VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
van toepassing op de opdrachten aan:
Entrust gevestigd te Apeldoorn, Kamer van Koophandel nummer 76824195 hierna te noemen opdrachtnemer/verwerker
Artikel 1 Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1. Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaakt.
2. Verwerker: Entrust die de Overeenkomst sluit en deze verwerkersovereenkomst hanteert. Alle Overeenkomsten komen, met uitsluiting van de artikelen 7:404 en 7:407 lid 2 van het Burgerlijk Wetboek, tot stand met Opdrachtnemer en worden uitsluitend door Opdrachtnemer uitgevoerd. Dit geldt ook indien het de uitdrukkelijke dan wel stilzwijgende bedoeling is van Opdrachtgever dat de Werkzaamheden door een bepaalde persoon of bepaalde personen zullen worden uitgevoerd, eveneens Opdrachtnemer.
3. Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
4. Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
5. Opdrachtnemer: Entrust die de Overeenkomst sluit en deze verwerkersovereenkomst hanteert. Alle Overeenkomsten komen, met uitsluiting van de artikelen 7:404 en 7:407 lid 2 van het Burgerlijk Wetboek, tot stand met Opdrachtnemer en worden uitsluitend door Opdrachtnemer uitgevoerd. Dit geldt ook indien het de uitdrukkelijke dan wel stilzwijgende bedoeling is van Opdrachtgever dat de Werkzaamheden door een bepaalde persoon of bepaalde personen zullen worden uitgevoerd, eveneens Verwerker.
6. Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van Werkzaamheden.
7. Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Opdrachtnemer uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.
8. Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaamheden door Opdrachtnemer ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.
9. Subverwerker: een derde partij waaraan Xxxxxxxxx (een deel van) zijn werkzaamheden inclusief daaraan verbonden verplichtingen uitbesteedt.
Artikel 2 Toepasselijkheid verwerkersovereenkomst
1. Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Opdrachtnemer voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.
2. Verantwoordelijke is verantwoordelijk voor de verwerking van de gegevens zoals omschreven in Annex 1.
3. Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.
4. Dit een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verantwoordelijke bindend voor Verwerker.
5. Op alle rechtsverhoudingen tussen Opdrachtnemer en Opdrachtgever, waaronder aanbiedingen alle offertes, opdrachten, rechtsbetrekkingen en overeenkomsten, hoe ook genaamd, waarbij Opdrachtnemer zicht verbindt/zal verbinden om Werkzaamheden te verrichten voor Opdrachtgever, alsmede op alle daaruit voor Opdrachtnemer voortvloeiende werkzaamheden, zijn de Algemene voorwaarden van toepassing, naar welke vanuit deze Verwerkersovereenkomst wordt verwezen en integraal onderdeel uitmaken van de Opdrachtbevestiging. Tevens kunnen de Algemene voorwaarden op de website van Opdrachtnemer worden ingezien. (xxx.xxxxxxx.xx/xxxxxxxxx)
Artikel 3
Reikwijdte verwerkersovereenkomst
1. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
2. Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3. De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
4. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
5. Verwerker verwerkt de Gegevens primair in Nederland. Verwerker mag de Gegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is eveneens toegestaan, mits aan de wettelijke voorwaarden daarvoor is voldaan.
Artikel 4
Verplichting Verantwoordelijke
1. Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Bewerker worden verstrekt.
Artikel 5 Geheimhouding
1. Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
2. Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
Artikel 6
Geen verdere verstrekking
1. Verwerker zal de gegevens niet delen met of verstrekken aan derden (anders dan Subverwerkers waarvoor artikel 9 geldt), tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemderegelgeving.
Artikel 7 Beveiligingsmaatregelen
1. Rekening houdend met de stand van de techniek, de kosten van uitvoering, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de waarschijnlijkheid en ernst van uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die zijn genomen zijn in Annex 2 bepaald.
2. Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Artikel 8 Datalek
1. Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
2. Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
Artikel 9 Subverwerkers
1. Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, legt Verwerker aan de betreffende derde deze verwerkersovereenkomst op, dan wel sluit Verwerker met deze Subverwerker een (sub)Verwerkersovereenkomst betreffende de verantwoordelijkheden en verplichtingen van de Subverwerker.
2. Indien Verwerker geen voorafgaande toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan vraagt Xxxxxxxxx voorafgaande toestemming voor het inschakelen van de Subverwerker.
Artikel 10 Aansprakelijkheid
1. Verwerker is slechts aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 Algemene Verordening Gegevensbescherming (AVG) is bepaald en met verwijzing naar artikel 11. Algemene voorwaarden van Verwerker dan wel artikel 29 tot en met 34 van de Algemene voorwaarden van De Levensloopplanner, voor schade of nadeel die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgende deze verwerkersovereenkomst en/of niet-nakoming van verplichtingen door Verwerker onder deze verwerkersovereenkomst.
