Verwerkersovereenkomst

Model verwerkersovereenkomst op grond van AVG artikel 28 – Versie 1.0, juni 2026

Download dit template – vul in, onderteken en bewaar in uw dossier 🖨️ Afdrukken / Opslaan als PDF
Let op: Dit is een modeltemplate. Vul de gemarkeerde velden in ([NAAM], [DATUM]). Beide partijen dienen dit document te ondertekenen. Bewaar het origineel in uw compliancedossier.
Rechtsgrondslag: AVG art. 28 | Referentie beveiliging: NEN 7510 | ISO/IEC 27001

Artikel 1 – Partijen

De Verwerkingsverantwoordelijke:

Naam organisatie: [Naam uitzendbureau / opdrachtgever invullen]
KvK-nummer: [KvK-nummer invullen]
Adres: [Adres invullen]
Contactpersoon: [Naam contactpersoon]
E-mail: [E-mailadres]
Hierna te noemen: "Verantwoordelijke"

De Verwerker:

Zorg Training Academy
KvK-nummer: in oprichting
Adres: Arnhem, Nederland
Contactpersoon: Functionaris Gegevensbescherming
E-mail: fg@zorgtrainingacademy.nl
Hierna te noemen: "Verwerker"

Verantwoordelijke en Verwerker worden gezamenlijk aangeduid als "Partijen". Partijen zijn een overeenkomst aangegaan waarbij Verwerker e-learningdiensten levert via het Zorg Training Academy Platform (de "Dienst"). In het kader van die Dienst verwerkt Verwerker persoonsgegevens namens Verantwoordelijke.

Artikel 2 – Definities

In deze overeenkomst wordt verstaan onder:

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (AVG art. 4 lid 1).
  • Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens (AVG art. 4 lid 2).
  • Betrokkene: de zorgprofessional wiens persoonsgegevens worden verwerkt.
  • Beveiligingsincident: een inbreuk in verband met persoonsgegevens als bedoeld in AVG art. 4 lid 12.
  • Subverwerker: een derde die door Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens.

Artikel 3 – Doel en aard van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende verwerkingsdoelen:

Verwerkingsdoel Categorieën betrokkenen Categorieën persoonsgegevens
Beheer gebruikersaccounts op het e-learningplatform Zorgprofessionals van Verantwoordelijke Naam, e-mailadres, gebruikersnaam, rol
Aanbieden e-learningcursussen Zorgprofessionals Cursusinschrijvingen, voortgang, toetsresultaten
Uitgifte en beheer van certificaten Zorgprofessionals Naam, behaalde resultaten, certificaatnummer, datum
Compliance-rapportage aan Verantwoordelijke Zorgprofessionals Cursusvoortgang, certificaatgeldigheid, compliance-status
Beveiliging en auditlogging Alle gebruikers IP-adres, authenticatielogboek, sessiegegevens

Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verantwoordelijke, tenzij een wettelijke verplichting anders vereist (AVG art. 28 lid 3a).

Artikel 4 – Verplichtingen van de Verwerker

Verwerker verbindt zich tot:

  1. Persoonsgegevens uitsluitend te verwerken op schriftelijke instructie van Verantwoordelijke;
  2. Het waarborgen van de geheimhouding van persoonsgegevens door geautoriseerde medewerkers (AVG art. 28 lid 3b);
  3. Het treffen van passende technische en organisatorische beveiligingsmaatregelen conform artikel 7 van deze overeenkomst;
  4. Verantwoordelijke te assisteren bij het nakomen van verzoeken van betrokkenen (AVG art. 12–22) voor zover dit binnen het platform mogelijk is;
  5. Verantwoordelijke te ondersteunen bij DPIA's (gegevensbeschermingseffectbeoordelingen) indien van toepassing;
  6. Na beëindiging van de Dienst alle persoonsgegevens te verwijderen of terug te sturen conform Artikel 11;
  7. Alle voor naleving benodigde informatie beschikbaar te stellen en audits toe te staan (AVG art. 28 lid 3h).

Artikel 5 – Verplichtingen van de Verantwoordelijke

Verantwoordelijke verbindt zich tot:

  1. Het verwerken van persoonsgegevens alleen voor rechtmatige doelen conform de AVG;
  2. Het informeren van betrokkenen (zorgprofessionals) over de verwerking van hun persoonsgegevens, mede via de privacyverklaring van Verwerker;
  3. Te zorgen voor een geldige rechtsgrondslag voor alle verwerkingen waarvoor instructies worden gegeven;
  4. Het tijdig melden van bijzondere omstandigheden die de verwerking beïnvloeden;
  5. Verwerker tijdig te informeren over beëindiging van de arbeidsrelatie met een zorgprofessional (ten behoeve van accountdeactivering).

