Model verwerkersovereenkomst: Accountant (Verantwoordelijke) – derde (Verwerker) AVG
Model verwerkersovereenkomst: Accountant (Verantwoordelijke) – derde (Verwerker) AVG
Ter toelichting: Wanneer een verantwoordelijke een verwerker inschakelt voor de verwerking van persoonsgegevens is de verantwoordelijke wettelijk verplicht schriftelijke (of gelijkwaardige) afspraken te maken met de verwerker over een aantal in de wet genoemde onderwerpen.
Dit model is een hulpmiddel om die afspraken vast te leggen. Voordat u dit model gebruikt moet u zich afvragen of u als accountant verwerker bent of verwerkingsverantwoordelijke. Meer informatie daarover vindt u op de website van de NBA. U kunt dit model alleen gebruiken als u als accountant verwerkingsverantwoordelijke bent en een verwerker inschakelt.
Als u als accountant in een bepaalde opdracht Verwerker bent, dan kunt u dit model voor die opdracht niet gebruiken.
Gebleken is dat het maatschappelijk verkeer een model soms als verplicht voorgeschreven ziet. Dat is echter niet het geval. U kunt er voor kiezen om de door NBA opgestelde modellen te gebruiken maar u kunt er uiteraard ook voor kiezen om zelf een overeenkomst op te stellen of dit model aan te passen naar eigen wens.
Partijen:
[NAAM DERDE + RECHTSVORM], gevestigd te [plaats, eventueel straat en huisnummer], hierna te noemen: “Verwerker”, “U” of “Uw”, ten deze rechtsgeldig vertegenwoordigd door [naam], in diens hoedanigheid van [functie];
en
[NAAM ACCOUNTANTSPRAKTIJK], gevestigd te [plaats, straat en huisnummer], hierna te noemen: “Verantwoordelijke” , “Wij”, “Ons” of “Onze”, te dezen rechtsgeldig vertegenwoordigd door [naam + functie];
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegingen:
A. Wij zijn met U op [datum]
de opdracht met naam/kenmerk [invullen]
aangegaan vanwege de volgende door u te verrichten diensten:
[invullen] (de
“Onderliggende opdracht”).
U verwerkt daarbij de
Persoonsgegevens die vermeld staan in de Bijlage die bij deze
Overeenkomst hoort.
B. U bent - vanwege het uitvoeren van deze Onderliggende opdracht en met betrekking tot de Persoonsgegevens die U hierbij zult Verwerken - aan te merken als “Verwerker” en wij als “Verantwoordelijke”. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen vast.
Partijen komen het volgende overeen:
1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: |
Degene op wie een Persoonsgegeven betrekking heeft.
|
Verwerker: |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.
|
Sub-verwerker: |
Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
|
Verwerkingsverantwoordelijke / Verantwoordelijke: |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
|
Bijzondere Persoonsgegevens: |
Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
|
Datalek / Inbreuk in verband met persoonsgegevens: |
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
|
Derden: |
Anderen dan U en Wij en de bij partijen in dienst zijnde Medewerkers.
|
Meldplicht Datalekken: |
De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
|
Medewerkers |
Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
|
Onderliggende opdracht: |
De opdracht zoals hierboven bedoeld in de overwegingen onder A.
|
Overeenkomst: |
Deze verwerkersovereenkomst.
|
Persoonsgegevens: |
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
|
Persoonsgegevens van gevoelige aard |
Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
|
Verwerken / Verwerking: |
Een verwerking of een geheel van verwerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
|
AVG |
Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018. |
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door U als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door Ons als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat U en Uw eventuele Sub-verwerkers geen Persoonsgegevens meer Verwerken in het kader van de Onderliggende Opdracht (zie artikel 9). Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
3. Verwerking
3.1 U Verwerkt de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht en overeenkomstig Onze schriftelijke instructies. Dit Verwerken doet U niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. U stelt ons onmiddellijk in kennis indien een instructie naar Uw mening een inbreuk op de AVG oplevert.
3.2 De Verwerking vindt plaats onder Onze verantwoordelijkheid. U heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de door U verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. Mocht U zelfstandige verplichtingen hebben op basis van voor U geldende wettelijk voorschriften, gedrags- of beroepsregels, dan heeft U ons hierover geïnformeerd voorafgaand aan het sluiten van deze overeenkomst. Indien Uw zelfstandige verplichtingen gedurende de looptijd van deze Overeenkomst wijzigen (door veranderde wettelijke voorschriften, gedrags- of beroepsregels), dan kan dit voor Ons reden zijn de Onderliggende opdracht te beëindigen.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. U dient er voor te zorgen dat u voldoet aan de op U als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en aan de afspraken die We hebben gemaakt in deze Overeenkomst.
