Contract

1. Algemeen

In deze privacyverklaring wordt verstaan onder:

1.1 AVG: de Algemene Verordening Gegevensbescherming van 27 april 2016 (EU2016/679).

1.2 Algemene voorwaarden: de algemene voorwaarden van de opdrachtnemer, die van toepassing zijn op iedere afspraak tussen opdrachtgever en de opdrachtnemer en waarvan deze privacyverklaring onlosmakelijk deel uitmaakt.

1.3 Gegevens: de persoonsgegevens zoals omschreven in bijlage 1.

1.4 Betrokkene: de natuurlijke persoon, waarvan de persoonsgegevens worden verwerkt door de opdrachtnemer.

1.5 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan opdrachtnemer opdracht heeft gegeven tot het verrichten van werkzaamheden, eveneens betrokkene.

1.6 Opdrachtnemer: de besloten vennootschap Subvention B.V., statutair gevestigd en kantoorhoudende aan Xxxxxx Xxxxxxxxx 0, 0000 XX xx Xxxxxx.

1.7 Overeenkomst: elke afspraak tussen opdrachtgever en opdrachtnemer tot het verrichten van werkzaamheden door opdrachtnemer ten behoeve van de opdrachtgever, volgens het bepaalde in de opdrachtbevestiging.

1.8 Verantwoordelijke: de opdrachtnemer, die in het kader van zijn werkzaamheden op grond van de overeenkomst of om een andere reden de gegevens verwerkt.

1.9 Verwerker: een derde, die in opdracht van de verantwoordelijke de gegevens verwerkt.

1.10 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven of die door opdrachtnemer om een andere reden verricht worden. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

1.11 Incident/Datalek: een inbreuk op de organisatorische en/of technische beveiliging, waarbij redelijkerwijs niet uitgesloten kan worden dat persoonsgegevens verloren zijn gegaan.

2. Toepasselijkheid privacyverklaring

2.1 Deze privacyverklaring is van toepassing op de verwerking van alle gegevens die binnen de uitvoering van de overeenkomst met opdrachtgever door opdrachtnemer worden verwerkt, op alle uit de overeenkomst voor opdrachtnemer voortvloeiende werkzaamheden en te verwerken gegevens.

2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de gegevens zoals omschreven in bijlage 1.

2.3 Dit is een privacyverklaring in de zin van de AVG, waarin de rechten en verplichtingen voor de verwerking van de persoonsgegevens schriftelijk zijn geregeld, waaronder de beveiliging van de persoonsgegevens.

opdrachtnemer, onderdeel uit van de overeenkomst en alle toekomstige overeenkomsten tussen partijen.

3. Reikwijdte privacyverklaring

3.1 Met het geven van de opdracht tot het verrichten van werkzaamheden heeft opdrachtgever aan opdrachtnemer/verantwoordelijke toestemming gegeven de gegevens te verwerken op de wijze zoals omschreven in bijlage 1 in overeenstemming met de bepalingen van deze privacyverklaring.

3.2 Opdrachtnemer/verantwoordelijke verwerkt de gegevens uitsluitend volgens deze privacyverklaring, met name met dat wat is opgenomen in bijlage 1.

3.3 Opdrachtnemer/verantwoordelijke bevestigt de gegevens niet voor andere doeleinden te verwerken.

4. Verplichting verantwoordelijke

4.1 Verantwoordelijke treft de nodige maatregelen zodat de gegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.

4.2 Verantwoordelijke zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van gegevens te voorkomen.

4.3 Verantwoordelijke bewaart de gegevens niet langer dan strikt nodig is ter uitvoering van de werkzaamheden. In bijlage 1 worden de bewaartermijnen voor de categorieën van gegevens vermeld.

5. Geheimhouding

5.1 Verantwoordelijke en de personen die in dienst zijn van verantwoordelijke of werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot de gegevens, verwerken de gegevens alleen in het kader van de werkzaamheden, met uitzondering van afwijkende wettelijke verplichtingen.

5.2 Verantwoordelijke en de personen die in dienst zijn van verantwoordelijke of werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot de gegevens, zijn verplicht tot geheimhouding van de gegevens waarvan zij kennis nemen. Behalve als enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.

6. Geen verdere verstrekking

6.1 Verantwoordelijke zal de gegevens niet delen met of verstrekken aan derden, tenzij verantwoordelijke daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van betrokkene/opdrachtgever of vanwege dwingendrechtelijke regelgeving daartoe verplicht is. Als verantwoordelijke op grond van dwingendrechtelijke regelgeving verplicht is de gegevens te delen met of te verstrekken aan derden, zal verantwoordelijke de betrokkene/opdrachtgever hierover schriftelijk informeren. Tenzij dit niet is toegestaan onder de genoemde regelgeving.

onrechtmatige verwerking. De beveiligingsmaatregelen die zijn genomen, zijn in bijlage 2 bepaald.

7.2 De gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.

8. Rechten van de betrokkene

8.1 De betrokkene heeft het recht de gegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft de betrokkene het recht zijn eventuele toestemming voor de verwerking van de gegevens in te trekken of bezwaar te maken tegen de verwerking van de gegevens door de opdrachtnemer/verantwoordelijke.

8.2 De betrokkene heeft het recht de gegevens, die hij aan de verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en die gegevens aan een andere verantwoordelijke over te dragen.

8.3 De betrokkene kan het verzoek tot inzage, correctie, verwijdering, overdracht of verzoek tot intrekking van de toestemming sturen naar het kantoor-/e-mailadres van de opdrachtgever. De opdrachtgever zal zo snel mogelijk, maar binnen 4 weken, reageren op het verzoek, zonder hiervoor kosten in rekening te brengen.

