Verwerkersovereenkomst KeesdeBoekhouder

Verwerkersovereenkomst KeesdeBoekhouder

De besloten vennootschappen met beperkte aansprakelijkheid KeesdeBoekhouder Office B.V. en KeesdeBoekhouder B.V., beiden gevestigd en kantoorhoudende te (1011 TG) Xxxxxxxxx xxx ’x Xxxxxxxxxxx 0x, ingeschreven bij de Kamer van Koophandel onder het handelsregisternummers: 60972262 en 60969393, (hierna ook te noemen: “KdB” of “wij” of “ons”), verwerken persoonsgegevens.

KdB hecht belang aan de bescherming van uw privacy en verwerkt persoonsgegevens daarom geheel in overeenstemming met de Algemene verordening gegevensbescherming (hierna ook te noemen: “Avg”) die per 25 mei 2018 van kracht is in alle EU-lidstaten.

Wanneer een verantwoordelijke (u als ondernemer) een verwerker (een partij zoals in het onderhavige geval KdB) inschakelt voor de verwerking van persoonsgegevens dan bent u als verantwoordelijke wettelijk verplicht schriftelijke (of gelijkwaardige) afspraken te maken met de verwerker (KdB) over een aantal in de Avg genoemde onderwerpen.

Voor uw gemak heeft KdB deze verwerkersovereenkomst opgesteld, zodat u en KdB in overeenstemming met de Avg handelen.

De partijen van deze overeenkomst zijn derhalve KdB en de Opdrachtgever, (hierna te noemen: de “Verantwoordelijke”), zoals benoemd in de initiële Opdracht die Verantwoordelijke aan KdB (hierna ook te noemen: de “Verwerker”), heeft gegeven. KdB en Verantwoordelijke zullen hierna gezamenlijk als: “Partijen” worden aangeduid.

IN OVERWEGING NEMENDE DAT:

A. KdB een financieel- en administratief adviesbureau exploiteert en ten behoeve van Verantwoordelijke de diensten verricht;

B. KdB bij de uitvoering van de Opdracht gebruik maakt van het door haar ontwikkelde digitale platform voor herkenning, verwerking en archivering van administratieve documenten in een boekhoudkundige omgeving;

C. KdB bij de uitvoering van de Opdracht gebruik maakt van salarisadministratie en loonaangifteprogramma’s van, alsmede van de diensten van SGB Salaris te Maasland;

D. KdB bij de uitvoering van de Opdracht gebruik maakt van de fiscale aangifteprogramma’s van Wolters Kluwer en Logius;

E. Het verlenen van diensten noodzakelijkerwijs met zich mee brengt dat persoonsgegevens van of via Verantwoordelijke ter beschikking komen van KdB en door KdB worden verwerkt in de applicaties zoals genoemd onder D, E en F;

F. Verantwoordelijke bepaalde vormen van verwerking van de Persoonsgegevens wil laten verrichten door KdB en KdB bereid is tot verwerking van de Persoonsgegevens;

G. KdB de betreffende Persoonsgegevens louter in opdracht van Verantwoordelijke zal verwerken en niet voor eigen doeleinden;

H. Gezien het bepaalde in de Avg ten aanzien van het verwerken van persoonsgegevens Partijen hun afspraken over de werkzaamheden en de onderlinge rechtsverhouding in deze verwerkersovereenkomst wensen vast te leggen (hierna mede te noemen: de “Verwerkersovereenkomst”).

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

1.Definities:

AVG: De Algemene verordening gegevensbescherming (2016/679), inclusief uitvoeringswet van deze verordening;

Betrokkene: een geïdentificeerde of identificeerbare natuurlijk persoon. Degene op wie een Persoonsgegeven betrekking heeft.

Datalek: Elke situatie waarin door een beveiligingsincident Persoonsgegevens onbedoeld worden ingezien door een onbevoegde, kwijtraken, vernietigd worden, aangepast worden of onrechtmatig worden verwerkt.

Opdracht: De dienstverlening van KdB aan Verantwoordelijke, waaronder het verwerken van de administratie van Verantwoordelijke en de daaraan aanverwante diensten, en iedere andere vorm van samenwerking, waarbij KdB Persoonsgegevens verwerkt waarvoor Verantwoordelijke verantwoordelijk is in de zin van de AVG, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt.

