Versie 2018.01

Verwerkersovereenkomst Minox – Support

Versie 2018.01

Deze Verwerkersovereenkomst is een bijlage bij de Hoofdovereenkomst (zoals gedefinieerd in artikel 1 van deze overeenkomt) tussen Klant en Minox B.V.

Partijen: Klant:

                      , kantoorhoudende te                        , statutair gevestigd te                        , ingeschreven in het handelsregister onder KvK nr.                    , hierna “Klant” of “Verwerkingsverantwoordelijke”

En:

Minox B.V., kantoorhoudende te Xxxxx 0X, 0000 XX Xxxxxxxxxx, statutair gevestigd te Veenendaal, ingeschreven in het handelsregister onder KvK nr. 30070920, hierna “Minox” of “Verwerker”

Overwegende dat:

• Patijen een overeenkomst hebben gesloten waarbij Verwerkingsverantwoordelijke gebruik maakt van een door Minox B.V. aangeboden product;

• Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen,

waaronder, maar niet beperkt tot, financiële gegevens van eenmanszaken, vof’s, maatschappen en andere personenvennootschappen, persoonsgegevens van juridische vertegenwoordigers van andere juridische entiteiten, en gegevens van verkopen en betalingen aan personen die deze administreert in boekhoudpakket Xxxxx;

• Indien Klant ondersteuning nodig heeft, deze van de helpdesk van Minox ondersteuning kan krijgen. Daarbij wordt gebruik gemaakt van Teamviewer, een applicatie die remote support biedt. Hierdoor kan Xxxxx inzage verkrijgen in persoonsgegevens en kwalificeert Xxxxx als Verwerker.

• Partijen in deze overeenkomst hun wederzijdse rechten en verplichtingen vastleggen ten aanzien van het Verwerken van Persoonsgegevens met in achtneming van de geldende privacy regelgeving.

Partijen wensen hun onderlinge rechten en plichten vast te leggen als volgt: Artikel 1 Definities

In deze Overeenkomst wordt een aantal begrippen gebruikt, welke betekenis hieronder wordt verduidelijkt en welke definitie in lijn is met de definities die in de AVG voorkomen, omdat de AVG per 25 mei 2018 leidend is. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven.

AVG:	Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Nederlands wet bescherming persoonsgegevens per 25 mei 2018. Daarnaast kunnen er guidelines van de artikel 29 Werkgroep van kracht worden die eveneens op deze Overeenkomst van toepassing zijn.
Beroeps- en gedragsregels:	De voor accountants geldende Beroeps- en gedragsregels (als vermeld op de website van de Nederlandse Beroepsorganisatie van Accountants, xxx.xxx.xx).
Betrokkene:	Degene op wie een Persoonsgegeven betrekking heeft.
Verwerker:	Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In deze Overeenkomst is Xxxxx aangemerkt als Verwerker.
Sub-verwerker:	Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerkingsverantwoordelijke / Verantwoordelijke:	Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In deze Overeenkomst is Klant aangemerkt als Verwerkingsverantwoordelijke ter zake van diens gegevens die hij/zij invoert in de software van Minox voor zover het persoonsgegevens betreft.
Bijzondere Persoonsgegevens:	Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Datalek / Inbreuk in verband met persoonsgegevens:	Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
Derden:	Anderen dan Partijen en hun Medewerkers.
Hoofdovereenkomst:	De overeenkomst die tot stand is gekomen tussen Klant en Minox, bestaande uit een order van de Klant die tot stand komt hetzij via de website hetzij via telefonisch contact tezamen met de Algemene Voorwaarden onder welke Minox haar producten levert.
Meldplicht Datalekken:	De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Medewerkers	Personen die werkzaam zijn bij Minox of bij Klant, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Onderliggende opdracht:	De opdracht zoals hierboven bedoeld in de overwegingen, oftewel de dienstverlening van Minox aan de Klant waarbij Xxxxx haar boekhoudsoftware aan Klant ter beschikking stelt voor het doen van administraties zoals vastgelegd in de Hoofdovereenkomst
Overeenkomst:	Deze verwerkersovereenkomst, ook wel Verwerkersovereenkomst
Persoonsgegevens:	Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Persoonsgegevens van gevoelige aard	Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend: • Bijzondere persoonsgegevens; • Gegevens over de financiële of economische situatie van de Betrokkene; • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene;

• Gebruikersnamen, wachtwoorden en andere inloggegevens; • Gegevens die kunnen worden misbruikt voor (identiteits)fraude.

