Verwerkersovereenkomst Hamelwerth Belastingadviseurs B.V.
Verwerkersovereenkomst Hamelwerth Belastingadviseurs B.V.
Deze verwerkersovereenkomst is in werking getreden tussen:
1. Hamelwerth Belastingadviseurs B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Keizersgracht 62 te Amsterdam, ingeschreven in het handelsregister onder KvK-nummer 62463837, hierbij rechtsgeldig vertegenwoordigd door haar directie, hierna verder te noemen ‘Hamelwerth’
en
2. De cliënt, zoals benoemd in de Hoofdovereenkomst1, hierna verder te noemen ‘Cliënt’.
Hamelwerth en Cliënt zullen hierna gezamenlijk ‘Partijen’ worden genoemd.
Overwegende:
- Hamelwerth heeft met Cliënt een overeenkomst gesloten (‘de Hoofdovereenkomst’) op
grond waarvan Xxxxxxxxxx aan Cliënt voor de daarin genoemde looptijd haar diensten verleent. Tot de Hoofdovereenkomst (hierna: HO) behoren naast deze verwerkersovereenkomst (hierna: VO) ook de Algemene Voorwaarden van Xxxxxxxxxx. De definities en terminologie uit deze VO hebben dezelfde betekenis als die in de Algemene Voorwaarden.
- Het verlenen van de diensten brengt noodzakelijkerwijs met zich mee dat persoonsgegevens van of via Cliënt ter beschikking of ter kennis komen van Xxxxxxxxxx.
- Gezien het bepaalde in de Algemene Verordening Gegevensbescherming (hierna: AVG) en gezien het bepaalde in overige van toepassing zijnde wet- en regelgeving ten aanzien van het verwerken van persoonsgegevens wensen Cliënt en Hamelwerth het volgende vast te leggen in onderhavige VO: de opdracht tot en de nadere afspraken omtrent het verwerken van persoonsgegevens door Xxxxxxxxxx in het kader van de verlening van de diensten door Xxxxxxxxxx aan Cliënt. Cliënt treedt in deze op als Verwerkersverantwoordelijke en Hamelwerth treedt in deze op als Verwerker in de zin van de AVG.
Partijen komen overeen als volgt:
1. Ingangsdatum en duur
1.1. Deze VO treedt tussen Partijen in werking op 25 mei 2018 dan wel op het moment van het sluiten van de HO indien Partijen die later dan 25 mei 2018 tussen Partijen wordt gesloten.
1.2. Deze VO is aangegaan voor een duur die gelijk is aan de duur van de HO. Bij een verlenging van de duur van de HO zal ook deze VO met dezelfde duur worden verlengd. Beëindiging van de HO doet deze VO op hetzelfde moment eindigen.
2. Persoonsgegevens
2.1. Hamelwerth verwerkt de door of via Cliënt ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van Xxxxxx in het kader van de uitvoering van de HO. Hamelwerth zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens afwijkende wettelijke verplichtingen.
2.2. Xxxxxxxxxx verbindt zich om in het kader van die werkzaamheden de door of via Cliënt ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.
3. Verplichtingen Hamelwerth
3.1. Xxxxxxxxxx zal bij de verwerking van persoonsgegevens in het kader van de uitvoering van de HO, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. Hamelwerth zal de billijke instructies van Cliënt met betrekking tot de betreffende persoonsgegevens in redelijkheid opvolgen indien en voor zover dat voor Hamelwerth mogelijk is en behoudens afwijkende wettelijke verplichtingen. Partijen zullen in onderling overleg de gevolgen, de uitvoering en termijn van uitvoering van de betreffende billijke instructies bepalen.
1 Hiermee wordt een getekende opdrachtbevestiging en/of een samenwerkingsovereenkomst bedoeld.
3.2. Door de diensten te verlenen, stelt Xxxxxxxxxx Cliënt in staat om te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen.
4. Geheimhoudingsplicht
4.1. Personen in dienst van, dan wel werkzaam ten behoeve van Hamelwerth, evenals Xxxxxxxxxx zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht.
4.2. Indien Hamelwerth op grond van een wettelijke verplichting gegevens dient te verstrekken, zal Hamelwerth de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Xxxxxxxxxx Xxxxxx onmiddellijk, voorafgaand aan de verstrekking ter zake informeren, tenzij wettelijke bepalingen dit verbieden.
5. Meldplicht datalekken
5.1. Hamelwerth zal Cliënt zo spoedig mogelijk – informeren over inbreuken op haar beveiliging die op grond van artikel 33 AVG moeten worden gemeld aan de Autoriteit Persoonsgegevens (hierna: AP) en/of betrokkene.
5.2. Op verzoek van Cliënt zal Xxxxxxxxxx in het geval van een inbreuk hem in ieder geval de volgende informatie verstrekken:
- de aard van de inbreuk en van de getroffen persoonsgegevens;
- de waarschijnlijke gevolgen van de inbreuk; en
- de maatregelen die in dat verband worden of zijn getroffen.