DPIA: Data Protection Impact Assessement (gegevensbeschermingseffectbeoordeling) zoals bedoeld in de AVG.

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker bij of in verband met het uitvoeren van de Opdracht van Verantwoordelijke verkrijgt.

Subverwerker: Elke partij die door KdB wordt ingeschakeld om, in opdracht van KdB, de Persoonsgegevens te verwerken waarvoor KdB bij deze Verwerkersovereenkomst door de Verantwoordelijke is gemachtigd.

2. De Betrokkenen

1. Ter uitvoering van de Opdracht verwerkt KdB Persoonsgegevens van Betrokkenen. De Betrokkenen van wie Persoonsgegevens worden verwerkt, zijn:

a. Werknemers die in dienst zijn bij de Verantwoordelijke

b. Bezoekers van de winkel of winkels van de Verantwoordelijke

c. Bezoekers van de website van de Verantwoordelijke

d. Leveranciers die goederen of diensten leveren aan de Verantwoordelijke

2. Gegevens van andere Betrokkenen worden niet door KdB voor de Verantwoordelijke verwerkt.

3.Uitvoering verwerking

1. KdB verbindt zich om onder de voorwaarden van deze Verwerkersovereenkomst en in overeenstemming met de AVG en/of andere toepasselijke wet- en regelgeving de Opdracht uit te voeren voor Verantwoordelijke.

2. Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. KdB verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.

3. KdB verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de schriftelijke instructies van Verantwoordelijke, in overeenstemming met de door Verantwoordelijke bepaalde doeleinden en middelen en met inachtneming van de door de Verantwoordelijke vastgestelde bewaartermijnen.

4. KdB schakelt geen andere dan de reeds onder C, D en E reeds genoemde Subverwerker(s) in zonder de voorafgaande schriftelijke toestemming van de Verantwoordelijke. Verantwoordelijke geeft bij deze schriftelijk toestemming aan KdB om de reeds onder C, D en E reeds genoemde Subverwerkers in te schakelen bij de verwerking van Persoonsgegevens.

5. KbB legt jegens Subverwerkers dezelfde verplichtingen op als Verantwoordelijke in deze Verwerkersovereenkomst aan KdB heeft opgelegd.

6. KdB blijft jegens Verantwoordelijke verantwoordelijk voor de correcte nakoming van deze Verwerkersovereenkomst.

7. KdB informeert Verantwoordelijke op het moment dat KdB begint met het delen van Persoonsgegevens aan de Subverwerker.

4.Rechten van betrokkenen

1. Voor zover mogelijk verleent KdB de Verantwoordelijke bijstand bij het vervullen van de verplichtingen van Verantwoordelijke om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als KdB (rechtstreeks) verzoeken ontvangt van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zendt KdB deze verzoeken door naar Verantwoordelijke. Verantwoordelijke handelt deze verzoeken zelf af, waarbij KdB behulpzaam zal zijn als KdB in het kader van de Opdracht toegang heeft tot deze Persoonsgegevens. Hiervoor kan KdB kosten in rekening brengen.

0.Xxxx Protection Impact Assessment

1. KdB ondersteunt en verleent medewerking aan de Verantwoordelijke om te voldoen aan de uitvoering van een DPIA, indien de verantwoordelijke een DPIA moet uitvoeren.

2. KdB ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings)maatregelen die genomen moeten worden naar aanleiding van een DPIA.

3. KdB brengt bij de Verantwoordelijke slechts redelijke gemaakte kosten in rekening voor het voldoen aan deze verplichtingen. Deze redelijke kosten bedragen EUR 50,-- per uur.

4. KdB ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings)maatregelen die genomen moe ten worden naar aanleiding van overige analyses en veranderingen, zoals veranderende (inzichten in de) wetgeving.

