Administratiekantoor L. Werink Verwerkersovereenkomst (versie 1.0)
Administratiekantoor X. Xxxxxx Verwerkersovereenkomst (versie 1.0)
Partijen:
U, als cliënt van Administratiekantoor X. Xxxxxx, specifiek en volledig benoemd op het tekenblad waarmee deze overeenkomst wordt gesloten, hierna te noemen: “Verantwoordelijke”; “U’’ of “Uw”
en
Administratiekantoor X. Xxxxxx, gevestigd te Emmeloord, hierna te noemen: “Verwerker”, “Wij”, “Ons” of “Onze”.
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegende dat:
• Verwerkingsverantwoordelijke aan Verwerker de opdracht heeft verstrekt tot verwerken van
diverse financiële diensten conform de opdracht van de Verwerkingsverantwoordelijke
(hierna: ‘de Opdracht’),
• Verwerkingsverantwoordelijke in het kader van de uitvoering van de Opdracht aan Verwerker direct of indirect gegevens zal verstrekken die privacygevoelig zijn, welke gegevens Verwerker in opdracht van Verwerkingsverantwoordelijke zal Verwerken;
• De te Verwerken gegevens van Verwerkingsverantwoordelijke onder meer Persoonsgegevens bevatten in de zin van Privacy Wet- en Regelgeving;
• Verwerkingsverantwoordelijke kwalificeert als Verwerkingsverantwoordelijke in de zin van de Privacy Wet- en Regelgeving, nu zij het doel en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
• Verwerker kwalificeert als een verwerker in de zin van de Privacy Wet- en Regelgeving omdat Xxxxxxxxx ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt, zonder aan diens rechtstreeks gezag onderworpen te zijn en Verwerkingsverantwoordelijke het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt;
• Privacy Wet- en Regelgeving aan Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten bewerkingen;
• Dat Verwerkingsverantwoordelijke en Verwerker groot belang hechten aan het beschermen van de Persoonsgegevens van de betrokkenen;
Partijen komen het volgende overeen: 1. Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
Betrokkene: | Degene op wie een Persoonsgegeven betrekking heeft. |
Verwerker: | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen. |
Sub-verwerker: | Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten. |
Verwerkingsverantwoordelijke / Verantwoordelijke: | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. |
Bijzondere Persoonsgegevens: | Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. |
Datalek / Inbreuk in verband met persoonsgegevens: | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. |
Derden: | Anderen dan U en Wij en Onze Medewerkers. |
Meldplicht Datalekken: | De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n). |
Medewerkers | Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd. |
Onderliggende opdracht: | De opdracht zoals hierboven bedoeld in de overwegingen onder A. |
Overeenkomst: | Deze verwerkersovereenkomst. |
Persoonsgegevens: | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. |
Persoonsgegevens van gevoelige aard | Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend: • Bijzondere persoonsgegevens • Gegevens over de financiële of economische situatie van de Betrokkene • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene • Gebruikersnamen, wachtwoorden en andere inloggegevens • Gegevens die kunnen worden misbruikt voor (identiteits)fraude |
Verwerken / Verwerking: | Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. |
AVG | Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018. |
2. Toepasselijkheid en looptijd
2.1 Deze overeenkomst gaat in op het moment van ondertekening door beide partijen en zal van kracht zijn zolang de Verwerker als verwerker van Persoonsgegevens optreedt in het kader van de door de Verantwoordelijke aan Verwerker ter beschikking gestelde Persoonsgegevens.
2.2 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst / Opdracht / geldende afspraak is geëindigd.
Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
3. Verwerking
3.1 De Persoonsgegevens zal Verwerker uitsluitend Verwerken in het kader van de overeenkomst conform de instructies van Verantwoordelijke en in overeenstemming met de door Verantwoordelijke bepaalde doeleinden en middelen.
3.2 Verwerker zal de door Verantwoordelijke ter beschikking gestelde Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de alsdan geldende wet- en regelgeving Verwerken. Verwerker zal, voor zover mogelijk, Verantwoordelijke bijstand verlenen bij het vervullen van diens plicht ten aanzien van verzoeken van Xxxxxxxxxxx.
3.3 Verantwoordelijke garandeert dat zijn instructies aan Verwerker, die leiden tot Verwerking van Persoonsgegevens door Xxxxxxxxx, in overeenstemming zullen zijn met de bepalingen van de alsdan geldende wet- en regelgeving.
4. Beveiligingsmaatregelen
4.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkersdoeleinden en de qua waarschijnlijkheid en ersnt uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in de bijlage bepaald.
4.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
4.3 De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.
5. Datalekken
5.1 Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkenen.
