Verwerkersovereenkomst Sdu Salaris Office (SSO)

Verwerkersovereenkomst Sdu Salaris Office (SSO)

Sdu Uitgevers B.V., gevestigd aan de Prinses Beatrixlaan 116, 2595 AL in Den Haag (hierna: “Sdu”) en de klant zijn overeengekomen dat Sdu in opdracht van de klant de dienstverlening met betrekking tot het product Sdu Salaris Office (SSO) verzorgd. Op de uitvoering van deze opdracht is deze verwerkersovereenkomst van toepassing. Deze verwerkersovereenkomst geldt als een aanvulling op en maakt daarmee onderdeel uit van de Leveringsvoorwaarden Sdu.

Voor de uitvoering van de opdracht verwerkt Sdu persoonsgegevens voor en in opdracht van de klant. Sdu en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een verwerkersovereenkomst te sluiten. Volgens de AVG is Sdu 'verwerker' en is de klant 'verwerkingsverantwoordelijke'.

• Activiteiten: dienstverlening met betrekking tot het product Sdu Salaris Office (SSO)

• Te verwerken persoonsgegevens: NAW-gegevens, geboortedata, geslacht, financiële gegevens zoals loon en premies van betrokkenen. Betrokkenen zijn personen die zich wenden tot de klant in het kader van het uitvoeren van een salarisadministratie.

• Verwerkingen: versturen loonaangiften via SSO Loonaangifte Service (SSO-LS) door de klant

• Doel: het doen van loonaangiftes.

• Grondslag: De gegevensverwerking is noodzakelijk voor de uitvoering van de overeenkomst

• Bewaartermijn: de persoonsgegevens worden bewaard totdat de belastingdienst de loonaangifte heeft opgepakt.

• Locatie van verwerking: de persoonsgegevens worden in de Europese Economische Ruimte verwerkt.

Verwerkersovereenkomst

Sdu en de klant verplichten zich over en weer om de AVG na te leven. Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. Sdu zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. Sdu heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, expliciete toestemming van de klant of wettelijke verplichting zal Sdu de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens voor de overeengekomen doeleinden verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Sdu neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG en voorzien onder meer in het toepassen van informatiebeveiligingsbeheerssystemen, vaste workflow procedures voor incident- en responsbeheer alsmede in periodieke auditcontroles. Als de klant de aangifte naar SSO LS verstuurd dan wordt https gebruikt. Bij gebruik van https worden de gegevens versleuteld.

Daarnaast wordt de inhoud met AES-versleuteling beveiligd en in de versleutelde vorm op de ISO gecertificeerde Sdu server opgeslagen. Zodra de aangifte naar de Digipoort verstuurd is, wordt de inhoud verwijderd en staan er geen (versleutelde) persoonsgegevens meer op de Sdu server. De Sdu medewerkers kunnen de inhoud niet ontsleutelen. De klant is gerechtigd om in overleg met Sdu tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. Daarbij zal Sdu alle informatie ter beschikking stellen die nodig is om de nakoming van de deze verwerkersovereenkomst aan te tonen.

In overeenstemming met artikel 82 van de AVG is Sdu slechts aansprakelijk voor schade die door de verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers

gerichte verplichtingen van de AVG of buiten dan wel in strijd met deze verwerkersovereenkomst is gehandeld. Deze aansprakelijkheid is onderworpen aan de beperking van de aansprakelijkheid zoals vastgelegd in de Leveringsvoorwaarden Sdu.

Subverwerkers

Sdu zal geen subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. Sdu zal in haar overeenkomst met de subverwerker dusdanige verplichtingen voor de subverwerker opnemen opdat de verwerking door de subverwerker aan het bepaalde in de AVG en deze overeenkomst voldoet.

Privacy en geheimhouding

Sdu is zich bewust dat de informatie die de klant met Xxx deelt en opslaat binnen Sdu een geheim en bedrijfsgevoelig karakter heeft. Sdu medewerkers zullen op verantwoorde wijze met de informatie van de klant omgaan. Sdu zal ervoor zorgen dat de tot het verwerken van de persoonsgegevens gemachtigde Sdu medewerkers zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen ten aanzien van de persoonsgegevens.

Gegevens

De datacenters waar de servers van Sdu gehuisvest zijn, bevinden zich uitsluitend in de Europese Economische ruimte. De datacenters vallen onder de AVG en voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit.

Persoonsgegevens worden door Sdu uitsluitend verwerkt binnen de Europese Economische ruimte.

Meldplicht datalekken

Onder een datalek wordt verstaan een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. In geval van een datalek zal Sdu zonder onredelijke vertraging de klant daarvan in kennis stellen, maar niet later dan 48 uur nadat Sdu kennis heeft genomen van dergelijk datalek. Sdu zal de klant, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, bijstand verlenen bij het doen nakomen van de verplichtingen van de klant omtrent datalekken, waaronder met name alle relevante meldingsvereisten zoals vermeld in de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens. Sdu zal zich daarbij inspannen om de klant juist, tijdig en zo volledig mogelijk te informeren over de aard van het datalek, de beschrijving van de geconstateerde en vermoedelijke gevolgen van het datalek en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen. Zodra Sdu kennisneemt van een datalek, zal Sdu onverwijld herstellende maatregelen nemen om mogelijke tekortkomingen in de technische en organisatorische beveiligingsmaatregelen te herstellen. Sdu registreert alle veiligheidsincidenten en handelt deze volgens een vaste procedure (workflow) af.

Rechten betrokkenen

Sdu verleent klant voor zover mogelijke redelijke bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene te beantwoorden.

Einde overeenkomst

Binnen een redelijke termijn na het einde van de overeenkomst zal Sdu, zorgdragen voor het wissen van de persoonsgegevens die Sdu in opdracht van de klant en in het kader van de overeenkomst verwerkt. Sdu verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.