Artikel 6 – Subverwerkers

Verwerker maakt gebruik van de onderstaande subverwerkers voor de uitvoering van de Dienst. Verwerker draagt er zorg voor dat subverwerkers tenminste dezelfde verplichtingen op zich nemen als in deze overeenkomst zijn opgenomen (AVG art. 28 lid 4):

Subverwerker Dienst Verwerkingslocatie Waarborg
Hostingprovider (EU) Serverhosting, database, back-up Europese Unie ISO 27001, verwerkersovereenkomst
E-mailprovider Transactionele e-mails (inschrijving, certificaat) EU AVG-compliant, verwerkersovereenkomst
Analytics (optioneel, na toestemming) Gebruiksanalyse Platform EU (indien ingeschakeld) Toestemming gebruiker vereist; geanonimiseerde data

Verwerker stelt Verantwoordelijke vooraf schriftelijk in kennis van wijzigingen in de inzet van subverwerkers. Verantwoordelijke heeft het recht bezwaar te maken tegen de inzet van een nieuwe subverwerker.

Artikel 7 – Beveiligingsmaatregelen (NEN 7510)

Verwerker heeft tenminste de volgende technische en organisatorische maatregelen geïmplementeerd conform NEN 7510 (Informatiebeveiliging in de zorg) en AVG art. 32:

Technische maatregelen:

  • HTTPS/TLS 1.2+ encryptie voor alle datacommunicatie
  • Versleutelde opslag van wachtwoorden (bcrypt); nooit plaintext
  • Encryptie van back-ups en gevoelige databasevelden
  • Firewall, DDoS-bescherming en intrusion detection
  • Automatische sessie-timeout (conform NEN 7510 § 11.2)
  • Multi-factor authenticatie voor beheerdersaccesses
  • Regelmatige penetratietests en kwetsbaarheidsscans
  • Patch- en updatemanagement met SLA voor kritische beveiligingsupdates

Organisatorische maatregelen:

  • Need-to-know principe en rol-gebaseerde toegangscontrole (RBAC) (NEN 7510 § 9.1)
  • Geheimhoudingsplicht voor alle medewerkers met toegang tot persoonsgegevens
  • Bewustzijnstraining medewerkers over AVG en informatiebeveiliging
  • Gedocumenteerde incidentresponseprocedure
  • Jaarlijkse security audit en risicoanalyse
  • Privacy by design bij ontwikkeling nieuwe functionaliteiten

Auditlogboek:

  • Audit logging van kritische handelingen conform NEN 7510 § 9.4 (minimaal 90 dagen bewaard)
  • Monitoren van ongewone toegangspatronen

Artikel 8 – Meldplicht datalekken

Bij een (mogelijk) beveiligingsincident waarbij persoonsgegevens zijn betrokken, geldt het volgende proces:

  1. Ontdekking door Verwerker: Verwerker meldt het incident aan Verantwoordelijke zonder onnodigde vertraging, en indien mogelijk binnen 24 uur na ontdekking.
  2. Inhoud melding: De melding bevat tenminste: de aard van het incident, de categorieën en geschatte aantallen betrokkenen en gegevens, de naam en contactgegevens van de contactpersoon, de waarschijnlijke gevolgen en de getroffen of voorgestelde maatregelen.
  3. Verantwoordelijkheid AP-melding: Verantwoordelijke is wettelijk verplicht om een beveiligingsincident binnen 72 uur te melden bij de Autoriteit Persoonsgegevens indien dit waarschijnlijk risico's meebrengt voor betrokkenen (AVG art. 33).
  4. Melding aan betrokkenen: Indien het incident waarschijnlijk een hoog risico meebrengt, informeren Partijen gezamenlijk de betrokken personen (AVG art. 34).
  5. Documentatie: Verwerker documenteert alle beveiligingsincidenten, ook indien geen meldplicht aan AP geldt (AVG art. 33 lid 5).

