ALGEMENE PRIVACYVOORWAARDEN

ALGEMENE PRIVACYVOORWAARDEN

ALGEMENE PRIVACYVOORWAARDEN

1. Algemeen

In deze privacyvoorwaarden wordt verstaan onder:

1.1 Algemene voorwaarden: de Alge- mene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Alge- mene voorwaarden deze privacyvoor- waarden onlosmakelijk deel uitmaken.

1.2 Verwerker: NBC/Eelman & Partners, eveneens Opdrachtnemer.

1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 1.

1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Op- drachtnemer opdracht heeft gegeven tot het verrichten van Werkzaam- heden, eveneens Verantwoordelijke.

1.5 Opdrachtnemer: NBC/Eelman & Partners, eveneens Verwerker.

1.6 Overeenkomst: elke afspraak tus- sen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaam- heden door Opdrachtnemer ten be- hoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevest- iging.

1.7 Verantwoordelijke: de Opdracht- gever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van Werk- zaamheden.

1.8 Werkzaamheden: alle werkzaam- heden waartoe opdracht is gegeven, of die door Opdrachtnemer uit ande- ren hoofde worden verricht. Het voor- gaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

2. Toepasselijkheid privacyvoorwaarden

2.1 Deze privacyvoorwaarden zijn van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer worden verza- meld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Op- drachtnemer voortvloeiende Werk- zaamheden en de in dat kader te ver- zamelen gegevens.

2.2 Verantwoordelijke is verantwoor- delijk voor de verwerking van de Ge- gevens zoals omschreven in Annex 1.

2.3 Bij de uitvoering van de Over- eenkomst verwerkt Verwerker bepaal- de persoonsgegevens voor Verant- woordelijke.

2.4 Dit zijn privacyvoorwaarden in de zin van Algemene Verordening Gegevensbescherming, waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.

2.5 Deze privacyvoorwaarden maken, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

3. Reikwijdte privacyvoorwaarden

3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze privacyvoorwaarden.

3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze privacyvoorwaarden, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.

3.3 De zeggenschap over de Gege- vens komt nooit bij Verwerker te rusten.

3.4 De Verantwoordelijke kan additio- nele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.

3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.

4. Verplichting Verantwoordelijke

4.1 Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.

5. Geheimhouding

5.1 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

5.2 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.

6. Geen verdere verstrekking

6.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe vooraf- gaande, schriftelijke toestemming of opdracht heeft verkregen van Verant- woordelijke of op grond van dwing- endrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de

Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de ge- noemde regelgeving.

7. Beveiligingsmaatregelen

7.1 Verwerker zal – rekening houdend met de van toepassing zijnde regel- geving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoer- legging – technische en organisato- rische beveiligingsmaatregelen treffen om de Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De bevei- ligingsmaatregelen die thans zijn ge- nomen, zijn in Annex 2 bepaald.

7.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

8. Toezicht op naleving

8.1 Verwerker stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van Verwerker te controleren van de privacyvoorwaar- den en met name van de bevei- ligingsmaatregelen die zijn genomen zoals genoemd in artikel 7.

8.2 Verwerker is verplicht in het kader van de controle genoemd in lid 1 een overzicht te verstrekken van de Gegevens die worden verwerkt.

8.3 Verwerker verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan Verant- woordelijke waarin Verwerker infor- meert over de stand van de beveilig- ingsmaatregelen zoals omschreven in artikel 7.

8.4 Verantwoordelijke en Verwerker kunnen naar aanleiding van de onder artikel 8.3 benoemde rapportage samen nadere beveiligingsmaatrege- len overeenkomen.

9. Datalek

9.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verant- woordelijke en zal Verwerker informa- tie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en ver- wachte gevolgen van het incident of datalek op de Gegevens en de maat- regelen die Verwerker heeft getroffen en zal treffen.

9.2 Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan be- trokkenen en/of autoriteiten.

10. Subverwerkers

10.1 Indien Verwerker op grond van de Overeenkomst zijn verplichtingen

mag uitbesteden aan derden, legt Verwerker aan de betreffende derde deze privacyvoorwaarden op, danwel sluit Verwerker met deze subverwerker een

(sub)verwerkersovereenkomst betref- fende de verantwoordelijkheden en verplichtingen van de subverwerker.

11. Aansprakelijkheid

11.1 Verwerker is slechts aansprake- lijk, een en ander overeenkomstig hetgeen in artikel 82 Algemene Verordening Gegevensbescherming is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid. Verwerker is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze privacyvoorwaarden en/of niet-nakoming van verplichtingen door Verwerker onder deze privacyvoorwaarden.

12. Duur en beëindiging

12.1 Deze privacyvoorwaarden zijn geldig zolang Verwerker de opdracht heeft van Xxxxxxxxxxxxxxxxx om Ge- gevens te verwerken op grond van de Overeenkomst tussen Verantwoorde- lijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoor- delijke zijn deze privacyvoorwaarden op deze relatie van toepassing.

12.2 Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, com- puterdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernie- tiging van deze gegevens of documen- ten, computerdisks of andere gege- vensdragers binnen 4 weken na be- ëindiging van de wettelijke bewaar- plicht.

12.3 Bij beëindiging van de Overeen- komst tussen Verantwoordelijke en Verwerker kan Verantwoordelijke aan Verwerker verzoeken om alle docu- menten, computerdisks en andere ge- gevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de gege- vens verstrekken in de vorm zoals bij Verwerker aanwezig.

12.4 Onverlet hetgeen voor het ove- rige in dit artikel 12 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.

13. Nietigheid

13.1 Indien één of meerdere be- palingen uit deze privacyvoorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden vol- ledig van toepassing. Indien enige be- paling van deze privacyvoorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepa- ling onderhandelen, welke bepaling de

inhoud van de oorspronkelijke bepa- ling zo dicht mogelijk benaderd.

14. Toepasselijk recht en forumkeuze

14.1 Op deze privacyvoorwaarden is Nederlands recht van toepassing.

14.2 Alle geschillen in verband met de privacyvoorwaarden of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank Alkmaar.

ANNEX 1 GEGEVENS EN DOELEINDEN

GEGEVENS EN DOELEINDEN

De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële verslaglegging:

(1) Naam (initialen, achternaam)

(2) Telefoonnummer

(3) E-mailadres

(4) Geboortedatum

(5) Woonplaats

(6) Gegevens ID-bewijs (in verband met de Wwft)

(7) Financiële gegevens, zowel zakelijk als privé

(8) NAW-gegevens en BSN van personeelsleden van Verantwoordelijke

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;

(2) het onderhoud, waaronder updates en releases van het door Verwerker dan wel subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;

(3) het gegevens- en technische beheer, ook door een subverwerker;

(4) de hosting, ook door een subverwerker.

ANNEX 2 BEVEILIGINGSMAATREGELEN

BEVELIGINGSMAATREGELEN

De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:

Ten aanzien van de beveiligingsmaatregelen kunt u denken aan:

• Backup- en herstelprocedures

• Beveiliging van netwerkverbindingen

• Bevoegdheden zijn toegewezen aan een beperkt personen dat met de uitvoering van de verwerking is belast (inclusief een periodieke controle hierop).

• Geïmplementeerd beveiligingsbeleid (incl. periodieke controle en implementatie van wijzigingen hierop)

• Geïmplementeerde gedragscode

• Geheimhoudingsverklaringen in arbeidscontracten

• Indringeralarm

• Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes

• Logging en controle van toegang tot de persoonsgegevens

• Subverwerkersovereenkomsten met derden

• Veilige wijze voor het opslaan van gegevensbestanden