Gegevensverwerkingsovereenkomst

Gegevensverwerkingsovereenkomst

1. Definities

In deze gegevensverwerkingsovereenkomst (hierna 'DPA' of 'data processing agreement’) komen de

Partijen overeen dat onderstaande termen de volgende betekenis hebben:

- 'Overeenkomst': de 'Verkoop- en gebruiksvoorwaarden van de Twinntax-applicatie en van de diensten van TwinnTax';

- ‘Gegeven' of 'Persoonsgegeven' verwijst naar alle informatie of gegevens zoals gedefinieerd door het toepasselijke recht inzake gegevensbescherming met betrekking tot een natuurlijke persoon die rechtstreeks of onrechtstreeks kan worden geïdentificeerd, (hierna 'Betrokkene' genoemd), met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

- ‘Toepasselijk recht inzake gegevensbescherming' is de wet op de bescherming van persoonsgegevens van de lidstaat van de Europese Unie waar de Verwerkingsverantwoordelijke gevestigd is. Sinds 25 mei 2018 is dat de AVG en alle wetten en voorschriften van de lidstaat van de Europese Unie die van toepassing zijn op de Verwerking;

- ‘Derde landen' zijn landen die niet tot de Europese Economische Ruimte (EER) behoren en geen wetgeving inzake gegevensverwerking hebben, die krachtens een besluit van de Europese Commissie als gepast wordt beschouwd;

- ‘Verwerkingsverantwoordelijke' is de natuurlijke of rechtspersoon die de doeleinden en de middelen vaststelt voor de Verwerking die in het kader van de Overeenkomst moet worden uitgevoerd. Bij deze komen de partijen overeen dat de Verwerkingsverantwoordelijke de Klant (zoals gedefinieerd in de Overeenkomst) is;

- 'AVG' is de Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en het vrije verkeer van die Gegevens;

- ‘Verwerker' verwijst in deze DPA naar elke natuurlijke of rechtspersoon die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt. De Partijen komen overeen dat de Verwerker in het kader van deze DPA de besloten vennootschap Twinntax (KBO 0736.391.138) is.

- ‘Verwerking' is een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

2. Onderwerp

Deze bepalingen leggen de voorwaarden vast waaronder de Verwerker in naam van de Verwerkingsverantwoordelijke de Gegevens mag verwerken, zoals gedefinieerd in dit document en meer bepaald in Rubriek A.

3. Inwerkingtreding en duur

Deze bepalingen treden in werking op de begindatum van de Overeenkomst, voor de volledige duur van de Overeenkomst, en maken integraal deel uit van de overeenkomst.

4. Verplichtingen van de Verwerker ten opzichte van de Verwerkingsverantwoordelijke

De partijen komen overeen dat de Verwerker in geen geval het doeleinde en de middelen voor de Gegevensverwerking moet vaststellen. Deze worden door de Verwerkingsverantwoordelijke bepaald in Rubriek A.

De Verwerker verbindt zich ertoe om:

- de Persoonsgegevens uitsluitend te verwerken voor de doeleinden die de Verwerkingsverantwoordelijke opgeeft in Rubriek A;

- de Persoonsgegevens te verwerken in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke die onder Rubriek A vermeld staat, tenzij daarvan moet worden afgeweken krachtens de EU-wetgeving of de wetgeving van de lidstaat waaraan hij onderworpen is. In dit geval zal de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking op de hoogte stellen van deze wettelijke verplichting, tenzij dit bij wet verboden is op grond van redenen van zwaarwegend algemeen belang.

Als de Verwerker van mening is dat een instructie strijdig is met de AVG of enige andere bepaling van het toepasselijk recht inzake gegevensbescherming, zal hij de Verwerkingsverantwoordelijke daar onmiddellijk van op de hoogte brengen.

De Verwerkingsverantwoordelijke kan ook later instructies geven gedurende de volledige periode waarin de Gegevens worden verwerkt.

- met betrekking tot zijn hulpmiddelen, producten, toepassingen of diensten, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen in aanmerking te nemen.

