en
Verwerkersovereenkomst Xxxxxx & Xxx Xxxx Belastingadviseurs en Accountants
Partijen:
1. De klant van Schaap & Xxx Xxxx Belastingadviseurs en Accountants als Verwerkingsverantwoordelijke, hierna te noemen de “Klant”,
en
2. Xxxxxx & Xxx Xxxx Belastingadviseurs en Accountants als Verwerker, kantoorhoudende op het adres Xxxxxxxxx 0, 0000 XX Xxxxxxxxxx - Xxxxxxxxxx, ingeschreven bij de Kamer van Koophandel onder nummer 32167554, hierna te noemen “Schaap & Xxx Xxxx”,
gezamenlijk aan te duiden als: “Partijen”;
Overwegende dat:
A. Partijen een Overeenkomst met elkaar hebben gesloten waarbij is afgesproken dat Xxxxxx & Xxx Xxxx een of meer van de volgende diensten voor Klant verzorgt:
a. Het verwerken van de (salaris)administratie,
b. Het geven van belastingadviezen,
c. Het adviseren over bedrijfsmodellen,
d. Het maken van een financiële bedrijfsplanning of estateplanning.
B. Ter uitvoering van deze Overeenkomst Persoonsgegevens worden verwerkt.
C. Klant grote waarde hecht aan het beschermen van deze Persoonsgegevens en verantwoordelijk is voor de gegevens die Schaap & Van Dijk gaat verwerken
D. Partijen daarom de afspraken daarover wensen vast te leggen in deze Verwerkersovereenkomst en de daarbij behorende volgende bijlagen. Deze bijlagen vormen een integraal en onlosmakelijk onderdeel van de Verwerkersovereenkomst.
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen. Bijlage 2: Overzicht met beveiligingsmaatregelen.
Bijlage 3: Proces rondom het melden van Datalekken en de te verstrekken informatie.
Komen het volgende overeen:
1. Definities:
De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1 Persoonsgegevens: alle informatie die kan worden herleid tot een persoon; bijvoorbeeld een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens;
1.3 Verwerkingsverantwoordelijke: in dit geval de Klant die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
1.4 Verwerker: in dit geval Xxxxxx & Xxx Xxxx die ten behoeve van de Klant persoonsgegevens verwerkt;
1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen;
1.7 Overeenkomst: de hoofdovereenkomst tussen Klant en Schaap & Xxx Xxxx waar deze Verwerkersovereenkomst uit voortvloeit;
1.8 Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de
ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
1.9 Gegevensbeschermingseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.
1.10 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;
2. Totstandkoming, duur en beëindiging van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst treedt in werking op de datum waarop Partijen deze Verwerkersovereenkomst overeenkomen en/of ondertekenen.
2.2 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.
2.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.
2.4 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Schaap & Xxx Xxxx , zoals het melden van Datalekken en de plicht tot geheimhouding blijven voortduren.
3. Verwerken Persoonsgegevens
3.1 Schaap & Van Dijk zal alleen Persoonsgegevens verwerken die noodzakelijk zijn voor het uitvoeren van de Overeenkomst. Schaap & Xxx Xxxx volgt de instructies van de Klant hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Klant aan Schaap & Xxx Xxxx daar van te voren toestemming of opdracht voor geeft.
3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens Schaap & Van Dijk precies zal verwerken en voor welke verwerkingsdoeleinden.
3.3 Schaap & Xxx Xxxx houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
3.4 Schaap & Xxx Xxxx mag zonder voorafgaande schriftelijke toestemming van de Klant andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.
3.5 Wanneer Xxxxxx & Xxx Xxxx andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.
3.6 Wanneer Klant een verzoek krijg van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt Xxxxxx & Van Dijk daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
3.7 Wanneer Klant aan Xxxxxx & Xxx Xxxx verzoekt om informatie te geven, dan zal Xxxxxx & Xxx Xxxx de informatie verstrekken die Klant nodig heeft voor het uitvoeren van een Gegevensbeschermingseffectbeoordeling. Klant heeft dit nodig om in te kunnen schatten wat het risico van de Verwerking is die Schaap & Van Dijk namens Klant uitvoert.
