DE ONDERTEKENDEN:

van partijen vastgelegd met betrekking tot de Verwerking van Persoonsgegevens.

DE ONDERTEKENDEN:

1. Visma Cash bv, hierna in enkelvoud aangeduid als “Verwerker”, beiden kantoorhoudende in Den Haag, hier rechtsgeldig vertegenwoordigd door de heer J.F.H.M. Dijns, directeur

en

2. (Bedrijfsnaam), hierna te noemen de “Verantwoordelijke”, gevestigd in

…………………………………………(Plaatsnaam), hier rechtsgeldig vertegenwoordigd door

…………………………………………(Contactpersoon). Hierna gezamenlijk te noemen: “Partijen”.

OVERWEGINGEN:

a) Verwerker heeft met Verantwoordelijke een overeenkomst gesloten met betrekking tot het ter beschikking stellen en/of het leveren van software voor het verrichten van administratieve handelingen (hierna: de Overeenkomst);

b) Verantwoordelijke zal in het kader van de uitvoering van de Overeenkomst bestanden met administratieve gegevens aan Verwerker ter beschikking stellen waarin Persoonsgegevens kunnen zijn opgenomen zodat sprake is van een verwerking van Persoonsgegevens in de zin van de Wet bescherming Persoonsgegevens (hierna: Wbp) respectievelijk de Algemene Verordening Gegevensbescherming (Verordening 2016/679/EU; hierna: AVG);

c) Omdat sprake is van een Verwerking van Persoonsgegevens door Verwerker wensen Partijen – mede ter uitvoering van het bepaalde in artikel 14 lid 2 Wbp respectievelijk artikel 28 van de AVG – in de onderhavige Verwerkersovereenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in verband met de Verwerking van Verwerker.

KOMEN OVEREEN:

Artikel 1 – Definities

0.0.Xx hierna en hiervoor in deze Verwerkersovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:

1.2.Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.

1.4.Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.5.Sub-Verwerker: de natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het verwerken van Persoonsgegevens ten behoeve van Verantwoordelijke.

1.6.Verwerkersovereenkomst: deze overeenkomst tussen Verantwoordelijke en Verwerker met als onderwerp het verwerken van Persoonsgegevens.

1.7.Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens.

Artikel 2: Ingangsdatum en duur van de Verwerkersovereenkomst

2.1 Deze overeenkomst gaat in op het moment van ondertekening door beide partijen en zal van kracht zijn zolang de Verwerker als verwerker van Persoonsgegevens optreedt in het kader van de door de Verantwoordelijke aan Verwerker ter beschikking gestelde Persoonsgegevens.

Artikel 3: Onderwerp van de Verwerkersovereenkomst

3.1. Verantwoordelijke stelt het doel en de middelen voor de Verwerking van Persoonsgegevens vast. Het doel van de Verwerking is opgenomen in Bijlage 1.

3.2. Verantwoordelijke verstrekt Persoonsgegevens aan Verwerker. Een overzicht van de categorieën Persoonsgegevens die aan Verwerker verstrekt kunnen worden, wordt opgenomen in Bijlage 1. Verwerker verwerkt deze Persoonsgegevens uitsluitend ter uitvoering van de Overeenkomst, deze Verwerkersovereenkomst, en de door Verantwoordelijke gegeven schriftelijke instructies. Verwerker zal de Persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.

3.3. Verantwoordelijke geeft aan Verwerker toestemming een Sub-Verwerker in te schakelen. Verwerker zal Verantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of vervanging van Sub-Verwerkers. Daarbij wordt de Verantwoordelijke de mogelijkheid geboden bezwaar te maken tegen deze veranderingen. Daarnaast zal Verwerker, alvorens zij overgaat tot inschakeling van de Sub-Verwerker, in een schriftelijke overeenkomst dezelfde verplichtingen aan die Sub-Verwerker opleggen als die op Verwerker zelf rusten uit hoofde van deze Verwerkersovereenkomst.

bijstand verlenen met betrekking tot de nakoming door Verantwoordelijke van de artikelen 32 tot en met 36 van de AVG.

3.5. Verwerker zal de Persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Unie, tenzij anders overeengekomen met Verantwoordelijke.

Artikel 4: Geheimhoudingsplicht

4.1 Partijen zijn zich ervan bewust dat zij Persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de Persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de Overeenkomst en deze Verwerkersovereenkomst.

4.2 Partijen zullen de Persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. Verwerker zal waarborgen dat zijn werknemers en/of derden die toegang hebben tot de Persoonsgegevens zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.

Artikel 5: Beveiligingsmaatregelen

5.1 Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van te beschermen Persoonsgegevens met zich meebrengen.

5.2 De bij het aangaan van de Verwerkersovereenkomst genomen maatregelen als bedoeld in artikel

5.1 worden weergegeven in Bijlage 2.

Artikel 6: Controle

6.1 Verantwoordelijke is bevoegd om te controleren dan wel te laten controleren of Verwerker de verplichtingen uit deze Verwerkersovereenkomst en geldende wetgeving nakomt.

6.2 Verantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Verwerker.

6.3 Verwerker zal alle redelijkerwijs benodigde medewerking verlenen aan de controle en er voor zorgen dat ook de door hem ingeschakelde derden hiertoe de redelijkerwijs benodigde medewerking zullen verlenen.

