PRIVACYVOORWAARDEN Accountants- en advieskantoor Hogebrug B.V.

PRIVACYVOORWAARDEN Accountants- en advieskantoor Hogebrug B.V.

Inclusief verwerkersovereenkomst

1. Algemeen

In deze privacyvoorwaarden wordt verstaan onder:

1.1 Algemene voorwaarden : de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze privacyvoorwaarden onlosmakelijk deel uitmaken.

1.2 Opdrachtnemer : de besloten vennootschap Accountants- en advieskantoor Hogebrug B.V. en alle vormen van dienstverlening vanuit deze besloten vennootschap zoals ook nader gespecificeerd onder de Werkzaamheden, zulks in de meest brede zin des woords, hierna eveneens te noemen de Opdrachtnemer.

1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 1 en zoals nader gedefinieerd onder Persoonsgegevens.

1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, hierna de Opdrachtgever eveneens genoemd Verantwoordelijke.

1.5 Verwerker: de Opdrachtnemer als hiervoor gedefinieerd.

1.6 Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaamheden (zoals hierna gedefinieerd) door Opdrachtnemer ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging tussen Opdrachtnemer en Opdrachtgever.

1.7 Verantwoordelijke: de partij/Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, opdracht heeft gegeven tot het verrichten van Werkzaamheden en die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.8 Werkzaamheden: alle werkzaamheden waartoe opdracht door Opdrachtgever is gegeven, of die door Opdrachtnemer uit anderen hoofde worden verricht ten behoeve van de Opdrachtgever en/of de aan de Opdrachtgever verbonden cliënten/klanten. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging tussen Opdrachtgever en Opdrachtnemer en ook eventuele nadien overeengekomen opdrachtbevestiging(en), betreffende de (advies)dienstverlening door de Opdrachtnemer ten behoeve van de Opdrachtgever, zoals ook gespecificeerd op Annex 1.

1.9 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

1.10 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de de Overeenkomst worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.11 Medewerkers: personen die werkzaam zijn bij de Opdrachtnemer, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

1.12 Sub-verwerker: een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

1.13 Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

1.14 Derden: anderen dan de Opdrachtnemer, Opdrachtgever en/of de Medewerkers.

1.15 Betrokkene(n): degene op wie een Persoonsgegeven betrekking heeft.

2. Toepasselijkheid privacyvoorwaarden

2.1 Deze privacyvoorwaarden zijn van toepassing op iedere Verwerking die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer wordt gedaan voor Opdrachtgever als Verantwoordelijke.

2.2 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke. Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens door de Verwerker zoals omschreven in Annex 1.

2.3 Dit zijn privacyvoorwaarden in de zin van de Wet Bescherming Persoonsgegevens (Wbp) respectievelijk de Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van Persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. De AVG vervangt de Wpb per 25 mei 2018.

2.4 Deze privacyvoorwaarden maken, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

2.5. Deze privacyvoorwaarden treden in werking op de datum waarop de Overeenkomst van kracht wordt en eindigt op het moment dat de Verwerker geen Persoonsgegevens meer onder zich heeft die zij in het kader van de Onderliggende Opdracht voor de Opdrachtgever verwerken.

3. Reikwijdte privacyvoorwaarden

3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze privacyvoorwaarden.

3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze privacyvoorwaarden, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.

3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.

3.4 De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.

3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte, tenzij hierover andere afspraken zijn gemaakt.

3.6 De Verwerking van de Gegevens zal de Verwerker niet langer of uitgebreider doen dan noodzakelijk voor de uitvoering van de Overeenkomst. De Verwerking vindt plaats volgens schriftelijke instructies van de Opdrachtgever, tenzij de Opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie naar de mening van de Opdrachtnemer een inbreuk maakt op de AVG stelt de Opdrachtnemer de Opdrachtgever daarvan zo spoedig mogelijk in kennis.

4. Verplichtingen Verantwoordelijke

4.1 Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.

4.2. De Verwerking vindt plaats onder de verantwoordelijkheid van de Verantwoordelijke. De Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Verantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. De Verantwoordelijke moet er voor zorgen dat deze het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij de Verwerker. Als de Opdrachtnemer of Opdrachtgever een zelfstandige verplichting mocht hebben op basis van wettelijke voorschriften of de voor accountants geldende beroeps- en gedragsregels met betrekking tot Verwerking van Persoonsgegevens, dan leeft de Opdrachtnemer en/of Opdrachtgever deze verplichtingen na. Een overzicht van deze beroeps- en gedragsregels is te vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (xxx.xxx.xx).

4.3 Zowel de Opdrachtgever als de Opdrachtnemer is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient de Verantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. De Verwerker zorgt ervoor dat zij voldoen aan de op de Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in de Overeenkomst.

5. Geheimhouding

5.1 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

5.2 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak al dan niet voortvloeiende uit de overeenkomst de noodzaak tot mededeling voortvloeit.