4. Beveiligen van Persoonsgegevens
4.1 Xxxxxx & Xxx Xxxx zorgt ervoor dat de Persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Xxxxxx & Van Dijk passende technische en organisatorische maatregelen.
4.2 Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover neem Schaap & Xxx Xxxx op in Bijlage 2.
4.3 Wanneer één der Partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over de wijziging daarvan. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van degene die de kosten maakt.
5. Exporteren Persoonsgegevens
5.1 Schaap & Xxx Xxxx mag Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Klant.
5.2 Gegevensbeschermingswetten verschillen van land tot land, sommige bieden meer bescherming dan andere. Ongeacht waar de informatie wordt verwerkt, past Schaap & Xxx Xxxx dezelfde bescherming toe als beschreven in deze overeenkomst.
5.3 De Europese Commissie heeft bepaald dat bepaalde landen buiten de Europese Economische Ruimte (EER) persoonsgegevens adequaat beschermen. Om gegevens van de EER over te brengen naar andere landen, zoals de Verenigde Staten, voldoet Schaap & Van Dijk, indien nodig, aan wettelijke kaders die een gelijkwaardig niveau van bescherming met EU-wetgeving vaststellen.
6. Geheimhouding
6.1 Schaap & Xxx Xxxx zal de aan haar verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
6.2 Schaap & Xxx Xxxx zal ervoor zorgen dat ook haar personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.
7.Datalekken
7.1 In geval van een ontdekking van een mogelijk Datalek zal Schaap & Van Dijk de Klant hierover binnen 24 uur via e-mail informeren en aan de Klant de informatie verstrekken die is aangegeven in Bijlage 3, zodat Klant indien nodig een melding bij de Toezichthouder kan doen.
7.2 Na de melding van een Datalek aan de Klant, zal Schaap & Van Dijk de Klant op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Schaap & Van Dijk heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
7.3 Het niet toegestaan dat Schaap & Xxx Xxxx een melding van een Datalek doet aan de Toezichthouder en ook mag Schaap & Xxx Xxxx de Betrokkenen niet informeren over het Datalek. Dit is de verantwoordelijkheid van de Klant.
7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.
8. Aansprakelijkheid
8.1 Als Schaap & Xxx Xxxx haar verplichtingen uit deze Verwerkersovereenkomst niet nakomt, stelt Klant Schaap & Van Dijk daarvoor aansprakelijk. Deze ingebrekestelling dient schriftelijk te gebeuren. Xxxxxx & Xxx Xxxx krijgt daarbij een redelijke termijn om alsnog haar verplichtingen na te komen. Xxxxxx & Xxx Xxxx is in verzuim wanneer nakoming binnen de hiervoor gestelde termijn uitblijft.
8.2 Schaap & Xxx Xxxx zal zich afdoende verzekeren tegen aansprakelijkheid. Deze aansprakelijkheid is beperkt tot de dekking waarvoor de beroepsaansprakelijkheidsverzekering is afgesloten, vermeerderd met het eigen risico, dit voor zover geen sprake is van opzet of grove schuld aan de zijde van Xxxxxx & Xxx Xxxx. Schaap & Van Dijk is uitsluitend aansprakelijk voor directe schade. Zij is nimmer aansprakelijk voor indirecte schade waaronder begrepen gevolgschade, gederfde winst, gemiste besparingen en schade door bedrijfsstagnatie.
8.3 Schaap & Xxx Xxxx is niet aansprakelijk voor aanspraken van Xxxxxxxxxxx of andere personen en organisaties waar de Klant de samenwerking mee is aangegaan of waarvan Schaap & Van Dijk de Persoonsgegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van Klant.