Indien het voor Xxxxxxxxxx niet mogelijk is om deze informatie direct te verstrekken, dan zal zij dat in stappen doen.
5.3. Xxxxxxxxxx zal het doen van meldingen aan de toezichthouder(s) overlaten aan Cliënt.
5.4. Xxxxxxxxxx zal alle noodzakelijke medewerking verlenen aan het zo nodig verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).
5.5. Hamelwerth houdt een overzicht bij van de feiten en gevolgen van de inbreuken op de beveiliging.
6. Beveiligingsmaatregelen en controle
6.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en het doel van de verwerking van de persoonsgegevens alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen die aan de verwerking zijn verbonden, neemt Xxxxxxxxxx passende technische en organisatorische maatregelen om de persoonsgegevens die worden verwerkt ten dienste van Cliënt te beveiligen en beveiligd te houden.
6.2. Cliënt is gerechtigd de verwerking van persoonsgegevens één keer per kalenderjaar te doen controleren door een daartoe erkende en EDP-gecertificeerde auditor, als er gerede twijfel bij Cliënt is ontstaan over de adequate nakoming van deze VO door Xxxxxxxxxx en de grond voor de twijfel aantoonbaar is. Xxxxxxxxxx zal onder voorafgaande overeengekomen geheimhouding, de betreffende auditor toelaten tot haar bedrijf en systemen en hem medewerking verlenen.
6.3. Cliënt zal de audit slechts kunnen laten uitvoeren na een minimaal 30 dagen daaraan voorafgaande schriftelijke melding aan Hamelwerth.
6.4. Hamelwerth staat er voor in dat de door Cliënt ingeschakelde auditor aangegeven aantoonbare ernstige tekortkomingen in de overeengekomen beveiligingsmaatregelen worden verholpen binnen een daartoe door Cliënt en Hamelwerth gezamenlijk te bepalen termijn. Over (overige) door de auditor aangegeven aanbevelingen zullen Partijen in overleg treden over het verhelpen of verbetering daarvan alsmede over kosten die daarmee gemoeid zullen zijn.
6.5. De kosten van de audit worden gedragen door Cliënt.
7. Inschakeling derden
7.1. Hamelwerth is gerechtigd de uitvoering van de diensten geheel of ten dele uit te besteden aan derden. Indien een wezenlijke verandering optreedt, zal Hamelwerth Cliënt zo spoedig mogelijk inlichten over de beoogde derde. Gebruiker kan schriftelijk en op redelijke gronden, binnen 7 werkdagen na de bedoelde inlichting, bezwaar maken.
7.2. Xxxxxxxxxx blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van De bepalingen uit deze VO.
8. Wijziging en beëindigen Verwerkersovereenkomst
8.1. Wijziging van deze VO kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.
8.2. Zodra deze VO, om welke reden en op welke wijze dan ook, is beëindigd, zullen de bepalingen ervan tussen Partijen van kracht blijven indien en voor zover Xxxxxxxxxx nog persoonsgegevens ten behoeve van Cliënt verwerkt.
9. Aansprakelijkheid
9.1. De aansprakelijkheid van Hamelwerth voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de VO of de HO, dan wel uit onrechtmatige daad of anderszins, is beperkt. De aansprakelijkheid en de beperking daarvan is geregeld in artikel 8 van de Algemene Voorwaarden,
dat als alhier herhaald en geïnsereerd wordt beschouwd.
10. Overige bepalingen
10.1. Indien de persoonsgegevens onder de verantwoordelijkheid van een derde behoren, dan zullen de artikelen uit deze VO mutatis mutandis als derdenbedingen ten behoeve van deze derde te zijn overeengekomen.
10.2. Indien en voor zover er in deze VO geen regeling is getroffen voor bepaalde onderwerpen, geldt hetgeen dat ten aanzien van dat onderwerp is vastgelegd in de HO en/of de Algemene Voorwaarden.
Bijlage A Overzicht van te verwerken persoonsgegevens
1. Naam van de verwerking, doeleinden, categorieën van betrokkenen, soorten persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerking | Verwerkingsdoeleinden | Categorieën van Betrokkenen | Omschrijving Persoonsgegevens | Doorgifte naar derde landen |
2. Contactgegevens
Contactpersoon Client (Verwerkersverantwoordelijke) | Naam: Contactgegevens: |
Contactpersoon Afier (Verwerker) | Naam: Contactgegevens: |
3. Ingeschakelde subverwerkers
Naam en contactgegevens subverwerker | Kvk-nummer | Uitbestede verwerkingen | Beschikt over certificering? |
Bijlage B Passend niveau van beveiliging
De toereikendheid van de informatiebeveiliging blijkt uit eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven:
- …. Afstemmen met de klant
- …. Afstemmen met de klant
- …. Afstemmen met de klant