3.4 U garandeert dat alleen Uw Medewerkers toegang hebben tot de door Ons aan U verstrekte Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. U bent gehouden de toegang tot de Persoonsgegevens te beperken tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. U dient ervoor te zorgen dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 Het is U niet toegestaan Derden (andere Verwerkers) in te schakelen voor het uitvoeren van bepaalde werkzaamheden als dat ten gevolg heeft dat deze Derden Persoonsgegevens gaan verwerken, tenzij wij daarvoor vooraf schriftelijk akkoord hebben gegeven. In dat geval bent U verplicht om aan die Derden (schriftelijk) alle verplichtingen uit deze Overeenkomst op te leggen.
3.6 Vragen of verzoeken van Xxxxxxxxxxx met betrekking tot hun persoonsgegevens zendt u op zo kort mogelijke termijn, maar in ieder geval binnen 3 werkdagen, door aan Ons . Voor zover mogelijk verleent U bijstand bij het vervullen van onze verplichtingen bij het afhandelen van verzoeken van Betrokkenen in het kader van de uitoefening van hun rechten.
3.7 Het is U niet toegestaan Persoonsgegevens buiten de Europese Economische Ruimte te (laten) Verwerken, tenzij Wij daarvoor vooraf schriftelijk akkoord hebben gegeven. In dat geval garandeert U voor deze Verwerkingen een passend beschermingsniveau en kunt U Ons daarvan bewijs overleggen. De overige bepalingen van deze Overeenkomst blijven onverminderd van toepassing op deze Verwerkingen.
3.8 Als U een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan is dit U alleen toegestaan indien het verzoek is gedaan door een daartoe bevoegde instantie. U beoordeelt eerst of het verzoek bindend is. Indien geen strafrechtelijke of andere juridische belemmeringen bestaan dan stelt U ons op zo kort mogelijke termijn op de hoogte van het verzoek. De in acht genomen termijn dient dusdanig kort te zijn dat het voor Ons mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Indien U ons op de hoogte kunt stellen dan stemmen we de wijze waarop en welke gegevens ter beschikking worden gesteld af.
3.9 Rekening houdend met de aard van de Verwerking en de U ter beschikking staande informatie verleent U Ons bijstand bij het nakomen van Onze wettelijke verplichtingen betreffende de Verwerkingen die onderdeel zijn van deze Overeenkomst. Met name op het gebied van beveiliging en Inbreuk in verband met persoonsgegevens.
4. Beveiligingsmaatregelen
4.1 U neemt de beveiligingsmaatregelen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. U garandeert voldoende en passende waarborgen te hebben getroffen ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 De beveiligingsmaatregelen die U heeft genomen hebben een beveiligingsniveau dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 U voldoet aantoonbaar aan de beleidsregels/richtsnoeren van de Autoriteit Persoonsgegevens, of U kunt aantonen dat de door U getroffen technische en organisatorische maatregelen ten minste een gelijkwaardig niveau van bescherming bieden. Indien deze beleidsregels/richtsnoeren worden aangepast draagt U zorg dat het door U geboden niveau van bescherming daar binnen 12 maanden na publicatie aantoonbaar aan voldoet.
4.4 U past de door de Autoriteit Persoonsgegevens goedgekeurde gedragscodes en certificeringen toe, tenzij U aan kunt tonen dat de door U getroffen maatregelen minimaal een vergelijkbaar niveau van bescherming garanderen of de betreffende gedragscodes en certificeringen niet van toepassing zijn op de Verwerkingen uit deze Overeenkomst.
4.5 Periodiek, maar in ieder geval eenmaal per jaar, evalueert U of het beschermingsniveau nog passend is gegeven de stand van de techniek, de aard van de verwerkte Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking. U doet Ons hiervan schriftelijk verslag.
4.6 U verplicht zich ons te informeren als een van de door U genomen beveiligingsmaatregelen substantieel wijzigt.
4.7 Wij hebben het recht om de wijze waarop U de beveiligingsmaatregelen naleeft te (laten) inspecteren. De kosten van een inspectie zijn voor Onze rekening. U stelt alle informatie tijdig ter beschikking die nodig is om nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen.