5.3 De Opdrachtnemer zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 6 en artikel 10 (Sub-verwerkers). Opdrachtnemer beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. De Opdrachtnemer zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

5.4. Accountants die als Xxxxxxxxxx werkzaam zijn bij of ten behoeve van Opdrachtnemer nemen met betrekking tot de aan hen toevertrouwde Persoonsgegevens geheimhouding in acht zoals deze voor accountants geldt op basis de beroeps- en gedragsregels.

6. Geen verdere verstrekking

Als Opdrachtnemer een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan zal Xxxxxxxxxxxxx dit alleen doen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt de Opdrachtnemer eerst of zij van mening zijn dat het verzoek bindend is, of dat zij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de Opdrachtnemer de Opdrachtgever op de hoogte van het verzoek. Opdrachtnemer zal proberen dat op zodanig korte termijn te doen, dat het voor de Opdrachtgever mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als de Opdrachtnemer de Opdrachtgever op de hoogte mag stellen dan zal ook overleg plaatsvinden over de wijze waarop en welke gegevens ter beschikking zullen worden gesteld.

7. Beveiligingsmaatregelen

7.1 Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald. De Opdrachtgever heeft zich goed geïnformeerd over de door Opdrachtnemer genomen beveiligingsmaatregelen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de

Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking door de Verwerker.

7.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

7.3. Bij het nemen van de beveiligingsmaatregelen is door Opdrachtnemer rekening gehouden met de te

mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. De Opdrachtnemer biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen.

8. Toezicht op naleving

8.1 Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen vijf werkdagen.

8.2 Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle

redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verantwoordelijke.

8.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verantwoordelijke dan wel een daartoe door Verantwoordelijke ingeschakelde derde in ieder geval:

• alle relevante inlichtingen en documenten verstrekken;

• toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens.

8.4 Verantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker zal op kosten van

Verantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor Verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.

9. Datalek

9.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, c.q. de melding hierover van een Sub-bewerker heeft ontvangen, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.

9.2 Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de verantwoordelijkheid van de Verantwoordelijke. Het (bij)houden van een register van Datalekken is altijd de verantwoordelijkheid van de Verantwoordelijke.

10. SubVerwerkers

De Opdrachtnemer kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Overeenkomst, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover de Verwerker niet beschikt.

Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zal de Opdrachtnemer die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze privacyvoorwaarden opleggen. Met ondertekening van de Overeenkomst geeft de Opdrachtnemer tevens toestemming voor het inschakelen van de Sub-Verwerkers die bij deze privacyvoorwaarden horen. Op verzoek van Opdrachtgever verstrekt Opdrachtnemer een overzicht van de SubVerwerkers die bij de overeenkomst betrokken zijn. Voor het inschakelen van overige Sub-Verwerkers zal de Opdrachtnemer eerst om toestemming vragen van de Opdrachtgever. De Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen betekenen dat de Opdrachtnemer de Overeenkomst moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan de Opdrachtnemer.

11. Aansprakelijkheid

11.1 Opdrachtnemer is slechts aansprakelijk, een en ander overeenkomstig hetgeen in de Wet bescherming Persoonsgegevens en de AVG is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid en met inachtneming van het in dit artikel bepaalde. Opdrachtnemer is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze privacyvoorwaarden en/of niet- nakoming van verplichtingen door Opdrachtnemer onder deze privacyvoorwaarden.

11.2 Opdrachtnemer is niet aansprakelijk voor schade die het gevolg is van het door de Opdrachtgever (als Verantwoordelijke of anderszins) niet naleven van de AVG of andere wet- of regelgeving. De Opdrachtgever vrijwaart de Opdrachtnemer ook voor aanspraken van derden of Betrokkene(n) op grond van zulke schade en stelt Opdrachtnemer op eerste verzoek volledig schadeloos voor alle schaden en kosten. De vrijwaring geldt niet alleen voor de schade die derden of Betrokkene(n) hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die de Opdrachtnemer in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan de Opdrachtnemer worden opgelegd ten gevolge van het handelen van de Opdrachtgever. Het voorgaande geldt evenzo voor aanspraken van Betrokkene(n) of derden waarmee Opdrachtgever een samenwerking is aangegaan of waarvan Opdrachtgever de Gegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van de Opdrachtgever.

11.3 De in de Overeenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Opdrachtnemer is van kracht op de verplichtingen zoals opgenomen in deze privacyvoorwaarden, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze privacyvoorwaarden en /of de Overeenkomst nimmer tot overschrijding van de beperking kan leiden.

12. Duur en beëindiging

12.1 Deze privacyvoorwaarden zijn geldig zolang Opdrachtnemer de opdracht heeft van Opdrachtgever om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Opdrachtgever en Opdrachtnemer. Zolang door Xxxxxxxxxxxxx Werkzaamheden worden verricht ten behoeve van Opdrachtgever zijn deze privacyvoorwaarden op deze relatie van toepassing.

12.2 Indien Opdrachtnemer op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Opdrachtnemer zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers na beëindiging van de wettelijke bewaarplicht.

De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van de Opdrachtgever. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als de Opdrachtgever als Verantwoordelijke daarom vraagt dan geeft de Opdrachtnemer daarover vooraf een kosteninschatting.

12.3 Bij beëindiging van de Overeenkomst tussen Opdrachtgever en Opdrachtnemer kan Verantwoordelijke aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig.