5. Onderaanneming

De Verwerker kan een beroep doen op een andere verwerker (hierna ‘Subverwerker' genoemd) om specifieke Verwerkingsactiviteiten uit te voeren. De bijgewerkte lijst van Subverwerkers kan geraadpleegd worden via de volgende link: xxxxx://xxxxxxxx.xxx/xx/xxxxxxxxxxxxxx/

Ten minste 15 dagen voordat de Verwerker een Subverwerker in dienst neemt, zal de Verwerker de lijst op zijn website bijwerken. De Verwerkingsverantwoordelijke kan dan bezwaar maken tegen deze wijziging door (i) de Overeenkomst te beëindigen of (ii) de Twinntax-applicatie niet langer te gebruiken.

De Subverwerker zal zich op basis van een schriftelijke overeenkomst aan de verplichtingen van deze DPA moeten houden. Op verzoek van de Verwerkingsverantwoordelijke dient de Verwerker een kopie te bezorgen van deze met de Subverwerker afgesloten overeenkomst en van alle latere wijzigingen daarvan.

De Verwerker moet erop toezien dat de Subverwerker dezelfde afdoende garanties biedt met betrekking tot het toepassen van gepaste technische en organisatorische maatregelen, opdat de Verwerking beantwoordt aan de voorschriften van de AVG.

Als de Subverwerker zijn verplichtingen inzake gegevensbescherming niet naleeft, blijft de eerste Verwerker volledig aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de Subverwerker. De Verwerker dient de Verwerkingsverantwoordelijke op de hoogte te stellen van elke inbreuk door de Subverwerker op zijn contractuele verplichtingen.

6. Melding van inbreuken in verband met Persoonsgegevens

Indien een inbreuk met betrekking tot persoonsgegevens heeft plaatsgevonden, dient de Verwerker dat uiterlijk achtenveertig (48) uur nadat hij er kennis van heeft genomen aan de Verwerkingsverantwoordelijke per e-mail te melden.

Die melding dient vergezeld te gaan van alle nuttige documentatie en informatie opdat de Verwerkingsverantwoordelijke indien nodig de inbreuk kan melden aan de bevoegde toezichthoudende autoriteit.

7. Bijstand van de Verwerker aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen

De Verwerker dient de Verwerkingsverantwoordelijke onverwijld op de hoogte te stellen van eender welk verzoek dat hij van een Betrokkene heeft ontvangen. Hij zal zelf geen vervolg geven aan dit verzoek, tenzij hij hiertoe vooraf toestemming heeft gekregen van de Verwerkingsverantwoordelijke. De Verwerker zal de Verwerkingsverantwoordelijke bijstaan in het nakomen van zijn verplichting om te reageren op verzoeken van Xxxxxxxxxxx ter uitoefening van hun rechten.

De Verwerker zal de Verwerkingsverantwoordelijke ook bijstaan in het naleven van de volgende verplichtingen, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt:

- de verplichting om een effectbeoordeling uit te voeren wanneer een type verwerking wellicht een hoog risico inhoudt voor de rechten en vrijheden van de natuurlijke personen;

- de verplichting om de bevoegde toezichthoudende autoriteit(en) voorafgaand aan de verwerking te raadplegen, wanneer uit een effectbeoordeling met betrekking tot gegevensbescherming blijkt dat de verwerking wellicht een hoog risico met zich meebrengt als de Verwerkingsverantwoordelijke geen maatregelen neemt om het risico in te perken;

- de verplichting om erop toe te zien dat de Gegevens juist en up-to-date zijn, door de Verwerkingsverantwoordelijke onverwijld op de hoogte te stellen als de Verwerker zich ervan bewust wordt dat de persoonsgegevens die hij verwerkt, onjuist zijn of verouderd zijn.

Voor bijstand die verder gaat dan de wettelijke vereiste, zal een prijsofferte worden opgesteld, die moet worden goedgekeurd door de Verwerkingsverantwoordelijke.

