PARTIJEN:

Bijlage A – Verwerkersovereenkomst

PARTIJEN:

I. Opdrachtgever, hierna te noemen "Verwerkingsverantwoordelijke";

II. Opdrachtnemer, hierna te noemen "Verwerker";

hierna gezamenlijk tevens te noemen "Partijen" en ieder afzonderlijk "Partij".

OVERWEGINGEN:

A. Verwerkingsverantwoordelijke en Verwerker zijn een Overeenkomst aangegaan betreffende het afnemen door Verwerkingsverantwoordelijke van de door Verwerker aangeboden diensten, hetgeen ertoe leidt dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens (zoals hierna gedefinieerd), verwerkt;

B. Verwerkingsverantwoordelijke en Verwerker wensen in deze verwerkersovereenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de toepasselijke Privacywetgeving.

PARTIJEN ZIJN HET VOLGENDE OVEREENGEKOMEN:

1. DEFINITIES

Begrippen die in deze verwerkersovereenkomst met een hoofdletter worden aangeduid en die in de Algemene Voorwaarden zijn gedefinieerd, hebben dezelfde betekenis, tenzij in deze verwerkersovereenkomst een andere definitie is opgenomen. Begrippen die in deze verwerkersovereenkomst met een hoofdletter worden aangeduid en die niet in de Algemene Leveringsvoorwaarden zijn gedefinieerd, hebben de daaraan hieronder toegekende betekenis:

AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

Betrokkene: de levende natuurlijke persoon op wie een Persoonsgegeven betrekking heeft, zoals personeel, contacten, vertegenwoordigers en leveranciers van Verwerkingsverantwoordelijke;

Onderliggende Overeenkomst: de Overeenkomst zoals gedefinieerd in artikel 1 van deze Algemene Voorwaarden, waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;

Overeenkomst: deze verwerkersovereenkomst;

Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in de toepasselijke Privacywetgeving dat Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken, zoals nader omschreven in Annex A-1;

Privacywetgeving: Alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de Wbp, AVG en de Uitvoeringswet AVG; Verwerken/Verwerking: alle handelingen of reeks handelingen uitgevoerd met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van

Persoonsgegevens;

Wbp: de Wet bescherming persoonsgegevens.

2. TOEPASSELIJKHEID

2.1. Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst.

2.2. Deze verwerkersovereenkomst vormt een onlosmakelijk geheel met de Algemene Voorwaarden en Privacybeleid van Opdrachtnemer.

3. VERWERKING DOOR VERWERKER

3.1. Verwerker verwerkt de Persoonsgegevens in het kader van de Onderliggende Overeenkomst uitsluitend in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen of een afwijkende regeling in deze Overeenkomst of de Onderliggende Overeenkomst.

3.2. Verwerker verwerkt gegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst, waaronder mede wordt begrepen het opsporen van bugs in computerprogrammatuur en het leveren van ondersteuningsdiensten.

3.3. Verwerkingsverantwoordelijke heeft zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens, het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens, een en ander zoals nader omschreven in de Onderliggende Overeenkomst.

3.4. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.

3.5. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.

3.6. Verwerker zal geen Persoonsgegevens aan een derde, niet zijnde door Verwerker ingeschakelde subverwerker, verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke binnen twee werkdagen na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.

3.7. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker zal de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen op haar eerste verzoek alle medewerking verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.

3.9. Xxxxxxxxx stelt op verzoek van Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om de nakoming van de verplichtingen van Verwerkingsverantwoordelijke als neergelegd in deze Overeenkomst en artikel 28 AVG aan te tonen, met ingang van 25 mei 2018.

3.10 Verwerker stelt de Verwerkingsverantwoordelijke schriftelijk in kennis indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.

3.11. Het is Verwerker toegestaan derden in te schakelen bij de uitvoering van deze Overeenkomst, zoals gespecificeerd in de Onderliggende Overeenkomst. Verwerker zal er voor zorgdragen dat aan ingeschakelde derden dezelfde verplichtingen worden opgelegd als omschreven in deze Overeenkomst, voor zover zij bij de Verwerking van Persoonsgegevens betrokken zijn.

3.12. Verwerker zal de Persoonsgegevens verkregen van de Verwerkingsverantwoordelijke geheim houden zoals omschreven in de Onderliggende Overeenkomst.

3.13. Deze Overeenkomst is niet van toepassing in het geval Verwerker een separate overeenkomst aangaat met een Gebruiker en in het kader van deze separate overeenkomst Persoonsgegevens verwerkt in de hoedanigheid van verwerkingsverantwoordelijke.

4. MELDPLICHT DATALEKKEN

4.1. Verwerker dient Verwerkingsverantwoordelijke, onverwijld en in ieder geval uiterlijk binnen 48 uur nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging die betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens. De door Verwerker aan Verwerkingsverantwoordelijke te verstrekken informatie kan het volgende omvatten:

a. de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal betrokkenen in kwestie;

b. de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;

c. de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen;

d. de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk in verband met de Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.

4.2. Verwerker zal maatregelen treffen die redelijkerwijs nodig zijn om de (mogelijke) schade te beperken en Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Xxxxxxxxxxx en/of autoriteiten.

5. BEVEILIGINGSMAATREGELEN EN INSPECTIE

5.1. Verwerker bevestigt passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zorgen voor een passend beveiligingsniveau gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die de Verwerker Verwerkt met zich meebrengen voor de rechten en vrijheden van de Betrokkenen. Verwerker zal hierbij voor zover van toepassing de beveiligingsmaatregelen als genoemd in artikel 32 lid 1 sub a tot en met d AVG treffen.

6. VERPLICHTINGEN VERWERKINGSVERANTWOORDELIJKE

6.1. Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de 'Verwerkingsverantwoordelijke'.

6.2. Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de Verwerking van de Persoonsgegevens overeenkomstig de Overeenkomst en de Onderliggende Overeenkomst in overeenstemming is met toepasselijke Privacywetgeving.

7. AANSPRAKELIJKHEID

7.1. Verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet- nakomen van deze Overeenkomst dan wel handelen in strijd met de toepasselijke Privacywetgeving, met dien verstande dat haar aansprakelijkheid is beperkt conform het bepaalde in de Onderliggende Overeenkomst.

8. BEËINDIGING

8.1. De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt. Indien geen Onderliggende Overeenkomst is gesloten geldt als ingangsdatum de datum van ondertekening van deze Overeenkomst.

8.2. Verplichtingen uit deze Overeenkomst welke naar hun aard bestemd zijn om ook na het einde van deze Overeenkomst voort te duren, blijven na het einde van deze Overeenkomst bestaan. Tot deze verplichtingen behoren de bepalingen over de geheimhouding van de persoonsgegevens, toepasselijk recht en geschillenbeslechting.

9. DEELBAARHEID

9.1. Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

- Bijlage A-1.

Bijlage A-1: Persoonsgegevens

Categorieën:

- Medewerkers accountants-/administratiekantoor

- Medewerkers, contactpersonen en de financiële administratie van klanten van het accountants-

/administratiekantoor

- Externe stakeholders

Persoonlijke data:

- (Bedrijfs)Naam

- E-mailadres

- Geslacht

- Telefoonnummer

- NAW-gegevens (straat, huisnummer, toevoeging, postcode en plaats)

- BSN / RSIN

- Paspoort-, Rijbewijs of ID-nummer

- KvK-nummer

- Profielfoto

- IP-adres

- Factuurgegevens

- Financiële data

- Grootboekrekeningen

- Grootboekmutaties en eventueel gekoppelde documenten

- Gewerkte uren

- Salaris