5. Datalekken
5.1 Als er sprake is van een Datalek dan stelt U Ons daarvan op zo kort mogelijke termijn op de hoogte – maar in ieder geval binnen maximaal 18 uur na het ontdekken van het Datalek. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze overeenkomst. U voorziet daarbij in de informatie die redelijkerwijs nodig is om - in het kader van de Meldplicht Datalekken - een juiste en volledige melding te kunnen doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n). U stelt Xxx tevens schriftelijk op de hoogte van de door U naar aanleiding van het Datalek genomen maatregelen, en de maatregelen die U neemt om herhaling van het Datalek in de toekomst te voorkomen.
5.2 U documenteert, voor de Verwerkingen uit deze Overeenkomst, alle Inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen.
6. Geheimhoudingsplicht:
6.1 U bent verplicht om de via Ons verkregen Persoonsgegevens geheim te houden. U verplicht Uw Medewerkers en eventuele door U ingeschakelde Sub-verwerkers tevens (schriftelijk) tot geheimhouding.
7. Aansprakelijkheid
7.1 Wij zijn niet aansprakelijk voor schade die U lijdt ten gevolge van het door U niet naleven van de AVG of van andere wet- of regelgeving.
7.2 U vrijwaart ons voor aanspraken van Derden of Onze Medewerkers op grond van schade die het gevolg is van het door U - of een van uw Sub-verwerkers - niet juist, volledig of tijdig naleving van de bepalingen uit deze Overeenkomst. De vrijwaring geldt niet alleen voor de schade die Onze Medewerkers en Derden mochten hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen, of dat van Uw Sub-verwerkers.
7.3 U bent aansprakelijk voor alle schade die Wij lijden ten gevolge van het door U, of uw Sub-verwerkers, niet, niet juist of niet volledig naleven van de verplichtingen opgenomen in deze Overeenkomst of het niet, niet juist of niet volledig opvolgen van Onze instructies met betrekking tot de uitvoering van deze overeenkomst.
8. Overdraagbaarheid Overeenkomst
8.1 Het is U, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Onderliggende opdracht wordt beëindigd dan dient U de, door of vanwege Ons aan U verstrekte, Persoonsgegevens over te dragen aan Ons of aan de door Ons aangewezen Derde, of – als Wij U daar in voorkomend geval om verzoeken – te vernietigen. Indien Wij U verzoeken om de Persoonsgegevens over te dragen dan draagt U er zorg voor dat deze Persoonsgegevens volledig, op leesbare en begrijpelijke wijze, digitaal (tenzij anders verzocht) en zonder voorbehouden ter beschikking worden gesteld. De overdracht vindt op dusdanige wijze plaats, dat Onze bedrijfsvoering niet, althans zo min mogelijk, wordt verstoord. U stemt de overdracht met de ontvanger van de Persoonsgegevens (Wijzelf of de aangewezen Derde) af, niet tegenstaande andere - meer volledige - afspraken die Wij met U hebben gemaakt over een transitie naar een andere dienstverlener.
9.2 Indien U op grond van wet- of (beroeps)regelgeving verplicht bent om een kopie van de Persoonsgegevens te bewaren, informeert U Ons hierover voorafgaand aan het sluiten van de Overeenkomst.
9.3 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Wij zijn gerechtigd om door een derde deskundige te laten vaststellen of de gegevens inderdaad niet meer in uw systemen / administratie aanwezig zijn. De kosten voor deze derde deskundige zijn voor Uw rekening indien de deskundige constateert dat U de Persoonsgegevens niet correct, volledig of tijdig heeft vernietigd.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
10.2 Een wijziging in de verwerkte Persoonsgegevens, de betrouwbaarheidseisen of de privacyregelgeving, waaronder de AVG en/of uitvoeringswet AVG, of eventuele eisen van Onze Klanten / Opdrachtgevers kan aanleiding zijn deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Onderliggende opdracht, of wanneer U niet kunt voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn de Onderliggende opdracht te beëindigen.
11. Slotbepalingen
11.1 U stelt Ons alle informatie ter beschikking die nodig is om de nakoming van de in deze overeenkomst neergelegde verplichtingen aan te tonen. U maakt audits mogelijk, waaronder inspecties, door Ons of een door Ons gemachtigde controleur en draagt aan de audit bij. De kosten van een audit of inspectie zijn voor Onze rekening .
11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
11.3 Ten aanzien van de verplichtingen opgenomen in deze Overeenkomst komt Partijen geen beroep op opschortingsrechten toe.
