EENZIJDIG)
(EENZIJDIG)
1 Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verwerkingsverantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaken.
Betrokkene(n): degene op wie een Persoonsgegeven betrekking heeft.
Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: anderen dan de Verwerker, Verwerkingsverantwoordelijke en/of de Medewerkers.
Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
Medewerkers: personen die werkzaam zijn bij de Verwerker, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verwerkingsverantwoordelijke.
Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten van Werkzaamheden door Verwerker ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die in het kader van de Overeenkomst worden verwerkt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Sub-verwerker: een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerker: Accountancy Xxxxx xxx Xxxx, gevestigd te Helden aan de Xxxxx xxx Xxxxxxxxx 00 en kantoorhoudende aan de Xxxxxxxxxxx 00x xx Xxxxxx (tevens te noemen de ‘Opdrachtnemer’), echter uitsluitend indien en voor zover Accountancy Xxxxx xxx Xxxx als Verwerker ingevolge de Algemene Verordening Gegevensbescherming (AVG) dient te worden aangemerkt.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden en die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.
2 Toepasselijkheid verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens, uitsluitend indien en voor zover Opdrachtnemer bij de uitvoering van de Overeenkomst en de te verrichten Werkzaamheden als Verwerker dient te worden aangemerkt, dit conform artikel 28 lid 3 van de AVG.
2.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens betreffende bepaalde categorieën van betrokkenen, zoals omschreven in Annex 1.
2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verwerkingsverantwoordelijke.
2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verwerkingsverantwoordelijke bindend voor Verwerker.
2.5 Deze verwerkersovereenkomst maakt, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3 Reikwijdte verwerkersovereenkomst
3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verwerkingsverantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verwerkingsverantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4 De Verwerkingsverantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
3.6 De Verwerking van de Gegevens zal de Verwerker niet langer of uitgebreider doen dan noodzakelijk voor de uitvoering van de Overeenkomst. De Verwerking vindt plaats volgens schriftelijke instructies van de Opdrachtgever, tenzij de Opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie naar de mening van de Opdrachtnemer een inbreuk maakt op de AVG stelt de Opdrachtnemer de Opdrachtgever daarvan zo spoedig mogelijk in kennis.
3.7 Indien de Overeenkomst betrekking heeft op het door de Opdrachtnemer uitvoeren van Werkzaamheden met betrekking tot samenstel-, beoordelings- en/of controlewerkzaamheden, en/of overige Assurance opdrachten en/of overige opdrachten, zal Opdrachtnemer in beginsel als Verwerkingsverantwoordelijke optreden, een en ander conform ook de hierbij geldende richtsnoeren en/of regelgeving van de beroepsorganisatie voor accountants (hierna te noemen ‘de NBA’), behoudens voor zover ingevolge de AVG en/of de door de NBA aangegeven richtsnoeren of nadere (toekomstige) regelgeving voortvloeit dat Opdrachtnemer als Verwerker heeft te gelden. Dit kan bijvoorbeeld aan de orde zijn indien de Opdrachtnemer een opdracht verricht volgens de Standaard 4400 (rapport van feitelijke bevindingen) als de dienst gericht is op de verwerking van persoonsgegevens.
3.8 Voor het opstellen en controleren van fiscale aangiften, belastingaanslagen en het verrichten van (fiscale) advieswerkzaamheden verricht de Opdrachtnemer deze Werkzaamheden als verwerkingsverantwoordelijke en niet als Verwerker. De Opdrachtnemer bepaalt hierbij het doel en de middelen van de verwerking van de persoonsgegevens.