8.4 De betrokkene heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, als hij van mening is dat de verantwoordelijke zijn verplichting overeenkomstig de AVG niet nakomt.

9. Datalek

9.1 Zo snel mogelijk nadat verantwoordelijke kennisneemt van een incident of datalek van gegevens dat nadelige gevolgen heeft voor betrokkene, stelt verantwoordelijke de betrokkene/opdrachtnemer hiervan op de hoogte via de bij verantwoordelijke bekende contactgegevens van betrokkene/opdrachtnemer. Verantwoordelijke zal informatie verstrekken over: de aard van het incident of het datalek, de getroffen gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de gegevens en de maatregelen die verantwoordelijke heeft getroffen en zal treffen.

9.2 Verantwoordelijke zal, als dit vereist is volgens de AVG, het datalek melden bij de Autoriteit Persoonsgegevens.

10. Verwerker

10.1 Als verantwoordelijke de verwerking van de gegevens uitbesteedt aan een verwerker, sluit verantwoordelijke met de betreffende verwerker een verwerkingsovereenkomst volgens het bepaalde in artikel 28 van de AVG.

12. Duur, wijziging en beëindiging

12.1 Deze privacyverklaring is van toepassing zolang door opdrachtnemer/verantwoordelijke werkzaamheden worden verricht voor opdrachtgever/betrokkene.

12.2 Als er een verandering plaatsvindt in de gegevens die worden verwerkt of de toepasselijke regelgeving, zal deze privacyverklaring worden aangepast. Bij ingrijpende wijzigingen zal opdrachtnemer/verantwoordelijke de opdrachtgever per e-mail op de hoogte stellen.

12.3 Als verantwoordelijke door een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich gegevens bevinden gedurende een wettelijke termijn moet bewaren, zal verantwoordelijke zorgen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen vier weken na beëindiging van de wettelijke bewaarplicht.

12.4 Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal verantwoordelijke na beëindiging van de overeenkomst geen gegevens houden of gebruiken.

13. Nietigheid

13.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Als enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

14. Toepasselijk recht en forumkeuze

14.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

14.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij het Arrondissement Overijssel.

De verantwoordelijke verwerkt de volgende gegevens in het kader van de werkzaamheden, waaronder maar niet uitsluitend, kunnen vallen financiële, fiscale en juridische dienstverlening:

(1) Naam (initialen, voornamen en achternaam)

(2) Telefoonnummers (vast en mobiel)

(3) E-mailadres

(4) Geboortedatum/geboorteplaats

(5) Adres/Woonplaats

(6) Financiële gegevens, zowel zakelijk als privé

(7) BSN van betrokkene

Doeleinden

De werkzaamheden waarvoor bovengenoemde gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan verantwoordelijke een opdracht heeft verkregen van opdrachtgever.

(2) Informatievoorziening van opdrachtnemer/verantwoordelijke aan opdrachtgever.

Categorieën van betrokkenen

De gegevens die verwerkt worden betreffen in ieder geval, maar niet uitsluitend, de volgende categorieën van betrokkenen:

(1) De opdrachtgever, de eigenaar/aandeelhouder van de opdrachtgever.

(2) Leveranciers van verantwoordelijke.

(3) Zakelijke relaties.

Bewaartermijnen

Adviesdossier

Het adviesdossier en de persoonsgegevens die daarin zijn opgenomen, wordt in verband met de maximale verjaringstermijn in beginsel twintig jaar bewaard nadat het dossier gesloten is. In uitzonderingsgevallen wordt een dossier langer dan twintig jaar bewaard. Bijvoorbeeld als de verjaringstermijn wordt gestuit of indien de verantwoordelijke van mening is dat er een ander gerechtvaardigd belang is om het dossier langer te bewaren.

Administratie

De administratie van de verantwoordelijke, waaronder de facturen en andere bescheiden waarop de persoonsgegevens van partijen vermeld zijn, wordt tijdens een periode van zeven jaar na afloop van het boekjaar bewaard om te kunnen voldoen aan de fiscale bewaarplicht.

Overige contactgegevens

Overige contactgegevens worden één jaar na het laatste contact bewaard. Tenzij eerder een verzoek bij opdrachtnemer ingediend wordt om deze te verwijderen.

getroffen:

▪ Logische toegangscontrole door middel van persoonsgebonden user-id en wachtwoord waaraan de volgende eisen worden gesteld:

▪ Minimaal 8 karakters lang.

▪ Minimaal 1 hoofdletter.

▪ Minimaal 1 cijfer.

▪ Mag niet gelijk zijn of lijken op gebruikersnaam en/of naam van medewerker.

▪ Mag niet gebruikt zijn als 1 van de laatste 25 wachtwoorden.

▪ Moet iedere 90 dagen veranderd worden.

▪ Deze toegangscontrole bepaalt ook tot welke applicaties toegang wordt verleend. Daarmee worden bevoegdheden toegewezen aan specifieke personen.

▪ Sommige applicaties vragen daarnaast nog om een aparte toegangscontrole.

▪ Zoveel mogelijk encryptie van persoonsgegevens tijdens elektronische overdracht naar externe partijen.

▪ Subvention beschikt over een eigen gesloten IP-/VPN-netwerk tussen alle eigen locaties en het rekencentrum.

▪ Er wordt continu aandacht besteed aan de gevaren van Ransomware en de noodzaak tot geheimhouding van eigen inlogcodes.

▪ Met derden zijn/worden verwerkersovereenkomsten afgesloten.

▪ Met de outsourcingspartner zijn dagelijkse back-up-procedures afgesproken.

▪ Herstelprocedures worden onregelmatig getest.

▪ Arbeidscontracten kennen een geheimhoudingsclausule.

▪ De beveiliging op datacenter niveau wordt continu gemonitord.

▪ Een geïmplementeerde gedragscode.