8. Bestemming van de gegevens

Wanneer de Overeenkomst afloopt – om welke reden dan ook – zal de Verwerker, op verzoek van de Verwerkingsverantwoordelijke, de persoonsgegevens van de Verwerkingsverantwoordelijke die opgeslagen zullen blijven op de Twinntax-applicatie in een account met beperkte functionaliteiten dat voor dit doel opnieuw geactiveerd is (die kunnen worden gefactureerd tegen het gebruikelijke dagtarief), gedurende een periode van drie maanden na het einde van de Overeenkomst bewaren, zodat de Verwerkingsverantwoordelijke ze kan opvragen. Aan het einde van deze periode van drie maanden zal de Verwerker de account van de Verwerkingsverantwoordelijke definitief deactiveren. In elk geval zal de Verwerkingsverantwoordelijke de gegevens die zijn opgeslagen in de applicatie binnen een periode van maximaal twaalf maanden na het aflopen van de Overeenkomst vernietigen, tenzij de Verwerker toestemming heeft om de gegevens langer te bewaren of indien hij gelast wordt deze gegevens sneller te wissen.

In de veronderstelling dat de gegevens door de Verwerkingsverantwoordelijke worden opgevraagd, verbindt de Verwerker zich er ook toe alle kopieën in zijn informatiesystemen te vernietigen, tenzij het op grond van artikel 28 van de AVG verplicht is de Persoonsgegevens te bewaren.

9. Register van de categorieën van verwerkingsactiviteiten

De Verwerker verklaart een schriftelijk register bij te houden van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht. Dit register bevat de volgende gegevens:

- de naam en contactgegevens van de Verwerkingsverantwoordelijke namens wie hij optreedt, en van de eventuele verwerkers;

- de categorieën van Verwerkingen die voor rekening van de Verwerkingsverantwoordelijke zijn verricht;

- indien van toepassing, de doorgiften van Persoonsgegevens aan een Derde Land of een internationale organisatie, onder vermelding van dat Derde Land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea van de AVG bedoelde doorgiften, de documenten inzake de passende waarborgen;

- een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals bedoeld in Rubriek B van deze DPA.

10. Verplichtingen van de Verwerkingsverantwoordelijke ten opzichte van de Verwerker

De Verwerkingsverantwoordelijke verbindt zich ertoe om:

- het beginsel van beperking van de Persoonsgegevens die nodig zijn voor de verwerkingsdoeleinden na te leven. Bijgevolg verbindt de Verwerkingsverantwoordelijke zich

ertoe om de Verwerker enkel die Persoonsgegevens toe te vertrouwen die strikt noodzakelijk zijn voor de uitvoering van de Overeenkomst;

- erop toe te zien dat de Verwerking en de verwerkingsdoeleinden voldoen aan de AVG;

- de Verwerker de beschrijving van de Verwerking en de bijbehorende instructies te verstrekken. Deze moeten in Rubriek A van dit document vermeld worden;

- er voorafgaand aan en tijdens de volledige duur van de Verwerking op toe te zien dat de verplichtingen voorzien door de AVG worden nageleefd door de Verwerker;

- toezicht houden op de Verwerking, inclusief audits en inspecties bij de Verwerker.

11. Verzameling van de Persoonsgegevens van de Betrokkenen

De Verwerkingsverantwoordelijke dient de Betrokkenen op het moment dat hun Persoonsgegevens worden verzameld, de nodige informatie te verstrekken.

De Verwerkingsverantwoordelijke moet alle nodige verklaringen doen en alle nodige voorafgaande toestemmingen, instemmingen en goedkeuringen verkrijgen van de Betrokkenen.

De Verwerkingsverantwoordelijke verbindt zich ertoe om de Verwerker te vergoeden voor en te vrijwaren tegen klachten, schade, aansprakelijkheden en onkosten (met inbegrip van juridische kosten en erelonen voor advocaten) die de Verwerker lijdt ten gevolge van het niet naleven van de bovenvermelde verplichting.

De Partijen komen overeen dat de Verwerkingsverantwoordelijke eigenaar blijft van alle Gegevens die hij verzamelt en die de Verwerker in het kader van de Overeenkomst verwerkt.

12. Uitoefening van de rechten van de Betrokkenen

De Partijen komen in het algemeen overeen dat de Verwerkingsverantwoordelijke instaat voor alle verzoeken tot uitoefening van de rechten van de Betrokkenen: recht van inzage, recht op rectificatie, recht op wissing, recht van bezwaar, recht op beperking van de verwerking, recht op gegevensoverdraagbaarheid, recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit.