3.9 Indien de Overeenkomst en de uit te voeren Werkzaamheden door Opdrachtnemer (tevens) betrekking hebben op een salarisverwerkingsopdracht geldt daarbij – conform de geldende richtsnoeren van de NBA - dat indien Opdrachtnemer een uitgebreidere vorm van salarisverwerking verricht (en niet alleen een ‘kale’ loonverwerking waarbij de IT- infrastructuur/loonpakket aan de Opdrachtgever ter beschikking is gesteld), zoals bijvoorbeeld controlerende en adviserende loonadministratieve werkzaamheden, de Opdrachtnemer als Verwerkingsverantwoordelijke optreedt en doel en middelen voor de verwerking van persoonsgegevens bepaalt.
3.10 Indien de Overeenkomst en de uit te voeren Werkzaamheden door Opdrachtnemer (tevens) betrekking heeft op een administratie dienstverlening geldt daarbij – conform de geldende richtsnoeren van de NBA - dat indien Opdrachtnemer namens de Opdrachtgever de administratie voert (in een eigen of door de klant aangeschaft boekhoudpakket), waarbij de Opdrachtnemer tevens adviseert of de financiële administratie van de Opdrachtgever op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke vereisten terzake, de Opdrachtnemer als Verwerkingsverantwoordelijke optreedt en doel en middelen voor de verwerking van persoonsgegevens bepaalt.
3.11 De Opdrachtnemer treedt op als Verwerkingsverantwoordelijke indien de Opdrachtgever zelf een boekhoudpakket heeft aangeschaft en de Opdrachtnemer (uitsluitend) meekijkt met de door de Opdrachtgever zelf gevoerde administratie waarbij de Opdrachtnemer tevens adviseert of de financiële administratie van de Opdrachtgever op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke vereisten terzake.
3.12 Daar waar de Opdrachtnemer enkel een boekhoudpakket aan zijn klant (Opdrachtgever) ter beschikking stelt, kwalificeert de Opdrachtnemer als Verwerker. Op de klant (Opdrachtgever) rust de plicht tot het voeren van een deugdelijke administratie en het is de klant (Opdrachtgever) die het doel en de middelen voor de verwerking van de gegevens bepaalt. De Opdrachtnemer verwerkt de gegevens overeenkomstig de instructies van de klant (Opdrachtgever) en onder diens verantwoordelijkheid.
4 Geheimhouding
4.1 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
4.2 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig
wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
4.3 De Opdrachtnemer zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 5 en artikel 9 (Sub- verwerkers). Opdrachtnemer beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. De Opdrachtnemer zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
4.4 Accountants die als Medewerker werkzaam zijn bij of ten behoeve van Opdrachtnemer nemen met betrekking tot de aan hen toevertrouwde Persoonsgegevens geheimhouding in acht zoals deze voor accountants geldt op basis van de geldende beroeps- en gedragsregels. Een overzicht van deze beroeps- en gedragsregels zijn te vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (xxx.xxx.xx).
5 Geen verdere verstrekking
5.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verwerkingsverantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verwerkingsverantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan.
6 Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
6.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
6.3 De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.
6.4 De Opdrachtgever heeft zich goed geïnformeerd over de door Opdrachtnemer genomen beveiligingsmaatregelen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking door de Verwerker.
7 Toezicht op naleving
7.1 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen vijf werkdagen.
7.2 Verwerkingsverantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verwerkingsverantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke
medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verwerkingsverantwoordelijke.
7.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verwerkingsverantwoordelijke dan wel een daartoe door Verwerkingsverantwoordelijke ingeschakelde derde in ieder geval:
- alle relevante inlichtingen en documenten verstrekken;
- toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens.
7.4 Verwerkingsverantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker zal op kosten van Verwerkingsverantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor Verwerkingsverantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.
8 Datalek
8.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, c.q. melding hierover van een Sub-verwerker heeft ontvangen, stelt Verwerker Verwerkingsverantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verwerkingsverantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen. Opdrachtnemer streeft ernaar dit te doen binnen 48 uur nadat dit Xxxxxxx is ontdekt, of zo snel mogelijk nadat Xxxxxxxxxxxxx daarover door haar Sub-verwerkers is geïnformeerd.