6.Beveiligingsmaatregelen

1. KdB neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek.

2. KdB heeft in ieder geval de volgende interne technische en organisatorische maatregelen genomen:

a. het uitwisselen van persoonsgegevens binnen KdB gebeurt uitsluitend via een beveiligde verbinding (versleuteld mailverkeer) plaats. Uitwisseling van vertrouwelijke informatie via privé e-mailaccounts van werknemers of via applicaties als WhatsApp, Dropbox of WeTransfer is niet toegestaan;

b. vertrouwelijke informatie wordt uitsluitend opgeslagen in het ICT-systeem van KdB en niet daarbuiten. Het is ook niet toegestaan vertrouwelijke informatie naar externe gegevensdragers te kopiëren, tenzij dit noodzakelijk is en deze gegevens zijn versleuteld;

c. iedere werknemer draagt ervoor zorg dat zijn/haar wachtwoord voor het ICT-systeem van het kantoor van KdB voldoende sterk is en periodiek wordt gewijzigd;

d. het is niet toegestaan apparatuur als laptops, tablets en mobiele telefoons onbeheerd buiten het kantoor van KdB achter te laten. Toegang tot dergelijke apparatuur dient te zijn afgeschermd met een wachtwoord;

e. inloggegevens worden vertrouwelijk behandeld en worden niet met derden te worden gedeeld. Uitsluitend in voorkomende gevallen mogen inloggegevens vertrouwelijk met een andere werknemer worden gedeeld, zoals in geval van waarneming tijdens verlof;

f. bij (dagelijks) vertrek van het kantoor van KdB dient iedere werknemer zijn/haar desktop computer volledig uit te loggen, af te sluiten en eventuele papieren dossiers volledig en veilig op te bergen;

g. het is niet toegestaan, zonder toestemming van KdB, software te downloaden en/of om firewalls of virusscanners aan te passen of te verwijderen;

h. een thuiscomputer van een werknemer waarmee verbinding wordt gemaakt met het netwerk van het kantoor van KdB (VPN-verbinding) dient te zijn voorzien van actieve wachtwoordbeveiliging, firewall en virusscanner. Veiligheidsupdates dienen tijdig te worden uitgevoerd. Er mag geen verbinding worden gelegd via openbare wifi- netwerken. Het is niet toegestaan vertrouwelijke informatie op de thuiscomputer op te slaan of om papieren dossiers of externe gegevensdragers (zoals een laptop, tablet of externe harde schijn) met vertrouwelijke informatie onbeheerd in een auto of elders buiten het kantoor van KdB achter te laten;

i. bij vertrek van het kantoor van KdB dient iedere werknemer te controleren of er nog andere werknemers in het pand aanwezig zijn. De laatst aanwezige werknemer zorgt ervoor dat alle ramen en deuren zijn gesloten;

j. toegang tot het pand is alleen mogelijk met aan werknemers verstrekte sleutels. Sleutels mogen niet aan derden worden afgegeven;

k. werknemers van KdB zijn contractueel verplicht tot geheimhouding.

3. KdB staat ervoor in dat personen die handelen onder haar gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken.

4. Indien KdB tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze Verwerkersovereenkomst en/of uit de wet, deze maatregelen op kosten van KdB uit te voeren of te laten voeren.

5. KdB zal Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen van ieder Datalek betreffende de Persoonsgegevens. KdB doet dit uiterlijk binnen 24 uur na ontdekking van het Datalek. KdB brengt hier geen kosten voor in rekening.

6. KdB zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en regelgeving, deze Verwerkersovereenkomst en de overige instructies van Verantwoordelijke te voldoen.

7. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is de verantwoordelijkheid van Verantwoordelijke.

7.Overzicht van verwerkingen

1. Verantwoordelijke zal een Overzicht van verwerkingen bijhouden van alle Persoonsgegevens die hij verwerkt. In dit overzicht legt hij in ieder geval zijn eigen naam en contactgegevens, de te verwerken categorieën van Persoonsgegevens, de verwerkingsdoeleinden en de categorieën van Betrokkenen vast.

2. KdB zal ook een Overzicht van verwerkingen bijhouden van alle Persoonsgegevens die zij vanwege de Opdracht voor de Verantwoordelijke verwerkt. In dit overzicht legt zij in ieder geval haar naam, contactgegevens en de naam van de Verantwoordelijke waarvoor zij Persoonsgegevens verwerkt, de categorieën Persoonsgegevens die zij voor de Verantwoordelijke verwerkt en een beschrijving van de genomen beveiligingsmaatregelen, vast.

