Bijlage Verwerkersovereenkomst SnelStart Software B.V.
Bijlage Verwerkersovereenkomst SnelStart Software B.V.
Wanneer je gebruik maakt van SnelStart, leg je diverse gegevens vast van je klanten, leveranciers en anderen. Het gaat hierbij om persoonsgegevens, zoals namen, adressen, telefoonnummers, e- mailadressen en rekeningnummers. In de Algemene Verordening Gegevensbescherming (hierna; AVG) word je aangemerkt als verwerkingsverantwoordelijke voor de verwerking van die persoonsgegevens. Wij worden aangemerkt als verwerker, omdat wij de persoonsgegevens verwerken in ons systeem namens de verwerkingsverantwoordelijke. In deze overeenkomst lees je wat onze taken zijn als verwerker tegenover de verwerkingsverantwoordelijke.
1. Wat betekenen de juridische termen?
Je treft veel juridische termen aan in deze verwerkersovereenkomst. Voor de leesbaarheid leggen we hier eerst uit wat deze termen betekenen.
Administratie: een boekhouding die door jou met behulp van SnelStart-producten wordt gevoerd. In de administratie worden gegevens door of namens jou opgeslagen.
Persoonsgegevens: alle gegevens die zijn opgenomen in de administratie en die informatie geven over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Denk hierbij aan een naam, (e-mail)adres of telefoonnummer.
Betrokkene: de persoon op wie persoonsgegevens betrekking hebben, of zijn vertegenwoordiger. Dit kan zijn de klant, de leverancier of anderen waarvan gegevens zijn opgeslagen.
Verwerkingsverantwoordelijke: de persoon of organisatie die het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Deze beslist ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt.
Verwerker: de persoon of organisatie die door de verwerkingsverantwoordelijke is ingeschakeld om persoonsgegevens te verwerken.
Sub-verwerkers: de persoon of organisatie die namens de verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke. Dit is vaak het geval wanneer verwerkers andere partijen inschakelen voor de uitvoering van de verwerking.
Verwerkersovereenkomst: De overeenkomst die de verwerkingsverantwoordelijke met de verwerker afsluit. Hierin worden afspraken vastgelegd over het verwerken van persoonsgegevens.
2. Wie zijn de partijen?
Als je in de verwerkersovereenkomst ‘je/jij’ of ‘jou(w)’ leest, dan hebben we het over jou als klant. Lees je ‘wij/we’ of ‘ons/onze’, dan bedoelen we SnelStart Software B.V., gevestigd op Harkebuurt 3, 1794 HM, in Oosterend. We zijn ingeschreven bij de Kamer of Koophandel onder nummer 370 54131.
3. Wanneer geldt deze verwerkersovereenkomst?
De verwerkersovereenkomst komt tot stand op het moment dat je akkoord gaat met onze algemene voorwaarden. Deze verwerkersovereenkomst is een onderdeel van de overeenkomst die we met elkaar aangaan zodra je gebruikmaakt van één van de SnelStart-producten. Op het moment dat je geen gebruik meer maakt van onze producten, zal de overeenkomst beëindigd worden en daarmee ook de verwerkersovereenkomst conform artikel 17.
4. Welke persoonsgegevens verwerken wij en met welke doelen doen we dat?
Als verwerkingsverantwoordelijke verwerk jij persoonsgegevens via SnelStart. Wij verwerken deze persoonsgegevens alleen in opdracht van jou. Als we het over persoonsgegevens in jouw administratie hebben, gaat het om de volgende groepen betrokkenen:
Debiteuren (afnemers/klanten)
Crediteuren (leveranciers)
Medewerkers
Ingehuurde externe medewerkers
Van deze betrokkenen worden zover nodig de volgende gegevens verwerkt:
Contactgegevens (naam, adres, woonplaats, e-mail, telefoon, BTW- en KVK-nummers)
Bankgegevens (gevoelig)
Factuurgegevens (gevoelig)
Declaratiegegevens (gevoelig)
Het doel van het verwerken van jouw persoonsgegevens is dat je voldoet aan de wettelijke verplichting van het bijhouden van een financiële administratie.
5. Aan welke regels houden wij ons?
Bij het verwerken van persoonsgegevens houden we ons aan de wet. We zullen de persoonsgegevens beschermen en verwerken op een veilige, zorgvuldige en transparante manier, zoals de wet dat voorschrijft. Op basis van jouw instructie verwerken wij hierbij alleen de persoonsgegevens van jouw opdrachtgevers, leveranciers, medewerkers en overige belanghebbenden van jou. Het gaat hierbij om persoonsgegevens zoals aangegeven in artikel 4.
Wij zorgen voor integere verwerking en geheimhouding door onze medewerkers of diegenen die werkzaamheden voor ons uitvoeren, zoals de sub-verwerkers en derden. Als we de persoonsgegevens voor een ander doel willen verwerken, dan vragen we hiervoor vooraf om toestemming aan jou, tenzij we daartoe Unierechtelijk of lidstaatrechtelijk aan gehouden zijn.
Als het gaat om verwerking van persoonsgegevens, zullen we je direct in kennis stellen zodra een instructie van jou een inbreuk oplevert op de AVG en/of andere toepasselijke wet- en regelgeving. Wij zullen de persoonsgegevens niet voor eigen doel gebruiken of bewaren.
