VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
1. Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaakt.
1.2 Verwerker: de besloten vennootschap met beperkte aansprakelijkheid “Wester & van Dijck Accountancy bv.Ggelieerde entiteiten: Van Dijck & Schell Fiscaal Advies.
1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
1.5 Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten van Werkzaamheden door Verwerker ten behoeve van de Opdrachtgever.
1.6 Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden.
1.7 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in
de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.
2. Toepasselijkheid verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst is van toepassing op alle Gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen Gegevens.
2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens betreffende bepaalde categorieën van betrokkenen, zoals omschreven in Annex 1.
2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.
2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verantwoordelijke bindend voor Verwerker.
2.5 Deze verwerkersovereenkomst maakt, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte verwerkersovereenkomst
3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in
Annex 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4 Als Verwerker een zelfstandig verplichting mocht hebben op basis van wettelijke voorschriften of de voor accountants en/of belastingadviseurs geldende beroeps- en gedragsregels met betrekking tot verwerking van
Gegevens, dan leeft Verwerker deze verplichtingen na.
3.5 De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens.
3.6 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
4. Geheimhouding
4.1 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
4.2 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
5. Geen verdere verstrekking
5.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe toestemming of opdracht heeft verkregen van Verantwoordelijke, dan wel dit uit de Overeenkomst voortvloeit, of Verwerker op grond van dwingendrechtelijke regelgeving daartoe verplicht is.
6. Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
7. Toezicht op naleving
7.1 Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers.
7.2 Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verantwoordelijke.
8. Datalek
8.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens en dat leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte en zal Verwerker informatie verstrekken over: de aard van het incident of datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
8.2 Verwerker zal Verantwoordelijke op diens verzoek ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
9. Sub-verwerkers
9.1 Verantwoordelijke geeft Verwerker hierbij algemene toestemming om Subverwerkers in te schakelen voor de verwerking van de Gegevens alsmede om
deze Sub-verwerkers te vervangen. Als het inschakelen of vervangen van Sub-verwerkers tot gevolg heeft dat deze Gegevens gaan verwerken dan zal Verwerker die Sub-verwerkers minimaal de verplichtingen uit deze overeenkomst opleggen. Door ondertekening van deze overeenkomst geeft Verantwoordelijke toestemming voor het inschakelen van Sub-verwerkers die genoemd zijn in Annex 3. Over het inschakelen van overige Sub-verwerkers zal Verwerker Verantwoordelijke vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
10. Medewerkingsplichten en rechten van betrokkenen
10.1 Verwerker zal voor zover mogelijk Verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan
wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens. Verwerker kan hiervoor kosten in rekening brengen.
10.2 Als Verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, stuurt Verwerker dit verzoek door naar Verantwoordelijke. Verantwoordelijke handelt deze verzoeken zelf af.
11. Duur en beëindiging
11.1 Deze verwerkersovereenkomst is geldig zolang Xxxxxxxxx de opdracht heeft van Xxxxxxxxxxxxxxxxx om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door
Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
11.2 Als de Overeenkomst wordt beëindigd, dan zal Verwerker de door Verantwoordelijke verstrekte Gegevens aan Verantwoordelijke terug overdragen of –als Verantwoordelijke daarom verzoekt- vernietigen. Verwerker zal uitsluitend een kopie van de Gegevens bewaren als Verwerker hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.
11.3 De kosten van het verzamelen en overdragen, dan wel van vernietiging van Xxxxxxxx bij het eindigen van de Overeenkomst zijn voor rekening van Verantwoordelijke.
12. Aansprakelijkheid
12.1 Verantwoordelijke staat ervoor in dat de verwerking van de Gegevens op basis van deze verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkenen.
12.2 Verwerker is niet verantwoordelijk voor schade die het gevolg is van het door Verantwoordelijke niet naleven van de AVG of andere wet- en regelgeving.
Verantwoordelijke vrijwaart Verwerker voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Verwerker worden opgelegd ten gevolge van het handelen van Verantwoordelijke.
12.3 De in de Overeenkomst en daarbij behorende Algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze verwerkersovereenkomst, met dien verstande dat een of meerdere schadevorderingen uit
hoofde van de Overeenkomst en/of deze verwerkersovereenkomst nimmer tot overschrijding van de beperking kan leiden.
13. Nietigheid
13.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling
onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benadert.
14. Toepasselijk recht en forumkeuze
14.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
14.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank Roermond.
ANNEX 1
GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN GEGEVENS
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen: financiële verslaglegging, fiscale aangiften, financiële- fiscale- bedrijfseconomische- en/of juridische advisering, personeelszaken, salarisadministratie:
(1) Naam (initialen, voornaam, achternaam)
(2) Telefoonnummer
(3) E-mailadres
(4) Geboortedatum, geboorteplaats
(5) Adresgegevens
(6) Gegevens ID-bewijs (in verband met de Wwft, BSN in verband met fiscale aangiften)
(7) Fiscale- en financiële gegevens, zowel zakelijk als privé, nodig voor het naar behoren uitvoeren en declareren van de Werkzaamheden
(8) NAW-gegevens, BSN, geboortedatum en –plaats, datum in- en uitdiensttreding, salarisgegevens en emolumenten, start- en einddatum ziekteverzuim, eventueel emailadres en telefoonnummer van personeelsleden van Verantwoordelijke
DOELEINDEN
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
(1) de werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;
(2) het onderhoud, waaronder updates en releases van het door Xxxxxxxxx dan wel Subverwerker
aan Verantwoordelijke ter beschikking gestelde systeem;
(3) het gegevens- en technische beheer, ook door een sub-verwerker;
(4) de hosting, ook door een sub-verwerker;
(5) verwerking om eventuele verdere redelijke instructies van de Verantwoordelijke na te komen, als deze instructies consistent zijn met de bepalingen geldend voor de
opdracht;
(6) klanttevredenheidsonderzoeken.
CATEGORIEËN VAN BETROKKENEN
De Gegevens die verwerkt worden betreffen de volgende categorieën van betrokkenen:
(1) Opdrachtgevers dan wel natuurlijke personen gelieerd aan opdrachtgevers, alsmede hun partners, kinderen en andere betrokken familieleden;
(2) Personen in dienst van Verantwoordelijke dan wel personen die werkzaamheden verrichten voor Verantwoordelijke/Opdrachtgever;
(3) (Mogelijke) cliënten, opdrachtnemers, leveranciers e.d. van Verantwoordelijke
ANNEX 2 BEVEILIGINGSMAATREGELEN
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
□ Autorisatiebeleid
□ Beveiliging van netwerkverbindingen
□ Geïmplementeerde gedragscode
□ Geheimhoudingsverklaringen
□ Indringeralarm
□ Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes
□ Logging
□ Sub-verwerkersovereenkomsten met derden
□ Veilige wijze voor het opslaan van gegevensbestanden
□ Lidmaatschap SRA, NBA
□ Communicatiebeveiliging
□ Fysieke beveiliging
□ Incident- en datalekregister
□ Meerfactorauthenticatie
□ Regelmatige audits
□ Toegangscontrole
□ Wachtwoordbeleid
□ ICT-Outsourcing
□ Geen opslag documenten op desk en (privé) laptops
7
ANNEX 3
SUB-VERWERKERS
De Verwerker schakelt deze derden in bij het uitvoeren van de Werkzaamheden:
RBI (Nextens) Davilex Visma
ADP
Exact
Xxxxxx & van Dijck Accountancy bv Van Dijck & Schell Fiscaal Advies