8.Aansprakelijkheid

1. Indien KdB ten gevolge van een toerekenbare tekortkoming van Verantwoordelijke in de uitvoering van deze Verwerkersovereenkomst schade lijdt, dan is Verantwoordelijke daarvoor jegens KdB aansprakelijk.

2. Verantwoordelijke verklaart door ondertekening van deze Verwerkersovereenkomst zich adequaat te verzekeren voor haar eventuele aansprakelijkheid jegens KdB of derden, waaronder doch niet beperkt Betrokkene(n).

3. KdB is jegens Verantwoordelijke niet aansprakelijk voor eventuele schade van Verantwoordelijke ten gevolge van de uitvoering en/of beëindiging van deze Verwerkersovereenkomst en/of de Opdracht, daaronder begrepen maar niet beperkt tot eventuele door de Autoriteit Persoonsgegevens opgelegde boetes. KdB is jegens Verantwoordelijke evenmin aansprakelijk voor indirecte schade, daaronder begrepen maar niet beperkt tot gevolgschade, gederfde winst, schade door bedrijfsstagnatie en/of schade van derden.

4. Voorts is KdB jegens Verantwoordelijke niet aansprakelijk voor eventuele overige schade van Verantwoordelijke die op enigerlei wijze verband houdt met dan wel voortvloeit uit deze Verwerkersovereenkomst althans de uitvoering ervan, behoudens voor zover sprake is van opzet of grove schuld aan de zijde van KdB.

5. De aansprakelijkheid van KdB jegens Verantwoordelijke is in ieder geval beperkt tot het bedrag dat in het desbetreffende geval onder de aansprakelijkheidsverzekering van KdB wordt uitbetaald.

6. In het geval dat de aansprakelijkheidsverzekering van KdB geen uitkering doet, is de aansprakelijkheid van KdB in ieder geval beperkt tot het totaalbedrag van de ontvangen vergoeding van de Verantwoordelijke die uit hoofde van de Opdracht.

7. Verantwoordelijke vrijwaart KdB voor aanspraken van wie dan ook die jegens Verantwoordelijke te gelde worden gemaakt en verband houden met of voorvloeien uit de uitvoering van de KdB Diensten voor de Verantwoordelijk of derden.

9.Doorgifte van persoonsgegevens

1. KdB verwerkt de Persoonsgegevens enkel in landen binnen de Europese Unie. Doorgifte van de Persoonsgegevens naar landen buiten de Europese Unie is niet toegestaan.

2. KdB meldt Verantwoordelijke binnen welk land of welke landen de Persoonsgegevens worden verwerkt. Dit doet KdB ook als de Persoonsgegevens door een Datalek of anderszins abusievelijk in een land terecht zijn gekomen.

10.Geheimhouding

1. Op alle Persoonsgegevens die KdB in het kader van de Opdracht ontvangt en/of verzamelt, rust een geheimhoudingsplicht jegens derden. KdB en alle personen in dienst van, dan wel werkzaam ten behoeve van KdB, zijn verplicht tot geheimhouding van de Persoonsgegevens.

2. KdB draagt er zorg voor dat alle mensen die voor KdB werkzaam zijn verplicht worden tot geheimhouding.

3. Deze geheimhoudingsplicht is niet van toepassing indien in deze Verwerkersovereenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

4. KdB zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht. KdB doet dit uiterlijk binnen 24 uur na ontdekking van de schending van de geheimhouding.

11.Duur en beëindiging

1. Deze Verwerkersovereenkomst treedt tussen Partijen in werking op de datum dat de Verantwoordelijke deze Verwerkersovereenkomst online via het dashboard van KdB voor akkoord heeft geaccepteerd.

2. Deze Verwerkersovereenkomst is aangegaan voor een duur die gelijk is aan de duur van de Opdracht. Bij een verlenging van de duur van de Opdracht zal ook deze Verwerkersovereenkomst met dezelfde duur worden verlengd. Beëindiging van de Opdrachtovereenkomst doet deze Verwerkersovereenkomst op hetzelfde moment eindigen.

