Verwerkersovereenkomst Afier Accountants B.V., Afier Auditors B.V.,
Verwerkersovereenkomst Afier Accountants B.V., Afier Auditors B.V.,
Afier Belastingadviseurs B.V., Afier Interim Controllers B.V., en/of Afier Salaris en Personeelsadviseurs B.V.
Deze verwerkersovereenkomst is in werking getreden tussen:
1. Afier Accountants B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16c te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 68110146, hierbij rechtsgeldig vertegenwoordigd door haar directie
en/of
1.1. Afier Auditors B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16d te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 02086462, hierbij rechtsgeldig vertegenwoordigd door haar directie
en/of
1.2. Afier Belastingadviseurs B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16c te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 02086446, hierbij rechtsgeldig vertegenwoordigd door haar directie, hierna verder afzonderlijk of gezamenlijk met voornoemde vennootschappen te noemen ‘Afier’
1.3. Afier Interim Controllers B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16c te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 80429068, hierbij rechtsgeldig vertegenwoordigd door haar directie, hierna verder afzonderlijk of gezamenlijk met voornoemde vennootschappen te noemen ‘Afier’
1.4. Afier Salaris en Personeelsadviseurs B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16c te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 84607173, hierbij rechtsgeldig vertegenwoordigd door haar directie, hierna verder afzonderlijk of gezamenlijk met voornoemde vennootschappen te noemen ‘Afier’
en
2. De cliënt, zoals benoemd in de Hoofdovereenkomst1, hierna verder te noemen ‘Cliënt’.
Afier en Cliënt zullen hierna gezamenlijk ‘Partijen’ worden genoemd.
Overwegende:
- Afier heeft met Cliënt een overeenkomst gesloten (‘de Hoofdovereenkomst’) op
grond waarvan Afier aan Cliënt voor de daarin genoemde looptijd haar diensten verleent. Tot de Hoofdovereenkomst (hierna: HO) behoren naast deze verwerkersovereenkomst (hierna: VO) ook de Algemene Voorwaarden van Afier. De definities en terminologie uit deze VO hebben dezelfde betekenis als die in de Algemene Voorwaarden.
- Het verlenen van de diensten brengt noodzakelijkerwijs met zich mee dat persoonsgegevens van of via Cliënt ter beschikking of ter kennis komen van Afier.
- Gezien het bepaalde in de Algemene Verordening Gegevensbescherming (hierna: AVG) en gezien het bepaalde in overige van toepassing zijnde wet- en regelgeving ten aanzien van het verwerken van persoonsgegevens wensen Cliënt en Afier het volgende vast te leggen in onderhavige VO: de opdracht tot en de nadere afspraken omtrent het verwerken van persoonsgegevens door Afier in het kader van de verlening van de diensten door Afier aan Cliënt. Cliënt treedt in deze op als Verwerkersverantwoordelijke en Afier treedt in deze op als Verwerker in de zin van de AVG.
1 Hiermee wordt een getekende opdrachtbevestiging en/of een samenwerkingsovereenkomst bedoeld.
Partijen komen overeen als volgt:
1. Ingangsdatum en duur
1.1. Deze VO treedt tussen Partijen in werking op 25 mei 2018 dan wel op het moment van het sluiten van de HO indien Partijen die later dan 25 mei 2018 tussen Partijen wordt gesloten.
1.2. Deze VO is aangegaan voor een duur die gelijk is aan de duur van de HO. Bij een verlenging van de duur van de HO zal ook deze VO met dezelfde duur worden verlengd. Beëindiging van de HO doet deze VO op hetzelfde moment eindigen.
2. Persoonsgegevens
2.1. Afier verwerkt de door of via Cliënt ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van Cliënt in het kader van de uitvoering van de HO. Afier zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens afwijkende wettelijke verplichtingen.
2.2. Afier verbindt zich om in het kader van die werkzaamheden de door of via Cliënt ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.
3. Verplichtingen Afier
3.1. Afier zal bij de verwerking van persoonsgegevens in het kader van de uitvoering van de HO, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. Afier zal de billijke instructies van Cliënt met betrekking tot de betreffende persoonsgegevens in redelijkheid opvolgen indien en voor zover dat voor Afier mogelijk is en behoudens afwijkende wettelijke verplichtingen. Partijen zullen in onderling overleg de gevolgen, de uitvoering en termijn van uitvoering van de betreffende billijke instructies bepalen.
3.2. Door de diensten te verlenen, stelt Afier Cliënt in staat om te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen.
4. Geheimhoudingsplicht
4.1. Personen in dienst van, dan wel werkzaam ten behoeve van Afier, evenals Afier zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht.
4.2. Indien Afier op grond van een wettelijke verplichting gegevens dient te verstrekken, zal Afier de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Afier Cliënt onmiddellijk, voorafgaand aan de verstrekking ter zake informeren, tenzij wettelijke bepalingen dit verbieden.
