert.

Artikel 4. Beveiligen van Persoonsgegevens

  • 4.1 CIBG zorgt ervoor dat de Persoonsgegevens voldoende beveiligd worden. Om verlies en onrechtmatige verwerkingen te voorkomen neemt CIBG passende technische en organisatorische maatregelen (zie bijlage 2).

  • 4.2 Ter controle zal CIBG aan het Schoolleidersregister PO ieder jaar een rapportage sturen waarin de genomen beveiligingsmaatregelen staan en de eventuele aandachts- en/of verbeterpunten. Hiervoor brengt CIBG aan het Schoolleidersregister PO geen kosten in rekening.

  • 4.3 Het Schoolleidersregister PO mag een inspectie of audit in de organisatie van CIBG laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Hieraan zal CIBG medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.

  • 4.4 De controle op de algehele verwerking van Persoonsgegevens door CIBG kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. CIBG zal hierbij aan het Schoolleidersregister PO een rapport verstrekken waarin CIBG aantoont dat CIBG voldoet aan de wet en de afspraken uit deze Verwerkersovereenkomst. Deze rapportage dient te worden ondertekend door een directielid van CIBG.

  • 4.5 Wanneer een van de partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden partijen in overleg over de wijziging en bekostiging daarvan.

Artikel 5. Exporteren Persoonsgegevens

  • 5.1 CIBG mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van het Schoolleidersregister PO.

Artikel 6. Geheimhouding

  • 6.1 CIBG zal de aan CIBG verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

  • 6.2 CIBG zal ervoor zorgen dat ook personeel van CIBG en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.

Artikel 7. Datalekken

  • 7.1 In geval van een ontdekking van een mogelijk datalek zal CIBG het Schoolleidersregister PO hierover informeren binnen 24 uur via ***************** en het Schoolleidersregister PO de informatie verstrekken die is aangegeven in bijlage 3, zodat het Schoolleidersregister PO indien nodig een melding bij de Toezichthouder kan doen.

  • 7.2 Na de melding van een Datalek aan het Schoolleidersregister PO, zal CIBG het Schoolleidersregister PO op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die CIBG heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.

  • 7.3 Het niet toegestaan dat CIBG een melding van een Datalek doet aan de Toezichthouder en ook mag CIBG de Betrokkenen niet informeren over het Datalek. Dit is de verantwoordelijkheid van het Schoolleidersregister PO.

  • 7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

Artikel 8. Aansprakelijkheid

  • 8.1 Als CIBG de verplichtingen uit deze Verwerkersovereenkomst niet nakomt, stelt het Schoolleidersregister PO CIBG daarvoor aansprakelijk.

  • 8.2 CIBG is aansprakelijk voor alle schade geleden door het niet nakomen van de wet en de bepalingen uit deze Verwerkersovereenkomst, voor zover dit is ontstaan door de werkzaamheden uitgevoerd door CIBG.

  • 8.3 Indien een audit wordt uitgevoerd om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet, komen de kosten voor de uitvoering voor rekening van het CIBG wanneer blijkt dat CIBG zich niet aan de verplichtingen in deze Verwerkersovereenkomst houdt.

  • 8.4 Indien blijkt dat het CIBG de verplichtingen in deze Verwerkersovereenkomst overtreedt, neemt het CIBG binnen één werkdag maatregelen om de overtreding te beeindigen.

  • 8.5 CIBG is aansprakelijk voor de aan het Schoolleidersregister PO opgelegde bestuurlijke boete door de Toezichthouder als de geleden schade het gevolg is van onrechtmatig of nalatig handelen van CIBG.

  • 8.6 Het Schoolleidersregister PO is niet aansprakelijk voor aanspraken van Betrokkenen of andere personen en organisaties waar CIBG de samenwerking mee is aangegaan of waarvan CIBG Persoonsgegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van CIBG.

Artikel 9. Teruggave Persoonsgegevens en bewaartermijn

  • 9.1 Na het beëindigen van deze Verwerkersovereenkomst geeft CIBG de Persoonsgegevens terug aan het Schoolleidersregister PO. Eventuele achtergebleven Persoonsgegevens vernietigt CIBG op een zorgvuldige en veilige manier.

  • 9.2 De Persoonsgegevens die CIBG verwerkt volgens deze Verwerkersovereenkomst zal CIBG vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van het Schoolleidersregister PO. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer het Schoolleidersregister PO de Persoonsgegevens moet bewaren om belastingtechnische redenen.

  • 9.3 CIBG zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan het Schoolleidersregister PO verklaren dat CIBG de Persoonsgegevens niet langer heeft.

Artikel 10. Slotbepalingen

  • 10.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst die OCW met CIBG heeft afgesloten. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.

  • 10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.

  • 10.3 Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer partijen dit samen schriftelijk afspreken.

  • 10.4 Op deze Verwerkersovereenkomst en de werkzaamheden van CIBG is het Nederlandse recht van toepassing.

  • 10.5 Over eventuele geschillen tussen partijen bepaalt de rechter in de rechtbank van Utrecht.

Aldus overeengekomen en getekend,

Verwerkingsverantwoordelijke

Verwerker
   

_31_/10_/__2018_______

__5_/_10__/ 2018______

Datum

Datum
   

************

**************

______________________

______________________

Naam

Naam
   

______________________

______________________

Handtekening

Handtekening
Naar boven