Niettegenstaande het voorgaande moet de Verwerker de Verwerkingsverantwoordelijke voor zover dat nodig en noodzakelijk is, helpen bij het naleven van zijn verplichting om gevolg te geven aan de verzoeken tot uitoefening van de rechten van de Betrokkenen.

Wanneer de Betrokkenen bij de Verwerker verzoeken indienen om hun rechten uit te oefenen, moet de Verwerker deze verzoeken onmiddellijk doorsturen naar de Verwerkingsverantwoordelijke.

13. Beveiligingsmaatregelen

De Verwerker zal ten minste de in rubriek B vermelde technische en organisatorische maatregelen implementeren om de beveiliging van de persoonsgegevens te verzekeren. Deze maatregelen omvatten de bescherming van de gegevens tegen eender welke inbreuk op de beveiliging die resulteert in een accidentele of ongeoorloofde vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens (inbreuk op persoonsgegevens).

De Verwerker zal zijn personeel uitsluitend toegang verlenen tot de persoonsgegevens die het voorwerp uitmaken van de verwerking in de mate die strikt noodzakelijk is voor de uitvoering, het beheer en de opvolging van de overeenkomst. De Verwerker zorgt ervoor dat de personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich ertoe verbinden de vertrouwelijkheid in acht te nemen of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en de nodige opleiding krijgen met betrekking tot de bescherming van de persoonsgegevens.

14. Doorgifte

De Persoonsgegevens die de Verwerker namens de Verwerkingsverantwoordelijke verwerkt, zullen

louter buiten de Europese Unie worden doorgegeven onder de voorwaarden die zijn vastgelegd in de AVG.

Zo stemt de Verwerkingsverantwoordelijke ermee in dat wanneer de Verwerker een Subverwerker aanwerft om (namens de Verwerkingsverantwoordelijke) specifieke Verwerkingsactiviteiten uit te voeren en deze Verwerkingsactiviteiten een doorgifte van persoonsgegevens inhouden in de zin van hoofdstuk V van de AVG, de Verwerker en de Subverwerker de naleving van hoofdstuk V van de AVG kunnen verzekeren door gebruik te maken van de contractuele modelclausules die door de Commissie zijn goedgekeurd op basis van artikel 46, lid 2, van de AVG.

15. Documentatie/ Audit

De Verwerker:

- zal de documentatie die nodig is om aan te tonen dat hij zijn verplichtingen uit hoofde van deze bepalingen nakomt, ter beschikking stellen van de Verwerkingsverantwoordelijke; en

- zal ook audits toestaan, met inbegrip van inspecties, op kosten van de Verwerkingsverantwoordelijke, binnen de hieronder aangegeven grenzen en indien de Verwerkingsverantwoordelijke ernstige twijfels heeft over de naleving van de verplichtingen van de Verwerker, die niet kunnen worden weggenomen op basis van de documentatie die op grond van bovenstaande bepaling is overgelegd.

De in het bovenstaande punt (ii) vermelde audit kan maximaal één keer per jaar door de Verwerkingsverantwoordelijke of door een gevolmachtigde auditeur worden uitgevoerd, op voorwaarde dat deze laatste geen concurrent van de Verwerker is en onderworpen is aan een geheimhoudingsplicht.

De Verwerkingsverantwoordelijke verbindt zich ertoe om de Verwerker minstens vijftien (15) dagen op voorhand op de hoogte te brengen van om het even welke audit, en hem met name het doel van de opdracht, de verwachte duur en de naam van de auditeur(s) mee te delen. De Verwerker kan een auditeur weigeren om zijn gerechtvaardigde belangen te beschermen. De Verwerker zal redelijke maatregelen treffen opdat de auditeur zijn audit naar behoren kan uitvoeren. Wanneer de partijen – om na te gaan of de Verwerker zijn verplichtingen nakomt – onderling overeenkomen dat de audit moet worden uitgevoerd in de gebouwen van deze laatste, moeten de auditwerkzaamheden en verzoeken om informatie worden uitgevoerd tijdens de werkuren van de Verwerker en mogen ze het goede functioneren van de activiteiten van deze laatste niet verstoren. Alle middelen die door de Verwerker worden ingezet voor deze bijstand aan de Verwerkingsverantwoordelijke in het kader van de audit, zullen worden gefactureerd aan de Verwerkingsverantwoordelijke. De Verwerker ontvangt een kopie van het auditverslag. De Partijen zullen dat verslag te goeder trouw bestuderen en

desgevallend beslissen welke maatregelen elk van beide Partijen moeten treffen om de eventuele aanbevelingen in het auditverslag uit te voeren en/of om eventuele tekortkomingen die tijdens de audit zijn vastgesteld te verhelpen.