8.2 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
8.3 Indien Opdrachtnemer in het kader van de Opdracht als Verwerkingsverantwoordelijke optreedt zal zij in het geval van een Datalek, indien nodig, zelfstandig melding doen aan de Autoriteit Persoonsgegevens. Vanwege de aard van de onderliggende opdracht, en de daarbij op haar rustende contextuele verwerkingsverantwoordelijkheid voor de verwerking, is het niet altijd logisch dat de Opdrachtnemer Betrokkenen - indien nodig - rechtstreeks informeren over een Datalek. In voorkomende gevallen zal de Opdrachtnemer met de Opdrachtgever gezamenlijk bepalen welke partij, bezien vanuit het perspectief van Betrokkenen, de meest logische is om het Datalek te melden aan Betrokkenen.
8.4 Het (bij)houden van een register van Datalekken is altijd de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
9 Sub-verwerkers
9.1 De Opdrachtnemer kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Overeenkomst, bijvoorbeeld als deze Sub- verwerkers over specialistische kennis of middelen beschikken waarover de Opdrachtnemer niet beschikt.
9.2 Indien Verwerker voorafgaande (algemene) toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan informeert Verwerker Verwerkingsverantwoordelijke over het voornemen de sub-verwerker in te schakelen. Verwerker geeft Verwerkingsverantwoordelijke een termijn van 7 werkdagen om bezwaar te maken tegen het inschakelen van de sub-verwerker. Verwerker zal de sub-verwerker pas inschakelen indien de termijn van 7 dagen is verstreken zonder dat Verwerkingsverantwoordelijke bezwaar heeft gemaakt, of indien
Verwerkingsverantwoordelijke heeft aangegeven geen bezwaar te maken tegen het inschakelen van de sub-verwerker.
9.3 Indien Verwerker geen voorafgaande toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan vraagt Xxxxxxxxx voorafgaande toestemming voor het inschakelen van de sub- verwerker. De Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen betekenen dat de Opdrachtnemer de Overeenkomst moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan de Opdrachtnemer.
9.4 Verwerker draagt er zorg voor dat de sub-verwerker is onderworpen aan deze verwerkersovereenkomst dan wel aan een sub- verwerkersovereenkomst die dezelfde plichten bevat als deze verwerkersovereenkomst.
Met ondertekening van de Overeenkomst geeft de Opdrachtgever tevens toestemming voor het inschakelen van de Sub-Verwerkers die bij deze Overeenkomst horen en die in Annex 3 bij deze Privacy voorwaarden zijn vermeld.
10 Medewerkingsplichten en rechten van betrokkenen
10.1 Verwerker zal Verwerkingsverantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
10.2 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.
10.3 Als Verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker Verwerkingsverantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die Verwerkingsverantwoordelijke schriftelijk aan Xxxxxxxxx geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van Verwerkingsverantwoordelijke.
10.4 Indien instructies van Verwerkingsverantwoordelijke aan Verwerker strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verwerkingsverantwoordelijke.
11 Duur en beëindiging
11.1 Deze verwerkersovereenkomst is geldig zolang Xxxxxxxxx de opdracht heeft van Verwerkingsverantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verwerkingsverantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
11.2 Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen 4 weken na beëindiging van de wettelijke bewaarplicht.
11.3 Bij beëindiging van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker kan Verwerkingsverantwoordelijke binnen twee maanden na beëindiging van de Overeenkomst aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verwerkingsverantwoordelijke, voor rekening van Verwerkingsverantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Gegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Gegevens redelijkerwijs niet
kunnen worden verstrekt aan Verwerkingsverantwoordelijke, zal Verwerker aan Verwerkingsverantwoordelijke een toegankelijke, leesbare kopie van de Gegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Gegevens overgaan, tenzij Verwerker op grond van een wettelijke plicht gehouden is Gegevens op te slaan.
11.4 Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.
11.5 De wijze van vernietiging wordt vastgesteld in overleg met Verwerkingsverantwoordelijke. Na vernietiging verstrekt de Verwerker hiervan een schriftelijke bevestiging aan de Verwerkingsverantwoordelijke.
11.6 Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.
12 Aansprakelijkheid
12.1 Opdrachtnemer is slechts aansprakelijk, een en ander overeenkomstig hetgeen in de AVG is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid en met inachtneming van het in dit artikel bepaalde. Opdrachtnemer is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens de Overeenkomst en/of niet-nakoming van verplichtingen door Opdrachtnemer onder deze Verwerkersovereenkomst.
12.2 Opdrachtnemer is niet aansprakelijk voor schade die het gevolg is van het door de Opdrachtgever (als Verwerkingsverantwoordelijke of anderszins) niet naleven van de AVG of andere wet- of regelgeving. De Opdrachtgever vrijwaart de Opdrachtnemer ook voor aanspraken van derden of Betrokkene(n) op grond van zulke schade en stelt Opdrachtnemer op eerste verzoek volledig schadeloos voor alle schaden en kosten. De vrijwaring geldt niet alleen voor de schade die derden of Betrokkene(n) hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die de Opdrachtnemer in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan de Opdrachtnemer worden opgelegd ten gevolge van het handelen van de Opdrachtgever. Het voorgaande geldt evenzo voor aanspraken van Betrokkene(n) of derden waarmee Opdrachtgever een samenwerking is aangegaan of waarvan Opdrachtgever de Gegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van de Opdrachtgever.
12.3 De in de algemene voorwaarden van Opdrachtnemer overeengekomen beperking van de aansprakelijkheid van Opdrachtnemer is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Verwerkersovereenkomst en /of de Overeenkomst nimmer tot overschrijding van de beperking kan leiden.
13 Nietigheid en wijzigingen
13.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
13.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of andere eisen kan voor Opdrachtnemer aanleiding zijn deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Overeenkomst, of wanneer Opdrachtnemer niet kan voorzien in een passend niveau van bescherming, kan dit voor Opdrachtnemer reden zijn om de Overeenkomst te beëindigen.
14 Toepasselijk recht en forumkeuze
14.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
14.2 Als de Opdrachtgever algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in de algemene voorwaarden van de Opdrachtnemer, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
14.3 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij het Arrondissement Limburg.
ANNEX 1 – Gegevens, doeleinden en categorieën van betrokkenen
Gegevens
De Opdrachtgever laat de Opdrachtnemer de volgende Gegevens verwerken in het kader van de Overeenkomst, waaronder maar niet uitsluitend, kunnen vallen de Werkzaamheden zoals vermeld in de Overeenkomst tussen Opdrachtgever en Opdrachtnemer op het gebied van:
- accountancy, financiële administratie en boekhouding;
- fiscale dienstverlening (belastingaangiften en advisering;
- salarisadministratie, daaronder begrepen het incidenteel opstellen van arbeidscontracten o.b.v. een model en het doorgeven van gewerkte uren (doch niet het opstellen van loonstroken);
- bedrijfsadvisering in de meest ruime zin des woords, waaronder begrepen advisering inzake bedrijfsopvolging, overnames, ondernemingsstructuur en begeleiding startende ondernemers;
- financiële en estate planning;
- diverse informatievoorziening zoals het versturen van nieuwsbrieven, mailings, etc. het voorgaande in de meest ruime zin des woords:
1. Naam (initialen, achternaam)
2. Telefoonnummer
3. E-mailadres
4. Geboortedatum
5. Woonplaats
6. Gegevens ID-bewijs (in verband met de Wwft)
7. Financiële gegevens, zowel zakelijk als privé
8. NAW-gegevens en BSN van personeelsleden van Verwerkingsverantwoordelijke
Doeleinden
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
1. De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker;
2. het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub-verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;
3. het gegevens- en technische beheer, ook door een sub-verwerker;
4. de hosting, ook door een sub-verwerker.