9. Teruggave Persoonsgegevens en bewaartermijn
9.1 Na het beëindigen van deze Verwerkersovereenkomst geeft Xxxxxx & Xxx Xxxx de Persoonsgegevens terug. Eventuele achtergebleven Persoonsgegevens zal Schaap & Xxx Xxxx op een zorgvuldige en veilige manier vernietigen.
9.2 De Persoonsgegevens die Schaap & Xxx Xxxx verwerkt volgens deze Verwerkersovereenkomst zal zij vernietigen na verstrijken van de wettelijke of redelijke bewaartermijn en/of op verzoek van Xxxxx. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer Schaap & Van Dijk de Persoonsgegevens moet bewaren om belastingtechnische redenen.
10. Slotbepalingen
10.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.
10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.
10.3 Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer Partijen dit samen schriftelijk afspreken.
10.4 Op deze Verwerkersovereenkomst en de werkzaamheden van Schaap & Xxx Xxxx is het Nederlandse recht van toepassing.
Aldus overeengekomen februari 2019
Xxxxxx & Xxx Xxxx belastingadviseurs en accountants
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Verwerkingsactiviteiten en -doelen:
Xxxxxx & Xxx Xxxx verzorgt één of meer van de volgende diensten voor Klant:
a. Het verwerken van de (salaris)administratie,
b. Het geven van belastingadviezen,
c. Het adviseren over bedrijfsmodellen,
d. Het maken van een financiële bedrijfsplanning of estateplanning.
Verwerkingsverantwoordelijke: Klant Verwerker: Schaap & Xxx Xxxx
Verwerkte Persoonsgegevens:
Gewone persoonsgegevens:
● Voor- en achternaam
● Geslacht
● Geboortedatum
● Geboorteplaats
● Adresgegevens
● Telefoonnummer
● E-mailadres
● Bankrekeningnummer
Bijzondere persoonsgegevens:
● foto (bv. smoelenboek, op identiteitsbewijs)
● burgerservicenummer (BSN)
● vreemdelingennummer
Locatie verwerkingen en bewaartermijnen: EU en VS, maximaal 20 jaar
Bijlage 2: Overzicht met beveiligingsmaatregelen
Technische beveiligingsmaatregelen
● Up to date virusscan
● Accurate beveiliging medewerkerstelefoon
● Unieke inlogcode en wachtwoord (regelmatig aanpassen)
● Two factor authentication
● Externe en interne spamfilter inclusief filter ransomware
● Separaat wifi netwerk klanten
● Versleuteld gegevens delen met cliënten
● Maandelijkse systeemcontrole updates
Organisatorische beveiligingsmaatregelen
● Wachtwoordbeleid
● Clean desk policy
● Zorgvuldig gebruik laptop
● Zorgvuldig gebruikt van USB-sticks
● Geen opslag documenten op privé laptop/computer
● Klantinformatie op basis van behandelaar (need to know)
Bijlage 3: Proces rondom het melden van Datalekken en de te verstrekken informatie
Waar beveiligingsincident melden?
Als er een beveiligingsincident is ontdekt, wordt direct contact opgenomen met de Klant
Geef bij de melding de antwoorden op de onderstaande vragen door:
De partij waar het lek heeft plaatsgevonden zal onderstaande vragen beantwoorden. Deze vragen zijn gelijk aan de informatie die aan de Autoriteit Persoonsgegevens moet worden verstrekt.
1. Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek: wat is er gebeurd?
Xxxxxxx hier ook de naam van het betrokken systeem.
2. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.
3. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident?
Geef een minimum en maximum aantal personen.
4. Omschrijving groep personen om wiens gegevens het gaat.
Geef aan of het gaat om medewerkersgegevens of bv. gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.
5. Zijn de contactgegevens van de betrokken personen bekend?
Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen deze personen bereikt worden?
6. Wat is de oorzaak (root cause) van het beveiligingsincident?
Geef zoveel als mogelijk aan hoe het beveiligingsincident heeft kunnen ontstaan.