13. Nietigheid en wijzigingen

13.1 Indien één of meerdere bepalingen uit deze privacyvoorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze privacyvoorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

13.2 Aanvullingen en wijzigingen op deze Privacyvoorwaarden zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

13.3 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of andere eisen kan voor Opdrachtnemer aanleiding zijn om dit privacyreglement aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Overeenkomst, of wanneer Opdrachtnemer niet kan voorzien in een passend niveau van bescherming, kan dit voor Opdrachtnemer reden zijn om de Overeenkomst te beëindigen.

14. Overige bepalingen

14.1 Op deze privacyvoorwaarden is Nederlands recht van toepassing.

14.2 Alle geschillen in verband met de privacyvoorwaarden of de uitvoering daarvan worden voorgelegd aan de daartoe bevoegde Nederlandse rechter.

14.3 Indien en voor zover de Opdrachtnemer in afwijking van het gestelde in deze privacyvoorwaarden als Sub- Verwerker of als Verantwoordelijke dient te worden aangemerkt zullen de bepalingen in dit privacyreglement zoveel mogelijk als wettelijk is toegestaan ook van toepassing zijn op de relatie tussen de Opdrachtnemer als Sub-Verwerker of als Verantwoordelijke en de Opdrachtgever (als Verwerker). De Opdrachtnemer wordt uitsluitend als Verantwoordelijke aangemerkt indien zij vanwege de Werkzaamheden doel en middelen voor de verwerking bepaalt.

14.4 Deze privacyvoorwaarden zijn hoger in rang dan andere door Opdrachtnemer met de Opdrachtgever gesloten overeenkomsten. Als de Opdrachtgever algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze privacyvoorwaarden. De bepalingen uit deze privacyvoorwaarden gaan boven de bepalingen in de algemene voorwaarden van de Opdrachtnemer, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

Gouda, mei 2018

Annexen:

1. Gegevens en doeleinden

2. Beveiligingsmaatregelen

ANNEX 1

GEGEVENS

De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële verslaglegging:

(1) Naam (initialen, achternaam)

(2) Telefoonnummer

(3) E-mailadres

(4) Geboortedatum

(5) Woonplaats

(6) Gegevens ID-bewijs (in verband met de Wwft)

(7) Financiële gegevens, zowel zakelijk als privé

(8) NAW-gegevens en BSN van personeelsleden van Verantwoordelijke

DOELEINDEN

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;

(2) het onderhoud, waaronder updates en releases van het door Xxxxxxxxx dan wel sub- verwerker aan Verantwoordelijke ter beschikking gestelde systeem;

(3) het gegevens- en technische beheer, ook door een sub-verwerker;

(4) de hosting, ook door een sub-verwerker.

ANNEX 2 BEVEILIGINGSMAATREGELEN

De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:

- Gebruik van dubbele wachtwoorden, verificatiecodes en token

- Schermbeveiliging en printer/scannerbeveiliging met wachtwoord

- Indringeralarm/alarmsysteem in het bedrijfspand van Opdrachtnemer met persoonlijke code

- Beveiligde website met certificaat

- Beveiligingsbeleid met onder meer firewall, spamfilter en virusscanner, protocol gebruik electronica-, internet- social media werknemers en clean desk policy

- Zakelijke mobiele telefoons en laptops beveiligd met wachtwoord en/of vingerafdruk en/of schijf-encryptie

- Geheimhoudingsverklaringen in arbeidscontracten en met derden

- Gecertificeerd afvoeren van documenten met persoonsgegevens en harde schijven/electronica

- Gebruik disclaimer in e-mail

- Backup- en herstelprocedures

- Beveiliging van netwerkverbindingen (intern en extern beheerd)

- Bevoegdheden zijn functioneel toegewezen aan een beperkt aantal personen dat met de uitvoering

van de verwerking is belast (inclusief periodieke controle hierop)

- Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes

- Voor zover vereist SubVerwerkersovereenkomsten met derden

- Veilige wijze van het opslaan van gegevensbestanden binnen het kantoornetwerk

Bewaartermijnen

Er wordt op grond van de Wet bescherming persoonsgegevens (Wbp) gesproken over verschillende mogelijkheden met betrekking tot de bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren rekening houdend met de geldende wetgeving. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

In de Wbp staat dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij verzameld en verwerkt worden. Deze bepaling is ook verwerkt in de AVG. Opdrachtnemer zal zich hierbij houden aan de geldende wettelijke bewaartermijnen, ingaande op de datum van de schriftelijke opzegging van de opdracht. Zolang de Opdrachtgever de opdracht niet schriftelijk heeft opgezegd worden alle (persoons-) gegevens bewaard.

Opdrachtnemer zal zich in deze aan de bepalingen van de AVG houden en mag daarbij persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de Betrokkene(n):

verwerkt.

gegevens worden verwerkt. dit te corrigeren.

verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

persoonsgegevens. Opdrachtnemer zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen bij Opdrachtnemer. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. Opdrachtnemer heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal Opdrachtnemer laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij Opdrachtnemer, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan Opdrachtnemer aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.