Verwerkersovereenkomst: Klant (Verantwoordelijke) – Accountant (Verwerker) AVG

Verwerkersovereenkomst: Klant (Verantwoordelijke) – Accountant (Verwerker) AVG

Partijen:

[NAAM KLANT + RECHTSVORM], gevestigd te [plaats, eventueel straat en huisnummer], hierna te noemen: “Verantwoordelijke”, “jij” of “jouw”, ten deze rechtsgeldig vertegenwoordigd door [naam], in diens hoedanigheid van [functie];

en

ABC Zelf, gevestigd te Heteren, Xxxxxxxxxxxxxxxxx 0, hierna te noemen: Verwerker te Heteren dezen rechtsgeldig vertegenwoordigd door Xxxxxx Xxxxxxx / Boekhouder/administrateur;

hierna gezamenlijk aangeduid als “partijen”, “wij gezamenlijk”

Overwegingen:

A. Ik ben met jou op een eerdere datum de opdracht aangegaan vanwege het verrichten van de volgende diensten door mij: het verwerken en verzorgen van financiële gegevens t.b.v. jouw administratieve verplichtingen aangaande de staat of de belastingdienst. Ik verwerk daarbij de Persoonsgegevens die vermeld staan in de Bijlage die bij deze overeenkomst hoort.

B. Ik ben - vanwege het uitvoeren van deze opdracht én met betrekking tot de Persoonsgegevens die ik hierbij zal verwerken - aan te merken als “Verwerker” en jij als “Verantwoordelijke”. In deze Overeenkomst leg ik onze wederzijdse rechten en verplichtingen vast.

Partijen komen het volgende overeen:

1.   Definities

In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.

Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.

Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Sub-verwerker: Een andere verwerker die door de Verwerker wordt ingezet om ten

behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

Verwerkingsverantwoordelijke

/ Verantwoordelijke:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Datalek / Inbreuk in verband met persoonsgegevens:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Derden: Anderen dan jij en ik. en evt. onze medewerkers.

Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit

Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

Medewerkers Personen die werkzaam zijn bij jou of bij mij, ofwel in

dienstbetrekking dan wel tijdelijk ingehuurd.

Overeenkomst: Deze verwerkersovereenkomst.

Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare

natuurlijke persoon („de Betrokkene”) die in het kader van de verwerkings- opdracht worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit

van die natuurlijke persoon.

Persoonsgegevens van gevoelige aard

Persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:

• Bijzondere persoonsgegevens

• Gegevens over de financiële of economische situatie van de Betrokkene

• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene

• Gebruikersnamen, wachtwoorden en andere inloggegevens

• Gegevens die kunnen worden misbruikt voor (identiteits)fraude

Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot

persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

AVG Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018.

2. Toepasselijkheid en looptijd

2.1 Deze overeenkomst is van toepassing op iedere verwerking die door mij als verwerker wordt gedaan op basis van de gegevens aangeleverd door jou als verantwoordelijke.

2.2 Deze overeenkomst treedt in werking op de datum waarop wij onze opdracht zijn aangegaan en eindigt op het moment dat ik geen persoonsgegevens meer onder mij heb in het kader van de opdracht om voor jou gegevens te verwerken. Het is niet mogelijk om deze overeenkomst tussentijds op te zeggen.

2.3 Artikel 6 en 7 van deze overeenkomst blijven gelden, ook nadat de overeenkomst (of onze opdracht) is geëindigd.

3. Verwerking

3.1 Ik verwerk de persoonsgegevens uitsluitend op de manier die ik met jou heb afgesproken volgens de opdracht. Dit verwerken doe ik niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze opdracht. De verwerking vindt plaats volgens jouw instructies, tenzij ik op grond van de wet- of regelgeving verplicht ben om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme(Wwft)).

Indien een instructie, naar mijn mening, een inbreuk maakt op de AVG stel ik je daarvan onmiddellijk in kennis.

3.2 De verwerking vindt plaats onder jouw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de voor jouw verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden. Jij moet er voor zorgen dat je het doel en de middelen van de verwerking van de persoonsgegevens duidelijk hebt vastgesteld. De zeggenschap over de persoonsgegevens berust nooit bij mij. Als ik een zelfstandige verplichting mocht hebben op basis van wettelijke voorschriften of de voor accountants geldende beroeps- en gedragsregels met betrekking tot verwerking van persoonsgegevens, dan leef ik deze verplichtingen na.