5. Meldplicht datalekken
5.1. Afier zal Cliënt zo spoedig mogelijk – informeren over inbreuken op haar beveiliging die op grond van artikel 33 AVG moeten worden gemeld aan de Autoriteit Persoonsgegevens (hierna: AP) en/of betrokkene.
5.2. Op verzoek van Xxxxxx zal Afier in het geval van een inbreuk hem in ieder geval de volgende informatie verstrekken:
- de aard van de inbreuk en van de getroffen persoonsgegevens;
- de waarschijnlijke gevolgen van de inbreuk; en
- de maatregelen die in dat verband worden of zijn getroffen.
Indien het voor Afier niet mogelijk is om deze informatie direct te verstrekken, dan zal zij dat in stappen doen.
5.3. Afier zal het doen van meldingen aan de toezichthouder(s) overlaten aan Cliënt.
5.4. Afier zal alle noodzakelijke medewerking verlenen aan het zo nodig verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).
5.5. Afier houdt een overzicht bij van de feiten en gevolgen van de inbreuken op de beveiliging.
6. Beveiligingsmaatregelen en controle
6.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en het doel van de verwerking van de persoonsgegevens alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen die aan de verwerking zijn verbonden, neemt Afier passende technische en organisatorische maatregelen om de persoonsgegevens die worden verwerkt ten dienste van Cliënt te beveiligen en beveiligd te houden.
6.2. Cliënt is gerechtigd de verwerking van persoonsgegevens één keer per kalenderjaar te doen controleren door een daartoe erkende en EDP-gecertificeerde auditor, als er gerede twijfel bij Cliënt is ontstaan over de adequate nakoming van deze VO door Afier en de grond voor de twijfel aantoonbaar is. Afier zal onder voorafgaande overeengekomen geheimhouding, de betreffende auditor toelaten tot haar
bedrijf en systemen en hem medewerking verlenen.
6.3. Cliënt zal de audit slechts kunnen laten uitvoeren na een minimaal 30 dagen daaraan voorafgaande schriftelijke melding aan Afier.
6.4. Afier staat er voor in dat de door Cliënt ingeschakelde auditor aangegeven aantoonbare ernstige tekortkomingen in de overeengekomen beveiligingsmaatregelen worden verholpen binnen een daartoe door Cliënt en Afier gezamenlijk te bepalen termijn. Over (overige) door de auditor aangegeven aanbevelingen zullen Partijen in overleg treden over het verhelpen of verbetering daarvan alsmede over kosten die daarmee gemoeid zullen zijn.
6.5. De kosten van de audit worden gedragen door Cliënt.
7. Inschakeling derden
7.1. Afier is gerechtigd de uitvoering van de diensten geheel of ten dele uit te besteden aan derden. Indien Een wezenlijke verandering optreedt, zal Afier Cliënt zo spoedig mogelijk inlichten over de beoogde derde. Gebruiker kan schriftelijk en op redelijke gronden, binnen 7 werkdagen na de bedoelde inlichting, bezwaar maken.
7.2. Afier blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze VO.
8. Wijziging en beëindigen Verwerkersovereenkomst
8.1. Wijziging van deze VO kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.
8.2. Zodra deze VO, om welke reden en op welke wijze dan ook, is beëindigd, zullen de bepalingen ervan tussen Partijen van kracht blijven indien en voor zover Afier nog persoonsgegevens ten behoeve van Cliënt verwerkt.
9. Aansprakelijkheid
9.1. De aansprakelijkheid van Afier voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de VO of de HO, dan wel uit onrechtmatige daad of anderszins, is beperkt. De aansprakelijkheid en de beperking daarvan is geregeld in artikel 12 van de Algemene Voorwaarden, dat als alhier herhaald en geïnsereerd wordt beschouwd.
10. Overige bepalingen
10.1. Indien de persoonsgegevens onder de verantwoordelijkheid van een derde behoren, dan zullen de artikelen uit deze VO mutatis mutandis als derdenbedingen ten behoeve van deze derde te zijn overeengekomen.
10.2. Indien en voor zover er in deze VO geen regeling is getroffen voor bepaalde onderwerpen, geldt hetgeen dat ten aanzien van dat onderwerp is vastgelegd in de HO en/of de Algemene Voorwaarden.
Bijlage A Overzicht van te verwerken persoonsgegevens
1. Naam van de verwerking, doeleinden, categorieën van betrokkenen, soorten persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerking | Verwerkingsdoeleinden | Categorieën van Betrokkenen | Omschrijving Persoonsgegevens | Doorgifte naar derde landen |
2. Contactgegevens
Contactpersoon Client (Verwerkersverantwoordelijke) | Naam: Contactgegevens: |
Contactpersoon Afier (Verwerker) | Naam: Contactgegevens: |
3. Ingeschakelde subverwerkers
Naam en contactgegevens subverwerker | Kvk-nummer | Uitbestede verwerkingen | Beschikt over certificering? |
Bijlage B Passend niveau van beveiliging
De toereikendheid van de informatiebeveiliging blijkt uit eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven:
- …. Afstemmen met de klant
- …. Afstemmen met de klant
- …. Afstemmen met de klant