De Verwerker zal de verzoeken van de Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Gegevens in overeenstemming met deze DPA snel en adequaat behandelen.

RUBRIEK A: BESCHRIJVING VAN DE VERWERKING

De Verwerker is gemachtigd om in naam van de Verwerkingsverantwoordelijke en in de volgende context Persoonsgegevens te verwerken.

Het doel of de doelen van de Verwerking is (zijn): gebruik van de Twinntax-applicatie (die met name wordt gebruikt om de Verwerkingsverantwoordelijke te assisteren bij de boekhoudkundige en fiscale taken die hem door zijn eigen klanten worden toevertrouwd).

Voor dit doel (gebruik van de Twinntax-applicatie), impliceren de door Twinntax aangeboden diensten, in functie van de door de Verwerkingsverantwoordelijke gekozen diensten, de volgende Gegevensverwerkingen:

- aanmaken van extra gebruikers-ID’s voor de Twinntax-applicatie (gebruikersnaam, wachtwoorden);

- opslaan van voorkeuren voor het gebruik van de Twinntax-applicatie (taal, enz.);

- ophalen van gegevens en verzamelen van documenten bij de belastingdienst (MyMinFin, Tax- on-Web en FinProf);

- op verzoek van de Verwerkingsverantwoordelijke, synchronisatie met de software van andere dienstverleners;

- beheer van de 273 aangiften (roerende voorheffing) ;

- beheer en indiening van de fiches 281 (zaakvoerder);

- beheer van de auteursrechten en gerelateerde aangiften;

- bevestigen van de UBO’s;

- beheren, berkenen en verzenden van de PB aangiften;

- bijeenroeping van de algemene vergardingen en het beheer van de notulen.

De door de Twinntax-applicatie aangeboden diensten omvatten ook verwerkingen die noodzakelijk en inherent zijn aan het gebruik van de Twinntax-applicatie, zoals gegevensopslag en back-up, evenals technische bijstand (ondersteuning).

De aard van de bewerkingen die op de Gegevens worden uitgevoerd is: de manipulatie van de gegevens van de contactpersonen binnen de Verwerkingsverantwoordelijke (effectieve gebruikers van de Twinntax-applicatie) en van de (contactpersonen bij de) klanten van de Verwerkingsverantwoordelijke.

De verwerkte Persoonsgegevens zijn: identiteitsgegevens, eventuele contactgegevens van contactpersonen binnen de Verwerkingsverantwoordelijke, evenals identiteitsgegevens, eventuele

contactgegevens, boekhoudkundige en fiscale gegevens van (personen binnen) de klanten van de Verwerkingsverantwoordelijke.

Duur van de Verwerking: zolang de Verwerkingsverantwoordelijke een abonnement heeft op de diensten van Twinntax (duur van de Overeenkomst); verwijdering van de gegevens aan het einde van een periode van maximaal twaalf maanden na het aflopen van de Overeenkomst om welke reden dan ook.

De categorieën van Betrokkenen zijn: (personen binnen) de Verwerkingsverantwoordelijke en de klanten van de Verwerkingsverantwoordelijke.

RUBRIEK B: BEVEILIGINGSMAATREGELEN

Rekening houdend met de stand van de techniek, de uitvoeringskosten en de hierboven beschreven aard, reikwijdte, context en doeleinden van de Verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de Verwerker passende technische en organisatorische maatregelen om een aan de risico’s aangepast beveiligingsniveau te waarborgen.

De bijgewerkte lijst van beveiligingsmaatregelen die door de Verwerker werden getroffen, kan geraadpleegd worden via de volgende link: xxxxx://xxxxxxxx.xxx/xx/xxxx-xxxxxxxx/

Laatste versie : maart 2024