5.2 Verwerker zal xxxx Xxxxxxx, na de eerste ontdekking hiervan door Xxxxxxxxx, zo snel mogelijk rapporteren aan Verantwoordelijke. Verwerker vermeldt daarbij in ieder geval de volgende gegevens: de (vermoedelijke) oorzaak van het Datalek, de (vooralsnog bekende en/of te verwachten) gevolgen van het Datalek, locatiegegevens van het Datalek, de eventuele onbevoegde ontvangers van de Persoonsgegevens en alle beschikbare informatie over hen, voorstellen voor maatregelen ter beperking van de schade, eventuele andere gegevens indien Verantwoordelijke daarom verzoekt.
5.3 Verwerker zal op verzoek van Verantwoordelijke meewerken aan het adequaat informeren van Xxxxxxxxxxx of de toezichthoudende instanties over het Datalek, en zich ter zake beschikbaar houden voor overleg met Verantwoordelijke.
5.4 Verantwoordelijke en Verwerker betrachten strikte geheimhouding wegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.
6. Geheimhoudingsplicht:
6.1 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegvens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke bepalingen .
6.2. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voot hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgevevens waarvan zij kennisnemen, behoudens voor zover enog wettelijk voorschrift hen tot mededeling verplicht of uit taak de noodzaak tot mededeling voortvloeit.
6.3 Na het beëindigen van deze Overeenkomst zullen de bepalingen van dit artikel van kracht blijven.
7. Aansprakelijkheid
7.1 De totale aansprakelijkheid van Verwerker voor alle (financiële) schade, boetes en kosten die Verwerkingsverantwoordelijke heeft en die rechtstreeks voortvloeien uit een tekortkoming door de Verwerker of derden in de nakoming van verplichtingen onder deze Overeenkomst is beperkt tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Overeenkomst over de twaalf maanden voorafgaande aan de schadeveroorzakende gebeurtenis.
7.2 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
7.3 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving.
8. Toestemming voor uitbesteden aan sub-verwerkers
8.1 Verwerker kan andere verwerkers (Subverwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Opdracht, bijvoorbeeld als deze Subverwerkers over specialistische kennis of middelen beschikken waarover Verwerker niet beschikt. Als het inschakelen van Subverwekers tot gevolg heeft dat deze Persoonsgegevens gaan verwerken dan zal Verwerker die Subverwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Over het inschakelen van overige Subverwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de opdracht wordt beëindigd dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen of – als U Ons daarom verzoekt – vernietigen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Xxx U vooraf een kosteninschatting.
10. Geen verdere verstrekking
10.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
11. Aanvullingen en wijziging Overeenkomst
11.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
11.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende opdracht te beëindigen.
12. Slotbepalingen
12.1 Audits: Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening.
12.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
12.3 Toepasselijk recht: Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
12.4 Nietigheid: ls één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
BIJLAGE 1
GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN
GEGEVENS
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële dienstverlening:
a) Naam (initialen, achternaam, voornamen)
b) Telefoonnummer
c) E-mailadres
d) Geboortedatum
e) Woonplaats
f) BSN
g) Hierboven opgesomde gegevens van de kinderen van de Verwerker
h) Gegevens ID-bewijs (in verband met de Wwft)
i) Kentekengegevens vervoermiddelen van Verantwoordelijke
j) Financiële gegevens, zowel zakelijk als privé
k) NAW-gegevens en BSN van personeelsleden van Verantwoordelijke
DOELEINDEN
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;
(2) het onderhoud, waaronder updates en releases van het door Xxxxxxxxx dan wel sub- verwerker aan Verantwoordelijke ter beschikking gestelde systeem;
(3) het gegevens- en technische beheer, ook door een Sub-verwerker;
(4) de hosting, ook door een Sub-verwerker.
CATEGORIEËN VAN BETROKKENEN
De Gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:
(1) Werknemers van Verantwoordelijke
(2) Leveranciers en afnemers van Verantwoordelijke;
(3) Partner, kinderen en andere inwonende familieleden van Verantwoordelijke
BIJLAGE 2 BEVEILIGINGSMAATREGELEN
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
Technische maatregelen:
wachtwoordenbeleid
Dubbele authenticatie, voor zover dit noodzakelijk en mogelijk is Back-up-en herstelprocedures
Up-to-date virusscanner Beveiligde USB-sticks
Zakelijke mobiele telefoons en laptops beveiligd met wachtwoord en/of vingerafdruk Veilige wijze van het opslaan van gegevensbestanden
Voor het versturen en laten aanleveren van bestanden/documenten is Nextens portal geïmplementeerd
Organisatorische beveiligingsmaatregelen:
Clean desk policy
Privacy screens medewerkers
Sub-verwerkersovereenkomsten met derden gegevens worden niet verkocht aan derden Geheimhoudingsverklaringen in (arbeids)contracten
oude documenten worden op de juiste manier vernietigd testen en evalueren regelmatig onze maatregelen