Contract
1. Algemeen
In deze privacyvoorwaarden wordt verstaan onder:
a. Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze privacyvoorwaarden onlosmakelijk deel uitmaken.
b. Verwerker: de entiteit die de Overeenkomst sluit en deze algemene voorwaarden hanteert, eveneens Opdrachtnemer.
c. Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
d. Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
e. Opdrachtnemer: de entiteit die de Overeenkomst sluit en deze algemene voorwaarden hanteert, eveneens Verwerker.
f. Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaamheden door Opdrachtnemer ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.
g. Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van Werkzaamheden.
h. Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Opdrachtnemer uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.
2. Toepasselijkheid privacyvoorwaarden
a. Deze privacyvoorwaarden (ook wel verwerkersovereenkomst) zijn van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Opdrachtnemer voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.
b. Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals omschreven in Annex 1.
c. Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.
d. Deze privacyvoorwaarden zijn een verwerkersovereenkomst in de zin van artikel 28 lid
3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.
e. Deze privacyvoorwaarden maken, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte privacyvoorwaarden
a. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verantwoordelijke, op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze privacyvoorwaarden.
b. Verwerker verwerkt de Xxxxxxxx uitsluitend in overeenstemming met deze privacyvoorwaarden, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
c. De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
d. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
e. Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
4. Verplichting Verantwoordelijke
a. Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.
5. Geheimhouding
a. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
b. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
6. Geen verdere verstrekking
a. Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
b. Voor het geval op de Verantwoordelijke in hoedanigheid van notaris of advocaat een geheimhoudingsplicht rust op of een verschoningsrecht toekomt ten aanzien van de Gegevens, is Verwerker in het geval waarin hij op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, gehouden de Verantwoordelijke onmiddellijk te informeren en de identiteit van de verzoeker te verifiëren. Verwerker zal de Gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke.
7. Beveiligingsmaatregelen
a. Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
b. Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
c. De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.
8. Toezicht op naleving
a. Verwerker stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van Verwerker te controleren van de privacyvoorwaarden en met name van de beveiligingsmaatregelen die zijn genomen zoals genoemd in artikel 7.
b. Verwerker is verplicht in het kader van de controle genoemd onder onder artikel 8.a. een overzicht te verstrekken van de Gegevens die worden verwerkt.
c. Verwerker verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan Verantwoordelijke waarin Xxxxxxxxx informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 7.
d. Verantwoordelijke en Verwerker kunnen naar aanleiding van de onder artikel 8.c. benoemde rapportage samen nadere beveiligingsmaatregelen overeenkomen.
9. Datalek
a. Zo spoedig mogelijk, doch binnen 24 uur nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
b. Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
10. Sub-verwerkers
a. Indien Verwerker voorafgaande (algemene) toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan informeert Verwerker Verantwoordelijke over het voornemen de sub-verwerker in te schakelen. Verwerker geeft Verantwoordelijke een termijn van 7 werkdagen om bezwaar te maken tegen het inschakelen van de sub- verwerker. Verwerker zal de sub-verwerker pas inschakelen indien de termijn van 7 dagen is verstreken zonder dat Verantwoordelijke bezwaar heeft gemaakt, of indien Verantwoordelijke heeft aangegeven geen bezwaar te maken tegen het inschakelen van de sub-verwerker.
b. Indien Verwerker geen voorafgaande toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan vraagt Xxxxxxxxx voorafgaande toestemming voor het inschakelen van de sub-verwerker.
c. Verwerker draagt er zorg voor dat de sub-verwerker is onderworpen aan deze verwerkersovereenkomst dan wel aan een sub-verwerkersovereenkomst die dezelfde plichten bevat als deze verwerkersovereenkomst.
11. Medewerkingsplichten en rechten van betrokkenen
a. Verwerker zal Verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel in geval van onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
b. Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.
c. Als Xxxxxxxxx rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker Verantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die Verantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van Verantwoordelijke.
d. Indien instructies van Verantwoordelijke aan Verwerker strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verantwoordelijke.
12. Duur en beëindiging
a. Deze privacyvoorwaarden zijn geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke zijn deze privacyvoorwaarden op deze relatie van toepassing.
b. Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen 4 weken na beëindiging van de wettelijke bewaarplicht.
c. Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan Verantwoordelijke binnen twee maanden na beëindiging van de Overeenkomst aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig.
d. Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken. Het in dit lid en het voorgaande lid bepaalde steeds behoudens voor zover Verwerker wettelijk verplicht is Gegevens te behouden of daartoe een toereikend belang heeft. Van een toereikend belang is in ieder geval sprake in het geval van een juridische procedure (tucht-, straf-, bestuurs- en/of civielrechtelijk) of een dreiging daarvan.
13. Nietigheid en aanpassing privacyvoorwaarden
a. Indien één of meerdere bepalingen uit deze privacyvoorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze privacyvoorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benadert.
b. Verwerker kan de privacyvoorwaarden wijzigen na schriftelijke instemming van de Verantwoordelijke. Wijziging kan ook plaatsvinden nadat Verwerker de Verantwoordelijke schriftelijk in kennis heeft gesteld van de voorgenomen wijziging(en) en de Verantwoordelijk niet binnen 14 dagen schriftelijk bezwaar heeft gemaakt tegen de voorgenomen wijzigingen.
c. Indien het schriftelijk bezwaar van de Verantwoordelijke als bedoeld in het voorgaande lid niet tot overeenstemming leidt omtrent de aanpassing van de privacyvoorwaarden, hebben de Verantwoordelijk en de Verwerker beide het recht de Overeenkomst op te zeggen.
14. Toepasselijk recht en forumkeuze
a. Op deze privacyvoorwaarden is Nederlands recht van toepassing.
b. Alle geschillen in verband met de privacyvoorwaarden of de uitvoering daarvan worden beslecht door de bevoegde rechter in het arrondissement waarbinnen de vestiging van Opdrachtnemer is gevestigd.
Versie 2.0
d.d. juli 2018
ANNEX 1 GEGEVENS EN DOELEINDEN
GEGEVENS EN DOELEINDEN
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële verslaglegging, fiscale/financiële en/of juridische advisering, aangiften IB/VPB:
• Naam (initialen, achternaam)
• Telefoonnummer
• E-mailadres
• Geboortedatum
• Woonplaats
• Gegevens ID-bewijs (in verband met de Wwft)
• Financiële gegevens, zowel zakelijk als privé
• NAW-gegevens, BSN en geboortedatum van minderjarige kinderen van Verantwoordelijke
• NAW-gegevens, BSN en geboortedatum van personeelsleden van Verantwoordelijke
• Kentekens
• Betaal- en financiële gegevens
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
• De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;
• het onderhoud, waaronder updates en releases van het door Verwerker dan wel subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;
• het gegevens- en technische beheer, ook door een subverwerker;
• de hosting, ook door een subverwerker.
ANNEX 2 BEVEILIGINGSMAATREGELEN
BEVELIGINGSMAATREGELEN
• De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
• Indringeralarm pand
• Backup- en herstelprocedures
• Beveiliging van netwerkverbindingen
• Logische toegangscontrole door middel van wachtwoorden, persoonlijke toegangscodes en een twee-staps-authenticatie
• Veilige wijze voor het opslaan van gegevensbestanden
• Communicatie met Verantwoordelijke via een portaal waarbij tevens een twee-staps- authenticatie vereist is
• Geheimhoudingsverklaringen in arbeidscontracten
• SubVerwerkersovereenkomsten met derden
• Geïmplementeerde gedragscode
• Geïmplementeerd beveiligingsbeleid (incl. periodieke controle en implementatie van wijzigingen hierop)