6.4 De met de controle gemoeide kosten zijn voor rekening van Verantwoordelijke.

Verantwoordelijke aan te wijzen derde), dan wel te worden vernietigd, een en ander naar keuze van Verantwoordelijke.

7.2 Op het moment dat deze Verwerkersovereenkomst eindigt, zal Verwerker al zijn medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de verwerking van de Persoonsgegevens aan Verantwoordelijke of een opvolgende Verwerker en wel op zo een wijze dat vanaf het moment dat de overdracht plaatsvindt de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van Verwerker wordt belemmerd. De kosten gemoeid met deze inspanningen van Verwerker, komen voor rekening van Verantwoordelijke voor zover deze kosten niet inbegrepen zijn in de overeengekomen prijzen en vergoedingen van Verwerker voortvloeiende uit de uitvoering van de Overeenkomst.

Artikel 8: Datalekken

8.1 Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkenen.

8.2 Verwerker zal xxxx Xxxxxxx, na de eerste ontdekking hiervan door Xxxxxxxxx, zo snel mogelijk rapporteren aan Verantwoordelijke. Verwerker vermeldt daarbij in ieder geval de volgende gegevens:

a) de (vermoedelijke) oorzaak van het Datalek;

b) de (vooralsnog bekende en/of te verwachten) gevolgen van het Datalek;

c) locatiegegevens van het Datalek;

d) de eventuele onbevoegde ontvangers van de Persoonsgegevens en alle beschikbare informatie over hen;

e) voorstellen voor maatregelen ter beperking van de schade;

f) eventuele andere gegevens indien Verantwoordelijke daarom verzoekt.

8.3 Verwerker zal op verzoek van Verantwoordelijke meewerken aan het adequaat informeren van Xxxxxxxxxxx of de toezichthoudende instanties over het Datalek, en zich ter zake beschikbaar houden voor overleg met Verantwoordelijke.

8.4 Verantwoordelijke en Verwerker betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.

9.2 Het bedrag van de te betalen schadevergoeding uit hoofde van het bepaalde in artikel 9.1 is beperkt tot het bedrag dat Verwerker in de 12 maanden voorafgaand aan de schadeveroorzakende gebeurtenis heeft gefactureerd uit hoofde van de Overeenkomst en door Verantwoordelijke is betaald.

Artikel 10: Toepasselijk recht

10.1 Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.

10.2 Op deze overeenkomst is het Nederlands recht van toepassing. De Nederlandse rechter is bevoegd kennis te nemen van geschillen.

Aldus in tweevoud opgemaakt en getekend te ……….……………………………… op ………... – ………... – ………...

Visma Cash bv	……………………………………….. ……………………………………….. (Bedrijfsnaam)
(de ‘Verwerker’)	(de ‘Verantwoordelijke’)
J.F.H.M. Dijns, directeur	……………………………………….. (Naam tekenbevoegde)

1. De volgende categorieën Persoonsgegevens kunnen aan Verwerker verstrekt worden:

Informatie die u aan ons ter beschikking stelt bij gebruikmaking van onze software kunnen Persoonsgegevens bevatten. Deze Persoonsgegevens kunnen zijn opgenomen in bijvoorbeeld uw:

a) financiële administratie;

b) personeelsadministratie;

c) salarisadministratie;

d) overige administraties.

2. Doel van verwerking

Wij verwerken Persoonsgegevens uitsluitend in het kader van het uitvoeren van de Overeenkomst tot het ter beschikking stellen van software.

3. Wijze van verwerking

Onze werkzaamheden met betrekking tot Persoonsgegevens bestaan uit het opslaan van door u in de software ingevoerde Persoonsgegevens.

4. Sub-Verwerkers

Voor het opslaan van data maken wij gebruik van de volgende dienstverleners:

• Prolocation Managed Services (Hosting)

• The Datacenter Group

Technische beveiligingsmaatregelen:

• Real time back-ups zodat verlies van Persoonsgegevens wordt tegengegaan;

• Gegevens worden opgeslagen in een professioneel gecertificeerd data center om een hoge mate van betrouwbaarheid te garanderen;

• Visma Cash treft voorzieningen voor adequate toegangsbeveiliging zodat toegang tot Persoonsgegevens alleen voorbehouden is aan geautoriseerd personeel;

• Visma Cash heeft maatregelen getroffen om kwaadaardige software, zoals –maar niet beperkt tot- computervirussen, op te sporen en af te wenden;

• Door externe partijen worden regelmatig Pentesten uitgevoerd om onze systemen te toetsen;

• Visma Cash maakt gebruik van beveiligde HTTPS verbindingen.

Organisatorische beveiligingsmaatregelen:

• Visma Xxxx medewerkers dienen zowel tijdens als na beëindiging van hun dienstverband volstrekte geheimhouding te betrachten ten aanzien van alle gegevens (inclusief Persoonsgegevens) waarvan zij in het kader van hun dienstverband kennis genomen hebben;

• Toegang tot Persoonsgegevens is voorbehouden aan geautoriseerd personeel;

• Indien Sub-Verwerkers worden ingeschakeld, sluit Visma Cash een Sub-Verwerkersovereenkomst teneinde de verantwoordelijkheden en verplichtingen inzake de gegevensbescherming ook bij de Sub-Verwerkers te waarborgen.