Voorbeeld overdrachtsovereenkomst: Klant (Verantwoordelijke) – Accountant (Verantwoordelijke)
Voorbeeld overdrachtsovereenkomst: Klant (Verantwoordelijke) – Accountant (Verantwoordelijke)
Ter toelichting: Als accountant bent u in beginsel Verwerkingsverantwoordelijke als u persoonsgegevens verwerkt in het kader van een opdracht waarop de Standaarden 100-3850 of 4410 van toepassing zijn. Wel dient u zich altijd af te vragen of bijzondere omstandigheden maken dat u in een specifiek geval toch Verwerker bent. De website van de NBA bevat een actueel overzicht waarin u terug kunt vinden of de account bij een bepaald type opdracht een Verwerkingsverantwoordelijke of een Verwerker is. (xxxxx://xxx.xxx.xx/xxxxx-xx-xxxxxxxxxxx/xxxxx-xxxxxxxxxxxxxxxxxxxxx/ )
Voordat u dit voorbeeld gebruikt moet u zich afvragen of u als accountant Verwerker bent of Verwerkingsverantwoordelijke. U kunt dit voorbeeld alleen gebruiken voor de opdrachten waarbij zowel u als accountant als de cliënt Verwerkingsverantwoordelijke bent.
Gebleken is dat het maatschappelijk verkeer een voorbeeld soms als verplicht voorgeschreven ziet. Dat is echter niet het geval. U kunt er voor kiezen om de door NBA opgestelde voorbeelden te gebruiken maar u kunt er uiteraard ook voor kiezen om zelf een overeenkomst op te stellen of dit voorbeeld aan te passen naar eigen wens. Daarnaast een is overeenkomst tussen twee verwerkingsverantwoordelijken conform de AVG niet verplicht.
Partijen:
[NAAM KLANT + RECHTSVORM], gevestigd te [plaats, eventueel straat en huisnummer], hierna te noemen: “Opdrachtgever”, “U” of “Uw”, ten deze rechtsgeldig vertegenwoordigd door [naam], in diens hoedanigheid van [functie];
en
[NAAM ACCOUNTANTSPRAKTIJK], gevestigd te [plaats, straat en huisnummer], hierna te noemen: “Opdrachtnemer/Verantwoordelijke” , “Wij”, “Ons” of “Onze”, te dezen rechtsgeldig vertegenwoordigd door [naam + functie];
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegingen:
A. Wij zijn met U op [datum] de opdracht met naam/kenmerk [invullen] aangegaan vanwege het verrichten van de volgende opdracht door Ons: [invullen] (de “Onderliggende opdracht”). Wij Verwerken daarbij de Persoonsgegevens die vermeld staan in de Bijlage die bij deze Overeenkomst hoort.
B. Wij zijn - vanwege het uitvoeren van deze Onderliggende opdracht én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken - aan te merken als “Verwerkingsverantwoordelijke”. U bent als opdrachtgever tevens aan te merken als “Verwerkingsverantwoordelijke”1. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen voor de verwerking van de Persoonsgegevens vast.
Partijen komen het volgende overeen:
1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: |
Degene op wie een Persoonsgegeven betrekking heeft.
|
Verwerker: |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.
|
Verwerkingsverantwoordelijke / Verantwoordelijke: |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
|
Datalek / Inbreuk in verband met persoonsgegevens: |
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
|
Derden: |
Anderen dan U en Wij en Onze Medewerkers.
|
Meldplicht Datalekken: |
De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
|
Medewerkers |
Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
|
Onderliggende opdracht: |
De opdracht zoals hierboven bedoeld in de overwegingen onder A.
|
Overeenkomst: |
Deze overeenkomst Verantwoordelijke – Verantwoordelijke .
|
Persoonsgegevens: |
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
|
Verwerken / Verwerking: |
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
|
AVG |
Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wbp per 25 mei 2018. |
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Opdrachtnemer/Verantwoordelijke wordt gedaan op basis van de Onderliggende opdracht en de eventuele datalekken / inbreuken in verband met persoonsgegevens die plaatsvinden met betrekking tot die data.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben in het kader van de Onderliggende Opdracht. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen. Wij kunnen op basis van wet- en regelgeving een lange(re) bewaartermijn hebben.
2.3 Artikel 6 van deze Overeenkomst blijft gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
3. Rechten van Betrokkenen
3.1 Als Wij (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan kan het voorkomen dat Wij deze verzoeken aan U doorsturen voor verdere afhandeling. Vanwege de aard van de Onderliggende opdracht, en de daarbij op Ons rustende contextuele verwerkingsverantwoordelijkheid voor de verwerking, is het niet altijd passend als Wij (rechtstreeks) aan Ons gerichte verzoeken van Xxxxxxxxxx(n) om uitoefening van hun rechten zelf af zouden handelen. In dergelijke gevallen zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Xxx U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens.
4. Beveiligingsmaatregelen
4.1 Voor de overdracht van de Persoonsgegevens tussen Partijen zijn We de beveiligingsmaatregelen overeengekomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
5. Datalekken
5.1 Als er sprake is van een Datalek, waarbij gegevens die worden verwerkt in het kader van deze opdracht zijn betrokken, dan informeren wij U daarover.
5.2 Als Verwerkingsverantwoordelijke zullen Wij in het geval van een Datalek, indien nodig, zelfstandig melding doen aan de Autoriteit Persoonsgegevens. Vanwege de aard van de Onderliggende opdracht, en de daarbij op Ons rustende contextuele verwerkingsverantwoordelijkheid voor de verwerking, is het niet altijd logisch dat Wij Betrokkenen - indien nodig - rechtstreeks informeren over een Datalek. In voorkomende gevallen zullen Wij Gezamenlijk bepalen welke Partij, bezien vanuit het perspectief van Betrokkenen, de meest logische is om het Datalek te melden aan Betrokkenen.
6. Aansprakelijkheid
6.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
6.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen.
6.3 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
7. Slotbepalingen
7.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
7.2 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
7.3 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
7.4 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
7.5 Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
7.6 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
7.7 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door U en Ons worden gedaan aan onderstaande Medewerkers:
[naam]
[werkzaam bij: ]
[contactgegevens]
[naam]
[werkzaam bij: ]
[contactgegevens]
Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten We elkaar daarover in.
Ondertekening
Ondertekend op [datum]
_______________________________ |
_________________________________ |
[naam klant + naam ondertekenaar] |
[naam accountantspraktijk + naam ondertekenaar |
Bijlage
Persoonsgegevens
[Beschrijf onderwerp, duur, aard en doel van de verwerking, in te vullen door klant op basis van de Onderliggende opdracht.]
De volgende Persoonsgegevens zullen in het kader van de Onderliggende opdracht worden verwerkt:
[Opsomming van soort Persoonsgegevens en categorieën van Betrokkenen, in te vullen door klant.]
Verwerking
Wij Verwerken op de volgende wijzen Persoonsgegevens voor U:
[Omschrijving van de dienst(en) die de accountant verleent en de persoonsgegevens die de accountant daarbij verwerkt.]
Technische en organisatorische maatregelen
Wij nemen de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking tijdens de overdracht tussen Partijen:
[opsomming van te nemen maatregelen om het transport van de persoonsgegevens passend te beveiligen, in te vullen door accountant.]
1 Het gaat hierbij niet om een verwerkingsverantwoordelijkheid in gezamenlijkheid zoals bedoeld in artikel 26 AVG.