Contactpersoon datalekken bij Verwerker:
E-mail: security@zorgtrainingacademy.nl (24/7 gemonitord)

Artikel 9 – Rechten van betrokkenen

Verwerker assisteert Verantwoordelijke bij het nakomen van verzoeken van betrokkenen voor zover technisch mogelijk via het Platform, waaronder:

  • Export van persoonsgegevens (recht op inzage / overdraagbaarheid)
  • Correctie van profielgegevens (recht op rectificatie)
  • Deactivering/verwijdering van accounts (recht op verwijdering)

Verzoeken van betrokkenen worden door Verwerker doorgeleid naar Verantwoordelijke, tenzij Betrokkene rechtstreeks contact opneemt via de privacyverklaring. Verwerker reageert niet zelfstandig op verzoeken namens Verantwoordelijke, tenzij hier uitdrukkelijk instructie voor is.

Artikel 10 – Audit en verantwoording

Verwerker stelt Verantwoordelijke alle informatie beschikbaar die nodig is om naleving van de AVG en deze overeenkomst aan te tonen (AVG art. 28 lid 3h). Op verzoek van Verantwoordelijke:

  • Stelt Verwerker relevante certificeringsdocumenten en audit-rapporten ter inzage;
  • Staat Verwerker inspecties toe door de Verantwoordelijke of een door haar aangestelde auditor, mits met redelijke termijn aangekondigd (minimaal 30 dagen);
  • Zorgt Verwerker voor aantoonbaarheid van naleving via een ISMS (Informatiebeveiligingsmanagement Systeem) conform NEN 7510 / ISO 27001.

Artikel 11 – Beëindiging en verwijdering

Na beëindiging van de Dienst of op schriftelijk verzoek van Verantwoordelijke:

  1. Verwijdert Verwerker alle persoonsgegevens van betrokkenen van Verantwoordelijke, tenzij Verwerker wettelijk verplicht is de gegevens te bewaren;
  2. Bevestigt Verwerker schriftelijk de verwijdering binnen 30 dagen;
  3. Op keuze van Verantwoordelijke kan een export van de gegevens worden aangeleverd voor de verwijdering plaatsvindt.

Verwijdering vindt definitief plaats via overschrijving of gegarandeerde vernietiging van de opslagmedia.

Artikel 12 – Aansprakelijkheid

Verwerker is aansprakelijk voor schade die het gevolg is van een verwerking waarbij Verwerker in strijd heeft gehandeld met de AVG of met de instructies van Verantwoordelijke (AVG art. 82). Aansprakelijkheid is beperkt tot directe schade en het bedrag dat door Verwerker is ontvangen in de 6 maanden voorafgaand aan het schadegeval, tenzij sprake is van opzet of grove nalatigheid.

Artikel 13 – Wijzigingen en looptijd

Deze overeenkomst treedt in werking op de ondertekeningsdatum en geldt voor de duur van de Dienstverlening. Wijzigingen zijn slechts geldig indien schriftelijk overeengekomen door beide Partijen. Bij tegenstrijdigheid prevaleert deze verwerkersovereenkomst boven eerdere afspraken over gegevensverwerking.

Artikel 14 – Toepasselijk recht en forum

Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Gelderland, tenzij Partijen arbitrage overeenkomen.

Bijlage A – Specificatie verwerkingen

Verwerkingsactiviteit Doel Persoonsgegevens Bewaartermijn
Accountbeheer Toegang tot Platform Naam, e-mail, gebruikersnaam, inloghistorie Duur contract + 12 maanden
E-learning leeractiviteiten Cursusvoortgang bijhouden Activiteiten, scores, tijdsduur, voortgang 7 jaar (certificeringsdossier)
Certificaatuitgifte Aantonen bekwaamheid Naam, score, datum, certificaatnummer 7 jaar
Compliance-rapportage Verantwoording aan opdrachtgever Certificaatgeldigheid, compliance-overzicht 5 jaar
Beveiligingslogging Fraude-/incidentdetectie (NEN 7510) IP-adres, tijdstempel, actie 90 dagen

Bijlage B – Lijst van (sub)verwerkers

Naam Land Dienst Kenmerk
Hostingprovider Nederland / EU Serverhosting en dataopslag ISO 27001, NEN 7510
E-mailprovider EU Transactionele e-mail AVG-compliant

Namens de Verwerkingsverantwoordelijke

Organisatienaam: ___________________________
Naam: ___________________________
Functie: ___________________________

Handtekening

Datum: ___________________________

Plaats: ___________________________

Namens de Verwerker – Zorg Training Academy

Organisatienaam: Zorg Training Academy
Naam: ___________________________
Functie: ___________________________

Handtekening

Datum: ___________________________

Plaats: Arnhem

Model verwerkersovereenkomst Zorg Training Academy – AVG art. 28 | NEN 7510 | Versie 1.1, juni 2026
Vragen? fg@zorgtrainingacademy.nl