2. Verantwoordelijke staat er voor in dat de verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
3. Verwerker is niet aansprakelijk voor schade die het gevolg is van het door Verantwoordelijke niet naleven van de AVG of andere wet- of regelgeving. Verantwoordelijke vrijwaart Xxxxxxxxx ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Verwerker wordt opgelegd ten gevolge van het handelen van Verantwoordelijke.
4. De in onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en/of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld en Verwerker ook na die termijn toerekenbaar blijft tekort schieten in de nakoming van haar verplichtingen.
Artikel 11
Medewerkingsplicht en toezicht op naleving
1. Verwerker zal Verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
2. Als Xxxxxxxxx rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker Verantwoordelijke binnen 2 werkdagen over de ontvangst van het verzoek. Verwerker voert, voor zover deze niet strijdig zijn met de wet- en regelgeving, zo snel mogelijk alle instructies uit die Verantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van Verantwoordelijke.
3. Verwerker stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn en voor eigen rekening, een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij de Verantwoordelijke.
4. Verwerker zal in het kader van lid 3. aan Verantwoordelijke, dan wel een daartoe door Verantwoordelijke ingeschakelde derde, in ieder geval:
a. alle relevante inlichtingen en documenten verstrekken;
b. toegang verlenen tot alle gebouwen, informatiesystemen en Gegevens.
Artikel 12
Duur en beëindiging
1. Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke zijn deze verwerkersovereenkomst op deze relatie van toepassing.
2. Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke bewaarplicht bepaalde Gegevens moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze Gegevens binnen 6 maanden na beëindiging van de wettelijke bewaarplicht.
3. Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan Verantwoordelijke binnen 6 maanden na beëindiging van de Overeenkomst aan Verwerker verzoeken om alle gegevensdragers waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de Gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Gegevens zich in een computer bevinden of in een andere vorm waardoor de Gegevens redelijkerwijs niet kunnen worden verstrekt aan Verantwoordelijke, zal Verwerker aan Verantwoordelijke een toegankelijke, leesbare kopie van de Gegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Gegevens overgaan, tenzij Verwerker op grond van een wettelijke plicht gehouden is Gegevens op te slaan.
Artikel 13 Nietigheid
1. Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
Artikel 14
Toepasselijk recht enforumkeuze
1. Op alle Overeenkomsten tussen Opdrachtgever en Opdrachtnemer waarop deze algemene voorwaarden van toepassing zijn, is Nederlands recht van toepassing.
2. Alle geschillen die verband houden met Overeenkomsten tussen Opdrachtgever en Opdrachtnemer waarop deze voorwaarden van toepassing zijn, worden beslecht door de bevoegde rechter in het arrondissement waarin Opdrachtnemer zijn woonplaats heeft.
3. In afwijking van het bepaalde in lid 2 kunnen Opdrachtgever en Opdrachtnemer kiezen voor een andere wijze van geschillenbeslechting.
ANNEX 1 - GEGEVENS EN DOELEINDEN
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder (maar niet uitsluitend) kunnen vallen personeelsadministratie, loonadministratie, advies en financiële / fiscale verslaglegging:
1) Naam (initialen, voor- en achternaam, titelatuur)
2) Telefoonnummer
3) E-mailadres
4) Geboortedatum en -plaats
5) Adres, Woonplaats
6) Gegevens ID-bewijs (in verband met de Wwft)
7) Financiële gegevens, zowel zakelijk als privé
8) NAW-gegevens en BSN van personeelsleden van Verantwoordelijke
In het kader van personeelsadministratie (Personeelsdossiers) kunnen de volgende gegevens (indien van toepassing en op verzoek van Verantwoordelijke) worden opgeslagen en verwerkt:
9) Arbeidsovereenkomsten en andere aanstellingsdocumenten
10) Deelname aan (werkgevers-)regelingen, zoals pensioen, verzekeringen etc.
11) Salarisinformatie en salarishistorie
12) Functienaam en functieprofielen
13) Re-integratiedossier / Correspondentie UWV
14) Verslaglegging omtrent functioneren / beoordeling
15) Diploma’s, deelnamecertificaten, studieregeling
16) Uren- en verlofregistratie
17) Persoonlijkheidstesten of assessments
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
a) de werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;
b) het onderhoud, waaronder updates en releases van het door Verwerker dan wel Subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;
c) het gegevens- en technische beheer, ook door een Subverwerker;
d) de hosting, ook door een Subverwerker.