Verwerken / Verwerking:

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Artikel 2 Doeleinden van verwerking

2.1 Verwerker verbindt zich onder de voorwaarden van deze Overeenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Hoofdovereenkomst die partijen zijn aangegaan plus de doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, te weten het leveren van remote support met behulp van de applicatie Teamviewer. Indien gebruik wordt gemaakt van Teamviewer kan Xxxxx inzage verkrijgen in persoonsgegevens die Verwerkingsverantwoordelijke in diens administratie verwerkt. De Verwerking vindt derhalve uitsluitend plaats onder verantwoordelijkheid van de Klant. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over de verwerkte gegevens in Minox boekhoudpakket. Gegevens delen middels Teamviewer vindt uitsluitend plaats met toestemming van de Klant, welke deze geeft in de Teamviewer applicatie. Door het wachtwoord aan Xxxxx te verstrekken gaat de Klant akkoord met inzage en/of het delen van gegevens.

Het betreft de volgende soorten (persoons)gegevens:

• NAW gegevens;

• Persoonsgegevens die zijn opgenomen in documenten en welke in het Minox boekhoudpakket worden verwerkt, bijvoorbeeld emailadressen of telefoonnummers;

• Betalingsgegevens en bankmutaties, waaronder IBAN, tenaamstellingsgegevens, transactieomschrijvingen en bedragen;

• Verkoopgegevens, waaronder afnemer en afgenomen producten en/of diensten;

• Inkoopgegevens, waaronder leverancier en geleverde producten en/of diensten;

• Financiële gegevens zoals omzet, kosten, bezittingen en schulden van eenmanszaken;

• BTW nummers;

• De dienstverlening die Verwerkingsverantwoordelijke is aangegaan met de betrokkene.

Het betreft de volgende categoriën van betrokkenen:

• Medewerkers van de Verwerkingsverantwoordelijke;

• Klanten van de Verwerkingsverantwoordelijke;

• Leveranciers van de Verwerkingsverantwoordelijke;

• Overige relaties van de Verwerkingsverantwoordelijke (bijvoorbeeld donateurs of prospects).

2.2 De verwerking van persoonsgegevens vindt plaats onder verantwoordelijkheid van Klant. Xxxxx heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissing over zaken als het gebruik van Persoonsgegevens anders dan dat Xxxxx het systeem ter beschikking stelt ten behoeve van het doen van administratie. Het doel van verwerking door Xxxxxxxxx is het leveren van (remote) support bij de uitvoering van de Hoofdovereenkomst.

2.3 De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

2.4 Als Verwerkingsverantwoordelijke accountant is: Verwerkingsverantwoordelijke heeft op grond van de voor haar als accountant geldende Beroeps- en gedragsregels mogelijke verplichtingen en kan mogelijk daarbij Verwerker vragen om gegevens te verstrekken.

Artikel 3 Verplichtingen Verwerker

3.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG).

3.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

3.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

3.4 Verwerker verwerkt alle gegevens op instructie van Verwerkingsverantwoordelijke die immers in het systeem van Verwerker zelf alle gegevens invoert en/of die toestemming verleent voor systeemkoppelingen die gegevens uitwisselen met Minox. Indien er sprake is van een verwerking in strijd met de in lid 1 bedoelde wetgeving, informeert Verwerker terstond de Verwerkingsverantwoordelijke.

3.5 Voor zover mogelijk verleent Verwerker bijstand bij het vervullen van verplichtingen van de Verwerkingsverantwoordelijke om verzoeken om uitoefening van rechten van Betrokkenen af te handelen, zoals bij voorbeeld het recht op inzage.

Artikel 4 Doorgifte van persoonsgegevens

4.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie (EU). Doorgifte naar landen buiten de Europese Unie vindt niet plaats.

Artikel 5 Beveiliging

5.1 Verwerker neemt technische en organisatorische maatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

5.2 Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is en voldoet aan de geldende regelgeving.

5.3 Verwerker heeft onverminderd de verplichtingen uit de vorige leden, in ieder geval de volgende maatregelen genomen:

a Verwerker heeft Teamviewer gescreend en steunt op de security van Teamviewer, Exchange Online, Outlook en interne en externe IT maatregelen;

b organisatorische maatregelen voor toegangsbeveiliging, waarbij op grond van autorisaties toegang wordt verleend en Verwerker daarnaast haar medewerkers bij aanname verzoekt een Verklaring omtrent gedrag (VOG) in te leveren om integriteit te waarborgen;

c datasets worden verwijderd uit het netwerk, e-mail en lokale PC van verwerker zo gauw deze niet meer nodig zijn.

5.4 Verwerkingsverantwoordelijke voert zelf persoonsgegevens in in het systeem van Verwerker en/of verleent zelf toestemming voor systeemkoppelingen die gegevens uitwisselen met Xxxxx, en is daarom zelf verantwoordelijk voor de correctheid van de ingevoerde of aangeleverde gegevens, het eventueel informeren van betrokkenen en het zorgdragen dat de logische toegangscontrole uitsluitend toegankelijk is voor diens werknemers en dat alleen diegenen hiertoe toegang krijgen die Verwerkingsverantwoordelijke geautoriseerd heeft. Daarnaast heeft Verwerkingsverantwoordelijke een eigen verplichting om de logische toegangscontrole ontoegankelijk te houden voor derden, zoals wachtwoorden te beschermen en zorg te dragen voor processen in zijn eigen bedrijf die beveiliging van het systeem bevorderen.