3. Als deze Verwerkersovereenkomst eindigt of wordt ontbonden blijft het bepaalde in deze Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze Verwerkersovereenkomst voort te duren, van kracht.

4. Ieder der partijen is gerechtigd de Verwerkersovereenkomst met onmiddellijke ingang, zonder inachtneming van een opzegtermijn, zonder nadere ingebrekestelling en zonder voorafgaande rechterlijke tussenkomst, geheel of gedeeltelijk, per aangetekende brief en met opgave van redenen (tussentijds) te beëindigen, indien:

a. de andere partij surseance van betaling aanvraagt;

b. de andere partij in staat van faillissement is verklaard;

c. de andere partij een rechtspersoon is en deze wordt ontbonden;

d. de andere partij haar beroeps- dan wel bedrijfsactiviteiten staakt voor een periode langer dan 30 dagen aaneengeschakeld;

e. de andere partij een rechtspersoon is en de zeggenschap over deze of een beslissende stem in deze bij een derde komt te berusten.

5. Partijen kunnen deze Verwerkersovereenkomst met onmiddellijke ingang tussentijds opzeggen per aangetekende brief, in geval van:

a. aanvraag door of verlening van surseance van betaling aan de andere partij;

b. aanvraag van faillissement door of faillietverklaring van de andere partij; of

c. liquidatie van de andere partij of niet tijdelijke stopzetting van de onderneming van de andere partij.

12.Vernietiging Persoonsgegevens

1. KdB stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, maar uiterlijk binnen tien werkdagen na het einde van deze Verwerkersovereenkomst of de Opdracht, ter beschikking aan Verantwoordelijke.

2. KdB is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.

3. Zodra na het einde van deze Verwerkersovereenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een door Verantwoordelijke schriftelijk geaccepteerd formaat bezit, verwijdert KdB alle Persoonsgegevens volledig en onherroepelijk binnen veertien dagen.

4. KdB kan afwijken van het bepaalde in lid 1 en 2 van dit artikel, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.

13.Controle

1. Verantwoordelijke is gerechtigd de naleving van het bepaalde in deze Verwerkersovereenkomst ten hoogste eenmaal per jaar te controleren. Verantwoordelijke kan de controle na toestemming van KdB daartoe zelf doen of kan het laten uitvoeren door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.

2. Verantwoordelijke draagt de kosten van controle. Indien KdB tekortschiet, zal KdB die tekortkoming op zo kort mogelijke termijn herstellen.

3. Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan KdB, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.

14. Onverbindende bepaling

Indien één of meer bepalingen van deze Verwerkersovereenkomst in rechte onverbindend worden verklaard of om welke reden dan ook anderszins onverbindend

mocht(en) blijken te zijn, zal daardoor de geldigheid van de overige bepalingen van de Verwerkersovereenkomst niet worden aangetast. In een dergelijk geval zullen Partijen in overleg treden teneinde de niet-verbindende bepaling(en) te vervangen door een bepaling die wel verbindend is (zijn) doch die zo min mogelijk afwijkt van de onverbindend geachte bepaling(en), mede gelet op het doel en de strekking van die bepaling alsmede van de Verwerkersovereenkomst.

15.Overig

1. Deze Verwerkersovereenkomst kan alleen schriftelijk worden gewijzigd door de Partijen.

2. Deze Verwerkersovereenkomst bevat de gehele overeenstemming tussen Partijen met betrekking tot de in deze Verwerkersovereenkomst neergelegde onderwerpen en afspraken. Deze Verwerkersovereenkomst vervangt iedere vroegere schriftelijke dan wel mondelinge overeenkomst tussen Partijen.

16.Toepasselijk recht en forumkeuze

1. Op deze Verwerkersovereenkomst en alle eventuele aanpassingen daarop is Nederlands recht van toepassing.

2. Partijen verklaren de Rechtbank Amsterdam bij uitsluiting bevoegd om van geschillen, direct of indirect voortvloeiende uit deze Verwerkersovereenkomst, kennis te nemen.