ANNEX 2 – BEVEILIGINGSMAATREGELEN
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
• Backup- en herstelprocedures
• Beveiliging van netwerkverbindingen
• Bevoegdheden zijn toegewezen aan de personen die belast zijn met de uitvoering van de verwerking
• Geheimhoudingsverklaringen in arbeidscontracten en arbeidsvoorwaardenreglement
• Indringeralarm
• Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes
• Subverwerkersovereenkomsten met derden
ANNEX 3 – OPSOMMING SUBVERWERKERS
Verwerker maakt voor de diverse vormen van dienstverlening gebruik van ondergenoemde Subverwerkers. Afhankelijk van de soort werkzaamheden, vastgelegd in de Overeenkomst van Dienstverlening, worden één of meerder van deze Subverwerkers ingezet:
• Dizzydata B.V. ; Scan- en herken programmatuur; Dizzy Data B.V. heeft Amazon als hostingprovider, waarvan het datacenter in de EER staat en maakt eveneens gebruik van Google Vision, waarvan de gegevens mogelijk voor korte tijd buiten de EER zullen worden verwerkt. Dit zal plaatsvinden in de Verenigde Staten, voor welk territorium een passend beschermingsniveau is gewaarborgd ten aanzien van persoonsgegevens volgens een adequaatheidsbesluit van de Europese Commissie. Google LLC is aangesloten en gecertificeerd namens de EU-US Privacy Shield overeenkomst.
• Twinfield International N.V.; online boekhoudprogramma ; zij maken gebruik van verschillende subverwerkers welke gespecificeerd staan op hun website: xxxxx://xxxxx.xxxxxxxxxxxxx.xxx/xxxxxxxx-xxxxxxxxxxx/xxxxxxxxxxxxx/
• Yuki; online boekhoudprogramma; zij maken gebruik van derden zoals gespecificeerd op hun website en Amazon is als hostingprovider ingeschakeld waarvan het data center in de EER staat.
• NMBRS B.V.; salarisadministratie: zij maken gebruik van verschillende subverwerkers voor hosting en verwerking. Deze Subverwerkers zijn te vinden op hun website: xxxxx://xxx.xxxxx.xxx/xxxxxxxx/xxxxxxxxxxxxx.
• Figlo; financial planning programmatuur; alle gegevens worden binnen de Europese Ruimte verwerkt en/of opgeslagen.
• AFAS; wij maken gebruik van de module Fiscaal van AFAS software voor de Inkomstenbelasting en Vennootschapsbelasting aangiftes. Zij maken gebruik van de datacenters van LeaseWeb Netherlands B.V. en deze staan uitsluitend in Nederland (Schiphol Rijk en Haarlem) en vallen onder Nederlandse wet- en regelgeving.
• Visionplanner B.V.: dashboard / KPI software; zij maken gebruik van het Microsoft Windows Azure platform. Windows Azure wordt uitgevoerd in datacenters die door Microsoft Global Foundation Services (GFS) worden beheerd en geëxploiteerd. Het datacenter van Microsoft waar Visionplanner B.V. gebruik van maakt, staat in de regio West-Europa.
• Infine,; in dit systeem worden klantgegevens opgeslagen, hierin vindt onze eigen facturatie plaats en hierin maken we jaarrapporten. Gegevens worden opgeslagen op een server in Apeldoorn en worden bescherm met Trend Micro Anti-virus. De toegang tot deze server wordt beveiligd door een firewall van Fortigate en de back-up vindt dagelijks plaats, versleuteld over het internet, naar Final Frontier te Almere. Disaster recovery back-up vindt maandelijks plaats buiten de vestiging aan de Loolaan.
• Akkermans & Partners; gebruiken we voor pensioen, financiële en estate planning. Gegevens worden opgeslagen op een server in Apeldoorn en worden beschermd met Trend Micro Anti-virus. De toegang tot deze server wordt beveiligd door een firewall van Fortigate en de back-up vindt dagelijks plaats, versleuteld over het internet, naar Final Frontier te Almere. Disaster recovery back- up vindt maandelijks plaats buiten de vestiging aan de Loolaan.
• PA van Xxxxx Business Excellence; hierin staan klantgegevens opgeslagen. Gegevens worden opgeslagen op een server in Apeldoorn en worden beschermd met Trend Micro Anti-virus. De toegang tot deze server wordt beveiligd door een firewall van Fortigate en de back-up vindt dagelijks plaats, versleuteld over het internet, naar Final Frontier te Almere. Disaster recovery back- up vindt maandelijks plaats buiten de vestiging aan de Loolaan.