11.4 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
11.5 Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op de materie geregeld in deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.6 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
11.7 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – datalekken) zullen door U en Ons worden gedaan aan onderstaande Medewerkers:
[naam]
[werkzaam bij: ]
[contactgegevens]
[naam]
[werkzaam bij: ]
[contactgegevens]
Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten We elkaar daarover in.
Ondertekening
Ondertekend op [datum]
_______________________________ |
_________________________________ |
[naam klant + naam ondertekenaar] |
[naam accountantspraktijk + naam ondertekenaar |
Bijlage
Persoonsgegevens
[Beschrijf onderwerp, duur, aard en doel van de verwerking, in te vullen op basis van de Onderliggende opdracht]
De volgende Persoonsgegevens zullen in het kader van de Onderliggende opdracht worden verwerkt:
[Opsomming van soort Persoonsgegevens en categorieën van Betrokkenen. Let op: Bij de verwerking van Persoonsgegevens van gevoelige aard worden hogere eisen gesteld aan de beveiliging. Daarnaast is de verwerking van Bijzondere persoonsgegevens alleen toegestaan onder bepaalde voorwaarden.]
Verwerking
U Verwerkt op de volgende wijzen Persoonsgegevens voor Ons / de Verantwoordelijke:
[Omschrijving van de dienst(en) die de dienstverlener verleent en de persoonsgegevens die de dienstverlener daarbij verwerkt (eventueel gedifferentieerd op basis van gevoeligheid). Verder wordt omschreven welke (groepen) medewerkers van de dienstverlener toegang hebben tot welke persoonsgegevens en welke handelingen deze medewerkers uit mogen voeren met de persoonsgegevens. In te vullen door de dienstverlener.]
Technische en organisatorische maatregelen
U neemt de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking:
[opsomming van te nemen maatregelen(eventueel gedifferentieerd op basis van gevoeligheid), in te vullen door de dienstverlener]
U garandeert dat u minimaal hetzelfde beveiligingsniveau hanteert als Ons. Daartoe heeft u bij Ons informatie ingewonnen over de wijze waarop wij Persoonsgegevens beveiligen.
U beschikt over de volgende certificeringen: [Indien van toepassing een opsomming van relevante certificeringen, in te vullen door dienstverlener]
U bent aangesloten bij de volgende gedragscodes:
[Indien van toepassing een opsomming van relevante gedragscodes, in te vullen door dienstverlener]
Derden
U schakelt deze Derden (verwerkers) in bij het uitvoeren van de Onderliggende opdracht:
[opsomming van in te schakelen derden, op te nemen door dienstverlener]
Verwerkingen buiten de Europese Economische Ruimte
De volgende Verwerkingen worden buiten de EER verricht bij het uitvoeren van de Onderliggende opdracht:
(Sub)verwerker |
Verwerking |
|
|
|
|
|
|
[Vul in bovenstaande tabel de in te schakelen verwerkers en verwerkingen buiten de EER in, op te nemen door accountant.]
Toelichting:
Verwerking mogen alleen buiten de EER worden uitgevoerd als aan een van onderstaande condities is voldaan:
het land van bestemming waarborgt een passend beschermingsniveau (adequaatheidsbesluiten)
er zijn passende waarborgen genomen
er is sprake van een wettelijke uitzondering
Voor kleinere partijen bieden de passende waarborgen en wettelijke uitzonderingen doorgaans geen werkbare oplossing.
Met Noorwegen, Liechtenstein en IJsland mag u gegevens uitwisselen op grond van hun EER lidmaatschap. Daarnaast bieden de volgende landen buiten de EU een passend beschermingsniveau:
Andorra, Argentinië, Xxxxxx, Xxxxxxx Xxxxxxxx, Xxxxxxxx, Xxxxxx, Isle of Man, Jersey, Nieuw Zeeland, Zwitserland en Uruguay.
De actuele lijst kunt u hier vinden: xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxx-xxxxxxxxx-xxxxxxx-xx/xxxxxxxx-xxxxxxxxxx-xxxxxxxx-xxxx-xxx-xx-xxxxxxxxx_xx
Verwerkingen
mogen in de Verenigde Staten worden uitgevoerd indien de verwerker
zich heeft gecommitteerd aan het EU-US Privacy Shield
afsprakenstelsel. U kunt dat hier controleren:
xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxx.
Let op: Ook wanneer doorgifte op bovenstaande gronden is toegestaan dient nog steeds aan alle overige bepalingen van de AVG voldaan te worden.
Versie maart 2018