Artikel 6 Meldplicht

6.1 In het geval van de ontdekking van een Beveiligingslek (een tekortkoming in of de inbreuk op de beveiliging van persoonsgegevens) en/of een Datalek (een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft), voor de bescherming van persoonsgegevens als bedoeld in artikel 34a lid 1 Wbp c.q. artikelen 33 en 34 AVG, zal Verwerker de Verwerkingsverantwoordelijke hierover zo snel mogelijk, in ieder geval binnen 24 uur na ontdekking, informeren. Naar aanleiding hiervan, zal de Verwerkingsverantwoordelijke beoordelen of deze de betrokkenen en/of Autoriteit Persoonsgegevens (AP) zal informeren of niet.

6.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht, voor zover deze informatie bij Verwerker beschikbaar is:

• Wat de (vermeende) oorzaak van het lek is;

• Wat het (vooralsnog) bekende en/of te verwachten gevolg is;

• Wat de (voorgestelde) oplossing is;

• Contactgegevens voor de opvolging van de melding;

• Het aantal personen van wie gegevens zijn gelekt (indien geen exact aantal bekend is, minimale en maximale aantallen van personen van wie gegevens zijn gelekt);

• Soort of soorten persoonsgegevens die gelekt zijn;

• Omschrijving van de groep personen van wie gegevens zijn gelekt, voor zover dit mogelijk is;

• Datum of periode waarbinnen het lek heeft plaatsgevonden;

• Datum waarop het lek bekend is geworden bij de Verwerker;

• Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

• Wat de voorgenomen en/of reeds genomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

Indien Verwerker op het moment van de melding nog niet over de bovenstaande informatie beschikt, zal Verwerker dit zo gauw mogelijk nasturen.

Artikel 7 Geheimhouding en vertrouwelijkheid

7.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot

7.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 8 Audit

8.1 Indien er een verplichting bestaat om op het systeem dat Verwerker ter beschikking stelt een audit uit te voeren, zal Verwerker zorgdragen dat dit mogelijk wordt gemaakt.

Artikel 9 Aansprakelijkheid

9.1 Op grond van artikel 82 AVG is Verwerker alleen aansprakelijk voor schade van de Betrokkene indien Verwerker aantoonbaar verantwoordelijk is voor het schadeveroorzakende feit en voor zover deze gehandeld heeft buiten de instructies van de Klant c.q. Hoofdovereenkomst die Verwerker gesloten heeft met de Verwerkingsverantwoordelijke. Verwerker is aansprakelijk voor schade van de Verwerkingsverantwoordelijke als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, tot een maximum van 1 jaar omzet die de Verwerker van de Klant heeft ontvangen ten tijde van de schade dan wel tot het bedrag dat de verzekeraar uitkeert. Schadevergoeding per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) is beperkt tot de vergoeding van directe schade.

9.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit: a schade direct toegebracht aan stoffelijke zaken (“zaakschade”);

b redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst

(weer) deugdelijk na te komen;

c redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en

d redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.

9.3 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

9.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.

9.5 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.

9.6 Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.

Artikel 10 Duur en beëindiging

10.1 Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en wel op de datum van de laatste ondertekening en is van toepassing op iedere Verwerking die door Minox als Verwerker wordt gedaan op basis van de Onderliggende Opdracht.

10.2 Deze Verwerkersovereenkomst is aangegaan voor onbepaalde tijd. Hierbij dient een opzegtermijn van drie maanden in acht te worden genomen. Beëindiging van de Hoofdovereenkomst doet echter deze Verwerkersovereenkomst op hetzelfde moment eindigen.

10.3 Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker indien verzocht door de Verwerkingsverantwoordelijke alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en daarna deze en eventuele kopieën daarvan verwijderen en/of vernietigen.

10.4 Deze Verwerkersovereenkomst mag worden gewijzigd op dezelfde wijze als de Hoofdovereenkomst.

10.5 Na het eindigen van deze Verwerkersovereenkomst blijft artikel 7 van kracht.

Artikel 11 Slotbepalingen en toepasselijk recht

11.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

11.2 Alle geschillen, die tussen Partijen ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter te Utrecht, tenzij de wet dwingend anders voorschrijft.

11.3 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de overige bepalingen in deze Overeenkomst. Deze ongeldige bepaling(en) zullen dan worden vervangen door een andere bepaling zoveel als mogelijk in de geest is van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.

11.4 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 6 – Meldplicht) zullen door Verwerker en Verwerkingsverantwoordelijke worden gedaan aan onderstaande Medewerkers:

Xxxxxx Xxxx Minox B.V. xxxxxx@xxxxx.xx M. 06-46387825

Aldus overeengekomen en getekend op            te                         ,

Klant:   Minox B.V.

Naam:   Xxxxxx Xxxx

Functie:   CEO

Handtekening:

Handtekening: