PRIVACY VOORWAARDEN A&L ADVISEURS & ACCOUNTANTS B.V.
PRIVACY VOORWAARDEN A&L ADVISEURS & ACCOUNTANTS B.V.
Inclusief verwerkersovereenkomst
1. Algemeen
In deze Privacy voorwaarden wordt verstaan onder:
a. Algemene voorwaarden: de Algemene voorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze Privacy voorwaarden onlosmakelijk deel uitmaken.
b. Verwerker: A&L Adviseurs & Accountants B.V., statutair gevestigd te Hengelo en kantoorhoudende aan de Xxxxxxxxxxxxx 000, 0000 XX Xxxxxxx, xxxxxxxx Xxxxxxxxxxxxx.
c. Gegevens: de persoonsgegevens zoals omschreven in Annex 1 en zoals nader gedefinieerd onder Persoonsgegevens.
d. Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
e. Opdrachtnemer: A&L Adviseurs & Accountants B.V., statutair gevestigd te Hengelo en kantoorhoudende aan de Xxxxxxxxxxxxx 000, 0000 XX Xxxxxxx, xxxxxxxx Xxxxxxxxx.
f. Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van
Werkzaamheden door Opdrachtnemer ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging of een andere overeenkomst.
g. Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van
Werkzaamheden en die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
h. Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven door Opdrachtgever, of die door Opdrachtnemer uit anderen hoofde worden verricht ten behoeve van de Opdrachtgever. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de Overeenkomst tussen Opdrachtgever en Opdrachtnemer betreffende de
dienstverlening door Opdrachtnemer ten behoeve van de Opdrachtgever op het gebied van accountancy, financiële administratie en boekhouding, fiscale dienstverlening (belastingaangiften en advisering), salarisadministratie en bedrijfsadvisering, dit in de meest brede zin des woords, zoals ook gespecificeerd op Annex 1.
i. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (,,de Betrokkene") die in het kader van de Overeenkomst worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
j. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
k. Medewerkers: personen die werkzaam zijn bij de Opdrachtnemer, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
l. Sub-verwerker: een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
m. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
n. Derden: anderen dan de Opdrachtnemer, Opdrachtgever en/of de Medewerkers.
o. Betrokkene(n): degene op wie een Persoonsgegeven betrekking heeft.
2. Toepasselijkheid Privacy voorwaarden
2.1 Deze Privacy voorwaarden zijn van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Opdrachtnemer voortvloeiende
Werkzaamheden en de in dat kader te verzamelen gegevens.
2.2 Verantwoordelijke is verantwoordelijk voor de vermelding van de Gegevens zoals omschreven in Annex 1.
2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.
2.4 Dit zijn Privacy voorwaarden in de zin van Wet Bescherming Persoonsgegevens (Wbp)
respectievelijk de Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. De AVG vervang de Wpb per 25 mei 2018.
2.5 Deze Privacy voorwaarden maken, net als de Algemene voorwaarden van Verwerker, deel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
2.6 Deze Privacy voorwaarden treden in werking op de datum waarop de Overeenkomst van kracht wordt en eindigt op het moment dat de Verwerker geen Persoonsgegevens meer onder zich heeft die zij in het kader van de Onderliggende Opdracht voor de Opdrachtgever verwerkt.
3. Reikwijdte Privacy voorwaarden
3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze Privacy voorwaarden.
3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze Privacy voorwaarden, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4 De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
3.6 De Verwerking van de Gegevens zal de Verwerker niet langer of uitgebreider doen dan noodzakelijk voor de uitvoering van de Overeenkomst. De Verwerking vindt plaats volgens schriftelijke
instructies van de Opdrachtgever, tenzij de Opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een "ongebruikelijke transactie" moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie naar de mening van de Opdrachtnemer een inbreuk maakt op de AVG stelt de Opdrachtnemer de Opdrachtgever daarvan zo spoedig mogelijk in kennis.
4. Verplichting Verantwoordelijke
4.1 Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.
4.2 De verwerking vindt plaats onder de verantwoordelijkheid van de Verantwoordelijke. De Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen
beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Verantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. De Verantwoordelijke moet er voor zorgen dat deze het doel en de middelen van de
Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de
Persoonsgegevens berust nooit bij de Verwerker. Als de Opdrachtnemer of Opdrachtgever een
zelfstandige verplichting mocht hebben op basis van wettelijke voorschriften of de voor accountants
geldende beroeps- en gedragsregels met betrekking tot Verwerking van Persoonsgegevens, dan leeft de Opdrachtnemer en/of Opdrachtgever deze verplichtingen na. Een overzicht van deze
4.3 Zowel de Opdrachtgever als de Opdrachtnemer is wettelijk verplicht de vigerende wet- en
regelgeving op het gebied van privacy na te leven. In het bijzonder dient de Verantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de
Persoonsgegevens. De Verwerker zorgt ervoor dat zij voldoen aan de op de Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in de Overeenkomst.
4.4 Als Opdrachtnemer (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan kan het voorkomen dat Opdrachtnemer deze verzoeken aan Opdrachtgever doorstuurt voor verdere afhandeling. Vanwege de aard van de onderliggende Overeenkomst, en de daarbij Opdrachtnemer mogelijkerwijs rustende contextuele verwerkings-verantwoordelijkheid voor de verwerking, is het niet altijd passend als Opdrachtnemer (rechtstreeks) aan haar gerichte verzoeken van
Betrokkene(n) om uitoefening van hun rechten zelf af zouden handelen. In dergelijke gevallen zenden Opdrachtnemer deze verzoeken door naar Opdrachtgever. Opdrachtgever handelt deze verzoeken zelf af, waarbij Opdrachtnemer de Opdrachtgever behulpzaam kan zijn als Opdrachtnemer in het kader van de onderliggende Overeenkomst toegang hebben tot deze
Persoonsgegevens.
5. Geheimhouding
5.1 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke
verplichtingen.
5.2 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
5.3 De Opdrachtnemer zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de
Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 6 en artikel 10 (Sub-verwerkers). Opdrachtnemer beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. De Opdrachtnemer zorgt er bovendien voor dat de
Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de
verantwoordelijkheden en wettelijke verplichtingen.
5.4 Accountants die als Medewerker werkzaam zijn bij of ten behoeve van Opdrachtnemer nemen met betrekking tot de aan hen toevertrouwde Persoonsgegevens geheimhouding in acht zoals deze voor accountants geldt op basis de beroeps- en gedragsregels. Een overzicht van deze beroeps- en
gedragsregels zijn te vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (xxx.xxx.xx).
6. Geen verdere verstrekking
6.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving of geldende gedrags- en beroepsregels daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving of geldende gedrags- en
beroepsregels verplicht ís om de Gegevens te delen met of te verstrekken aan derden, dan zal
Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
7. Bevelligingsmaatregelen
7.1 Verwerker zal - rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging -
technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te beveiligen
tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
7.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
7.3 De Opdrachtgever heeft zich goed geïnformeerd over de door Opdrachtnemer genomen
beveiligingsmaatregelen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de
Verwerking door de Verwerker. De Opdrachtnemer zal de Opdrachtgever informeren als één van de beveiligingsmaatregelen substantieel wijzigt.
7.4 Bij het nemen van de beveiligingsmaatregelen is door Opdrachtnemer rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. De Opdrachtnemer biedt passende waarborgen voor de toepassing van de technische en
organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen.
8. Toezicht op naleving
8.1 Verwerker stelt Verantwoordelijke in staat om na een daartoe strekkend verzoek eenmaal per
kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van Verwerker te controleren van de privacwoorwaarden en met name van de beveiligingsmaatregelen die zijn genomen zoals genoemd in artikel 7.
8.2 Verwerker is verplicht in het kader van de controle genoemd in líd 1 een overzicht te verstrekken van de Gegevens die worden verwerkt.
8.3 Verwerker verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan
Verantwoordelijke waarin Xxxxxxxxx informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 7.
8.4 Verantwoordelijke en Verwerker kunnen naar aanleiding van de onder artikel 8.3 benoemde rapportage samen nadere beveiligingsmaatregelen overeenkomen.
8.5 Als de Opdrachtgever de wijze waarop de Opdrachtnemer de beveiligingsmaatregelen naleeft wilt laten inspecteren, dan kan hiertoe een verzoek aan de Opdrachtnemer worden gedaan conform artikel 8.1, waarover vervolgens nadere afspraken gemaakt kunnen worden. De kosten van een
inspectie of uit te voeren audit – ook bij eventuele Sub-verwerkers - zijn voor rekening van de Opdrachtgever en een kopie van het inspectierapport zal aan de Opdrachtnemer ter beschikking worden gesteld. Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
9. Datalek
9.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede)
betrekking heeft of kan hebben op de Gegevens, c.q. de melding hierover van een Sub-verwerker heeft ontvangen, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen. Opdrachtnemer streeft ernaar dit te doen binnen 48 uur nadat zij dit Xxxxxxx hebben ontdekt, of zo snel mogelijk nadat Xxxxxxxxxxxxx daarover door haar Sub-verwerkers is
geïnformeerd.
9.2 Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan berokkenen en/of autoriteiten.
9.3 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de verantwoordelijkheid van de Verantwoordelijke. Het (bij)houden van een register van Datalekken is altijd de verantwoordelijkheid van de Verantwoordelijke.
10. Subverwerkers
10.1 De Opdrachtnemer kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Overeenkomst, bijvoorbeeld als deze Sub-
verwerkers over specialistische kennis of middelen beschikken waarover de Verwerker niet
beschikt. Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, legt Verwerker aan de betreffende derde deze Privacy voorwaarden op, dan wel sluit
Verwerker met deze subverwerker een (sub)verwerkersovereenkomst betreffende de verantwoordelijkheden en verplichtingen van de subverwerker.
10.2 Op verzoek van Opdrachtgever zal Opdrachtnemer een overzicht van de Sub-Verwerkers toesturen.
10.3 Voor het inschakelen van overige Sub-Verwerkers zal de Opdrachtnemer eerst om toestemming vragen van de Opdrachtgever. De Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen betekenen dat de Opdrachtnemer de Overeenkomst moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan de Opdrachtnemer.
11. Aansprakelijkheid
11.1 Verwerker is slechts aansprakelijk, een en ander overeenkomstig hetgeen in Wet Bescherming
Persoonsgegevens en de AVG is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid. Verwerker is slechts aansprakelijk voor schade die aan hem kan worden
toegerekend in het kader van zijn werkzaamheden volgens deze Privacy voorwaarden en/of niet- nakoming van verplichtingen door Verwerker onder deze Privacy voorwaarden.
11.2 Opdrachtnemer is niet aansprakelijk voor schade die het gevolg is van het door de Opdrachtgever (als Verantwoordelijke of anderszins) niet naleven van de AVG of andere wet- of regelgeving. De Opdrachtgever vrijwaart de Opdrachtnemer ook voor aanspraken van derden of Betrokkene(n) op grond van zulke schade en stelt Opdrachtnemer op eerste verzoek volledig schadeloos voor alle schaden en kosten. De vrijwaring geldt niet alleen voor de schade die derden of Betrokkene(n)
hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die de Opdrachtnemer in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan de Opdrachtnemer worden opgelegd ten gevolge van het handelen van de Opdrachtgever. Het voorgaande geldt evenzo voor aanspraken van Betrokkene(n) of derden waarmee Opdrachtgever een samenwerking is aangegaan of waarvan Opdrachtgever de Gegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van de
Opdrachtgever.
11.3 De in de Overeenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Opdrachtnemer is van kracht op de verplichtingen zoals opgenomen in deze Privacy voorwaarden, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Privacy voorwaarden en /of de Overeenkomst nimmer tot overschrijding van de beperking kan leiden.
12. Duur en beëindiging
12.1 Deze Privacy voorwaarden zijn geldig zolang Verwerker de opdracht heeft van Xxxxxxxxxxxxxxxxx om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke zijn deze Privacy voorwaarden op deze relatie van toepassing.
12.2 Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende
een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen 8 weken na
beëindiging van de wettelijke bewaarplicht.
12.3 Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan
Verantwoordelijke aan Xxxxxxxxx verzoeken om alle documenten, computerdisks en andere
gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke,
voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig.
12.4 Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.
12.5 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van de Opdrachtgever. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als de Opdrachtgever als Verantwoordelijke daarom vraagt dan geeft de Opdrachtnemer daarover vooraf een kosteninschatting.
13. Nietigheid en wijzigingen
13.1 Indien één of meer bepalingen uit deze Privacy voorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze Privacy voorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling
onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benadert.
13.2 Aanvullingen en wijzigingen op deze Privacy voorwaarden zijn alleen geldig als ze op schrift zijn
gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
13.3 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de
privacyregelgeving of andere eisen kan voor Opdrachtnemer aanleiding zijn om deze Privacy voorwaarden aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Overeenkomst, of wanneer Opdrachtnemer niet kan voorzien in een passend niveau van bescherming, kan dit voor Opdrachtnemer reden zijn om de Overeenkomst te beëindigen.
14. Toepasselijk recht en forumkeuze en overige bepalingen
14.1 Op deze Privacy voorwaarden is Nederlands recht van toepassing.
14.2 Alle geschillen in verband met de Privacy voorwaarden of de uitvoering daarvan worden voorgelegd aan de daartoe bevoegde Nederlandse rechter.
14.3 Indien en voor zover de Opdrachtnemer in afwijking van het gestelde in deze Privacy voorwaarden als Sub-Verwerker of als Verantwoordelijke dient te worden aangemerkt zullen de bepalingen in deze Privacy voorwaarden zoveel mogelijk als wettelijk is toegestaan ook van toepassing zijn op de relatie tussen de Opdrachtnemer als Sub-Verwerker of als Verantwoordelijke en de Opdrachtgever (als Verwerker). De Opdrachtnemer wordt uitsluitend als Verantwoordelijke aangemerkt indien zij vanwege de Werkzaamheden doel en middelen voor de verwerking bepaalt.
14.4 Deze Privacy voorwaarden zijn hoger in rang dan andere door Opdrachtnemer met de Opdrachtgever gesloten overeenkomsten. Als de Opdrachtgever algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Privacy voorwaarden. De bepalingen uit deze Privacy voorwaarden gaan boven de bepalingen in de algemene voorwaarden van de Opdrachtnemer,
tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
Hengelo, mei 2018
ANNEX 1 GEGEVENS EN DOELEINDEN
Gegevens en doeleinden
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie,
loonadministratie, financiële verslaglegging, accountancy, fiscale dienstverlening en (bedrijfs)advisering in de meest brede zin des woords:
Naam (initialen, achternaam) Telefoonnummer
E-mailadres
Geboortedatum
Woonplaats, adres, postcode en huisnummer Gegevens lD-bewijs (in verband met de Wwft) Financiële gegevens, zowel zakelijk als privé
NAW-gegevens en BSN van personeelsleden van Verantwoordelijke Kadastergegevens en Kamer van Koophandel informatie en uittreksels
Voor het verzorgen van belastingaangiften en toeslagen, (subsidie)aanvragen en de salarisadministratie is Opdrachtnemer vanuit de wet verplicht het BSN-nummer te verwerken. Een volledige kopie van het
identiteitsbewijs is daarnaast verplicht vanuit de loonbelasting. De Wwft (Wet ter voorkoming van
witwassen en financieren van terrorisme) verplicht Opdrachtnemer om de identiteit van de klant vast te stellen en een bewijs daarvan te bewaren.
Het samenstellen van diverse soorten financiële- en adviesrapportages, belastingaangiften en loonstroken vormt een belangrijk onderdeel van de dienstverlening van Opdrachtnemer.
De opdrachtgever geeft expliciet haar toestemming aan Opdrachtnemer om Gegevens te delen met derden zoals bijvoorbeeld de belastingdienst, het UWV en/of verzekeraars voor zover nodig ter uitvoering van de Overeenkomst, uit een wettelijke verplichting voortvloeit of anderszins ingevolge de AVG is
toegestaan. Hiermee wordt uiterst zorgvuldig omgegaan. Vertrouwelijkheid en geheimhouding naar
derden is hiervoor het uitgangspunt. Dit geldt uiteraard ook voor inloggegevens zoals gebruikersnamen en wachtwoorden. De technische en organisatorische beveiliging is hierop afgestemd.
Wij verwerken geen gegevens over bijvoorbeeld ras, politieke opvattingen, geloofsovertuiging en
medische informatie. Mocht er om een bijzondere reden noodzaak zijn dit wel te doen, dan zullen wij dit specifiek met de klant opnemen in de overeenkomst van dienstverlening.
Opdrachtnemer verwerkt persoonsgegevens uitsluitend op de manier die met de Opdrachtnemer is afgesproken in de Overeenkomst. Dit verwerken doet Opdrachtnemer niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Overeenkomst. De verwerking vindt plaats volgens instructies van de Opdrachtgever, tenzij Opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
1. De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;
2. Het onderhoud, waaronder updates en releases van het door Verwerker dan wel Subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;
3. Het gegevens- en technische beheer, ook door een Subverwerker;
4. de hosting, ook dooreen Subverwerker.
Categorieën van betrokkenen
De Gegevens die verwerkt worden betreffen de volgende categoriën van betrokkenen:
(1) Personeelsleden van Verantwoordelijke
(2) Ondernemers / eigenaren van besloten vennootschappen, eenmanszaken, vennootschap onder firma, maatschappen e.d.
(3) Bestuurders van stichtingen, verenigingen en andere rechtspersonen
(4) Particulieren ten behoeve van belastingaangiften en advisering, alsmede hun kinderen.
Voor zover nodig ter uitvoering van de Overeenkomst, uit een wettelijke verplichting voortvloeit of anderszins ingevolge de AVG is toegestaan verleent de Opdrachtgever (natuurlijke personen) tevens toestemming voor de verwerking van Xxxxxxxx van haar minderjarige kinderen tot 16 jaar.
ANNEX 2
BEVEILIGINGSMAATREGELEN
Beveiligingsmaatregelen
Opdrachtnemer heeft passende beveiligingsmaatregelen genomen met een beveiligingsniveau dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
1. Back-up-en herstelprocedures
2. Beveiliging van netwerkverbindingen
3. Bevoegdheden zijn toegewezen aan een beperkt aantal personen dat met de uitvoering van de verwerking is belast inclusief een periodieke controle hierop).
4. Geheimhoudingsverklaringen in arbeidscontracten en met derden
5. Alarmsysteem in het kantoorpand van Verwerker met persoonlijke code
6. Logische toegangscontrole door míddel van wachtwoorden en/of persoonlijke toegangscodes
7. Zakelijke mobiele telefoons en laptops beveiligd met wachtwoord en/of vingerafdruk
8. Subverwerkersovereenkomsten met derden
9. Veilige wijze van het opslaan van gegevensbestanden binnen het kantoornetwerk
10. Gecertificeerd afvoeren van documenten met persoonsgegevens
11. Gebruik disclaimer in e-mail
Bewaartermijnen
Er wordt op grond van de Wet bescherming persoonsgegevens (Wbp) gesproken over verschillende mogelijkheden met betrekking tot de bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren rekening houdend met de geldende wetgeving. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
In de Wbp staat dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij verzameld en verwerkt worden. Deze bepaling is ook verwerkt in de AVG. Opdrachtnemer zal zich hierbij houden aan de geldende wettelijke bewaartermijnen.
Opdrachtnemer zal zich in deze aan de bepalingen van de AVG houden en mag daarbij persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden
Rechten van betrokkenen (Artikel 13 t/m 20, AVG)
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de Betrokkene(n):
• Recht op informatie: Betrokkenen hebben het recht om te vragen of zijn/haar persoonsgegevens worden verwerkt.
• Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.
• Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen om dit te corrigeren.
• Recht van verzet: Xxxxxxxxxxx hebben het recht te vragen om hun persoonsgegevens niet meer te gebruiken.
• Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om
gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.
• Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. Opdrachtnemer zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen bij Opdrachtnemer. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. Opdrachtnemer heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal Opdrachtnemer laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij Opdrachtnemer, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan Opdrachtnemer aanvullende
informatie opvragen om zeker te zijn van de identiteit van de betrokkene.
Voor zover mogelijk voldoet Opdrachtnemer aan verzoeken om inzage of wijziging of verwijdering van persoonsgegevens. Het verwijderen van persoonsgegevens is een recht vanuit de AVG, maar Opdrachtnemer heeft te maken met wetgeving ten aanzien van bewaarplicht van gegevens en die
wetgeving gaat voor. De wettelijke bewaartermijn is 7 jaar.
Gezien de wettelijke bewaarplicht en andere wet- of (beroeps)regelgeving kan Opdrachtnemer over het algemeen niet voldoen aan een eventueel verzoek van de Opdrachtgever tot vernietiging of teruggave van de persoonsgegevens bij einde van de Overeenkomst. Mocht dit wel mogelijk zijn dan zal Xxxxxxxxxxxxx aan dit verzoek meewerken. Mocht het voldoen aan verzoeken kosten met zich meebrengen voor Opdrachtnemer of de sub-verwerker dan kan Opdrachtnemer die kosten in rekening brengen.
Voor persoonlijke gegevens van medewerkers, stagiaires, inleners, uitzendkrachten of zzp-ers bij Opdrachtnemer geldt hetzelfde als voor Opdrachtgevers met dien verstande dat in plaats van de Overeenkomst moet worden gelezen de arbeidsovereenkomst, de stage-overeenkomst, de
inleenovereenkomst, de uitzendovereenkomst of de managementovereenkomst.
Voor persoonlijke gegevens van sollicitanten hanteren wij de regel dat na sluiting van een vacature alle persoonlijke gegevens na maximaal 3 maanden worden verwijderd.
Voor persoonlijke gegevens van leads en prospects hanteert Opdrachtnemer de regel dat we eens per jaar alle persoonlijke gegevens verwijderen die al langer dan een jaar door Opdrachtnemer worden verwerkt met het doel een Overeenkomst te kunnen sluiten. Dit tenzij met de betrokken persoon een
vervolgafspraak is overeengekomen en vastgelegd waaruit blijkt dat we nog een jaar door kunnen gaan met verwerken.