De Opdrachtgever geeft expliciet haar toestemming aan Opdrachtnemer om Xxxxxxxx te delen met derden zoals bijvoorbeeld de belastingdienst, bankinstellingen, pensioenfondsen, het UWV en/of verzekeraars voor zover nodig ter uitvoering van de Overeenkomst, uit een wettelijke verplichting voortvloeit of anderszins ingevolge de AVG is toegestaan. Hiermee wordt uiterst zorgvuldig omgegaan. Vertrouwelijkheid en geheimhouding naar derden is hiervoor het uitgangspunt. Dit geldt uiteraard ook voor inloggegevens zoals gebruikersnamen en wachtwoorden. De technische en organisatorische beveiliging is hierop afgestemd.
De verwerking vindt plaats volgens instructies van de Opdrachtgever, tenzij Opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).
Categorieën van betrokkenen
De Gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:
1. Werknemers van Opdrachtgever, alsmede stagiaires, uitzendkrachten, gedetacheerden en andere daarmee gelijk te stellen personen;
2. Ondernemers/eigenaren van besloten vennootschappen, eenmanszaken, vennootschap onder firma’s en maatschappen of andere samenwerkingsverbanden;
3. Bestuurders van stichtingen, verenigingen en andere rechtspersonen;
4. Leveranciers en afnemers van Opdrachtgever;
5. Partner, kinderen en andere inwonende familieleden van Opdrachtgever;
ANNEX 2 - Beveiligingsmaatregelen
Beveiligingsmaatregelen
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
Logische toegangscontrole; d.m.v. persoonsgebonden userid en wachtwoord waaraan de volgende eisen worden gesteld:
- Minimaal 8 karakters lang
- Minimaal 1 hoofdletter
- Minimaal 1 cijfer
- Minimaal 1 speciaalteken
- Mag niet gelijk zijn of lijken op gebruikersnaam en/of naam van medewerker
- Mag niet gebruikt zijn als 1 van de laatste 25 wachtwoorden
Deze toegangscontrole bepaalt tot welke applicaties toegang wordt verleend;
Bij sommige applicaties is sprake van een aparte toegangscontrole;
Gebruik van software van erkende leveranciers. De applicaties betreffen voornamelijk cloudoplossingen.
Cliëntdata wordt opgeslagen in een beveiligde Microsoft SharePoint omgeving
Er wordt continue aandacht besteed aan de gevaren van Ransomware en de noodzaak tot geheimhouding van eigen inlogcodes;
Bij het uitwisselen van vertrouwelijke informatie wordt aandacht besteed aan beveiliging van de berichten;
Met derden zijn/worden sub-verwerkers overeenkomsten afgesloten;
Met de outsourcingspartner zijn dagelijkse back-up procedures afgesproken.
Gebruik disclaimer in e-mail
Backup- en herstelprocedures, waarbij toegang tot deze data is voorzien van benodigde toegangsbeveiliging
Beveiliging van netwerkverbindingen (intern en extern beheerd)
Gecertificeerd afvoeren van documenten met persoonsgegevens en harde schijven/elektronica
Beveiligingsbeleid met onder meer firewall, spamfilter en virusscanner
Digitale wachtwoordenkluis
Schermbeveiliging en printer/scannerbeveiliging met wachtwoord
Indringeralarm/alarmsysteem in het bedrijfspand van Opdrachtnemer met persoonlijke code
ANNEX 3 – Overzicht sub-verwerkers
De volgende sub-verwerkers worden ingeschakelt bij het uitvoeren van de Overeenkomst:
Visma Software
x-Xxxxxxxxxx.xx Software
Nextens Software
MLE365 Software
ValidSign Software
2WCF ICT-leverancier/ICT-support
CVE-solutions Tussenpersoon Visma
Salarispoint Kantoor salarisprofessionals
Verlinden Belastingadvies B.V. Belastingadviseur
Auxilium Adviesgroep Advieskantoor voor accountants