3.3 Jij bent ook wettelijk verplicht de geldende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dien je vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens. Ik zal ervoor zorgen dat ik voldoe aan de op ons als verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en de afspraken die ik heb gemaakt in deze overeenkomst.

3.4 Ik zorg ervoor dat alleen ik toegang heb tot de persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Ik beperk de toegang tot eventuele medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze medewerkers nodig hebben voor hun werkzaamheden. Ik zorg er bovendien voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

3.5 Ik kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de onze opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover ik niet beschik. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze persoonsgegevens gaan verwerken dan zal ik die Sub-verwerkers (schriftelijk) de verplichtingen uit deze overeenkomst opleggen. Met ondertekening van deze overeenkomst geeft xxx toestemming voor het inschakelen van de Sub-Verwerkers (mits we dit samen eerder zijn

overeengekomen) die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Over het inschakelen van overige Sub-Verwerkers zal ik je vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.

3.6 Voor zover mogelijk verleen ik jou bijstand bij het vervullen van jouw verplichtingen om verzoeken om uitoefening van rechten van betrokkenen af te handelen. Als ik (rechtstreeks) verzoeken ontvang van een betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van persoonsgegevens), dan zend ik deze verzoeken door naar jou. Jij handelt deze verzoeken zelf af, waarbij ik je natuurlijk behulpzaam kan zijn als ik in het kader van de opdracht toegang heb tot deze persoonsgegevens. Hiervoor kan ik in vooraf overleg met jou, kosten in rekening brengen.

3.7 Ik zal de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij ik hierover met jou andere afspraken heb gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e-mail. Met ondertekening van deze overeenkomst geef jij toestemming voor de verwerkingen buiten de EER. Deze aparte richtlijnen zijn op te vragen via een notaris of jurist.

3.8 Als ik een verzoek krijg om persoonsgegevens ter beschikking te stellen dan doe ik dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie en altijd in overleg met jou. Bovendien beoordeel ik eerst of ik van mening ben dat het verzoek bindend is, of dat ik op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stel ik jou op de hoogte van het verzoek. Ik probeer dat op zodanig korte termijn te doen, dat het voor jou mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als ik jou op de hoogte mag stellen dan zal ik ook met je overleggen over de wijze waarop en welke gegevens ik ter beschikking zal stellen.

4. Beveiligingsmaatregelen

4.1 Ik heb de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te verminderende risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

4.2 Jij hebt je goed geïnformeerd over de beveiligingsmaatregelen die ik heb genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.

4.3 Ik informeer je als een van de beveiligingsmaatregelen substantieel wijzigt.

4.4 Ik bied passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Als jij de wijze waarop ik de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kan je hiertoe een verzoek aan mij doen. Ik zal hierover gezamenlijk met jou afspraken maken. De kosten van een inspectie zijn voor jouw rekening. Jij stelt aan mij een kopie van het inspectierapport ter beschikking.

5. Datalekken

5.1 Als er sprake is van een Datalek dan stel ik jou daarvan direct op de hoogte. Ik streef ernaar dit te doen binnen 48 uur nadat ik dit Xxxxxxx heb ontdekt, of zo snel mogelijk nadat ik daarover door onze Sub-verwerkers ben geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze overeenkomst. Ik zal jou daarbij voorzien van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de

Meldplicht Datalekken c.q. ik zend de melding van mijn Sub-verwerker aan je door. Ook van de door mij, of mijn Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houd ik je op de hoogte.

5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd jouw eigen mogelijkheid en verantwoordelijkheid.

5.3 Het (bij)houden van een register van Datalekken is altijd jouw eigen verantwoordelijkheid.

6. Geheimhoudingsplicht:

6.1 Ik houd de van jou verkregen persoonsgegevens geheim en verplicht eventuele medewerkers en eventuele Sub-verwerkers ook tot geheimhouding. Administrateurs en acccountants nemen met betrekking tot de aan hen toevertrouwde persoonsgegevens geheimhouding in acht zoals deze voor administrateurs en accountants geldt op basis van de beroeps- en gedragsregels. Een overzicht van deze beroeps- en gedragsregels kan je vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (xxx.xxx.xx).

7. Aansprakelijkheid

7.1 Ik sta er voor in dat de verwerking van persoonsgegevens op basis van deze overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).

7.2 Ik ben niet aansprakelijk voor schade die het gevolg is van het door jou niet naleven van de AVG of andere wet- of regelgeving. Jij vrijwaart mij ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die ik in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan mij worden opgelegd ten gevolge van jouw handelen.

8. Overdraagbaarheid Overeenkomst

8.1 Het is voor mij en jou, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze overeenkomst en de rechten en de plichten die samenhangen met deze overeenkomst over te dragen aan een ander.

9. Beëindiging en teruggave / vernietiging Persoonsgegevens

9.1 Als de opdracht wordt beëindigd dan zal ik de door jou aan mij verstrekte persoonsgegevens aan jou terug overdragen of – als je mij daarom verzoekt – vernietigen. Ik zal uitsluitend een kopie van de persoonsgegevens bewaren als ik hiertoe op grond van wet- of (beroeps)regelgeving verplicht ben.

9.2 De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de onze opdracht zijn voor jouw rekening. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. Als jij daarom vraagt dan geef ik je vooraf een kosteninschatting.

10. Aanvullingen en wijziging Overeenkomst

10.1 Aanvullingen en wijzigingen op deze overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

10.2 Een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of jouw eisen kan aanleiding zijn om deze overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de opdracht, of wanneer ik niet kan voorzien in een passend niveau van bescherming, kan dit voor mij reden zijn om de opdracht te beëindigen.

11. Slotbepalingen

11.1 Op jouw verzoek stel ik jou alle informatie ter beschikking die nodig is om de nakoming van de in deze overeenkomst neergelegde verplichtingen aan te tonen. Ik maak audits mogelijk, waaronder inspecties, door jou of een door een door jou gemachtigde controleur en draag er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor jouw rekening. Ook eventuele audits bij onze Sub-verwerkers zijn voor jouw rekening.

11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.

11.3 Op deze overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.

11.4 Deze Overeenkomst is hoger in rang dan andere door mij met jou gesloten overeenkomsten. Als je algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze overeenkomst. De bepalingen uit deze overeenkomst gaan boven de bepalingen in mijn algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

11.5 Als één of meerdere bepalingen in deze overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze overeenkomst. Ik treed dan met je in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.

Ondertekening

Ondertekend op

[naam klant + naam ondertekenaar] Xxxxxx Xxxxxxx / Zelf Consultancy Heteren

Bijlage

Persoonsgegevens

De volgende persoonsgegevens zullen in het kader van onze wederzijdse opdracht worden verwerkt:

Gegevens van klanten en leveranciers en bankmutaties die daarbij behoren. Persoonlijke gegevens van jou als ondernemer nodig voor bereikbaarheid en registratie.

Verwerking

Ik verwerk op de volgende wijzen persoonsgegevens voor jou:

Volgens opgaaf zal ik deze gegevens verwerken als financiële gegevens in een geautomatiseerde boekhoudkundige omgeving. Het betreft een softwarepakket dat aan alle normen voldoet, zodat aan een volledige administratieve verplichting wordt voldaan.

Jij als ondernemer bepaalt zelf welke persoonsgegevens worden doorgezonden aan mij en dus worden verwerkt. Jij blijft daarmee volledig verantwoordelijk voor deze verwerking.

Technische en organisatorische maatregelen

Ik neem de volgende technische en organisatorische maatregelen ter bescherming van de persoonsgegevens tegen verlies of onrechtmatige verwerking:

Ik heb een juiste en volledige afscherming in de geautomatiseerde omgeving m.b.v. paswoorden en inlogafscherming. Gegevens die worden bewaard naast dit systeem worden bewaard in een afgesloten omgeving. Elke week wordt van de data in de computer een back-up gemaakt. Maak je gebruik van de online administratie dan is deze steeds als back-up aanwezig.

Derden

Ik schakel deze derden (Sub-verwerkers) in bij het uitvoeren van de opdracht. Mocht dit het geval zijn dan hoor je dat direct van mij.