6. Met wie delen wij persoonsgegevens?
We maken zonder jouw toestemming geen gebruik van de diensten van andere organisaties. Wel maken we voor het leveren van onze online dienstverlening gebruik van subverwerkers. Dit zijn
personen of organisaties die in opdracht van ons persoonsgegevens verwerken uit SnelStart. Op xxx.xxxxxxxxx.xx/xxxxxxxxxxxxx lees je wie dit zijn.
We informeren je vooraf, en waar mogelijk in ieder geval één maand voorafgaand, bij veranderingen zoals het toevoegen van nieuwe subverwerkers of de vervanging daarvan. Mocht je het niet eens zijn met de verandering, dan heb je het recht om de overeenkomst per direct te beëindigen.
We zien erop toe dat de subverwerkers dezelfde mate van bescherming van persoonsgegevens bieden, die wij verlangen op grond van deze verwerkersovereenkomst. Het gaat dan met name over de verplichting tot het toepassen van passende technische en organisatorische maatregelen voor het beveiligen van persoonsgegevens volgens deze verwerkersovereenkomst en het tijdig melden van incidenten.
7. Waar worden persoonsgegevens opgeslagen?
We streven ernaar om de verwerking van persoonsgegevens binnen de Europese Economische Ruimte te laten plaatsvinden, bij voorkeur in Nederland. Bij de subverwerkers toetsen we waar de gegevensverwerking plaatsvindt. We behouden ons het recht voor om de verwerking van persoonsgegevens buiten de Europese Economische Ruimte te laten plaatsvinden. Aanvullend op het voorgaande artikel zullen we in dat geval zorgdragen dat de persoonsgegevens alleen worden doorgegeven aan een derde land of internationale organisatie indien:
1. Een adequaatheidsbesluit overeenkomstig artikel 45 lid 3 AVG is genomen ten aanzien van het betreffende derde land of betreffende internationale organisatie; ofwel
2. Passende waarborgen overeenkomstig artikel 46 AVG met inbegrip van bindende voorschriften zoals bedoeld in artikel 47 AVG zijn getroffen ten aanzien van het betreffende derde land of betreffende internationale organisatie; ofwel
3. Aan één van de specifieke voorwaarden uit artikel 49 lid 1 AVG is voldaan ten aanzien van het betreffende derde land of betreffende internationale organisatie.
8. Hoe beveiligen wij jouw persoonsgegevens?
Om persoonsgegevens te beveiligen, hebben we passende technische en organisatorische maatregelen genomen. We hebben hier rekening gehouden met de laatste stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.
Deze maatregelen omvatten, waar passend, onder meer het volgende:
De vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkingsprocessen en diensten te garanderen
Bij een technische incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen
Een periodieke onderzoek, test, beoordeling en evaluatie van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking uit te voeren
Naast deze maatregelen zijn we steeds op zoek naar het verbeteren van onze systemen. Mocht je hierover vragen hebben of ondersteuning nodig hebben bij een gegevensbeschermingseffectbeoordeling, neem dan contact op via xxxxxxx@xxxxxxxxx.xx.
9. Welke rechten hebben betrokkenen?
Op basis van de AVG hebben de betrokkenen een aantal rechten. Het gaat hier om onder andere de volgende rechten:
De betrokkenen mogen vragen welke persoonsgegevens jij van hen verwerkt en opslaat. Jij bent verplicht om deze informatie te verstrekken.
De betrokkenen mogen vragen om de persoonsgegevens die jij van hen hebt opgeslagen te corrigeren of aan te vullen dan wel te vernietigen.
Wij zullen jou helpen deze vragen te beantwoorden. Verzoeken hiertoe kun je richten aan xxxxxxx@xxxxxxxxx.xx. Als dergelijke verzoeken van betrokkenen door ons worden ontvangen, zullen we deze doorsturen naar jou.
10. Wanneer kun je een inspectie en audit laten uitvoeren?
Je hebt het recht om periodiek audits uit te (laten) voeren om zo na te gaan of we ons houden aan de verwerking van persoonsgegevens zoals beschreven in deze verwerkersovereenkomst. We zullen alle informatie ter beschikking stellen die hiervoor nodig is. Indien je gebruik wil maken van een inspectie of audit op locatie, dien je uiterlijk vier weken voor aanvang van de audit een verzoek bij ons in. Onze kosten voor de ondersteuning van de audit zullen wij aan jou doorbelasten.
11. Hoe gaan wij om met verzoeken van derden?
We zullen de persoonsgegevens niet onthullen aan enige derde, tenzij jij toestemming hebt gegeven of tenzij wij hiertoe wettelijk verplicht zijn. Indien een overheidsinstelling of toezichthoudende instantie toegang tot de persoonsgegevens van jou eist, zullen we je hiervan voorafgaand aan de toegang op de hoogte stellen, tenzij dit wettelijk verboden is.
12. Wat zijn jouw verplichtingen?
Je draagt er zorg voor dat de inhoud, het gebruik en/of de verwerking van de persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde. Wij zijn niet verantwoordelijk voor elke aanspraak van derden in verband met de persoonsgegevens die we verwerken, tenzij je kunt aantonen dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan ons toegerekend kunnen worden.
14. Wanneer informeren we je bij inbreuken op de persoonsgegevens?
We informeren je zonder onredelijke vertraging zodra we kennis hebben genomen van
een inbreuk in verband met persoonsgegevens. In deze melding wordt ten minste het volgende omschreven of meegedeeld:
De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en het aantal betrokkenen
De contactgegevens van de contactpersoon waar meer informatie kan worden verkregen
De waarschijnlijke gevolgen van de Inbreuk in verband met persoonsgegevens, mits deze op dat moment reeds duidelijk zijn. Aanvullende informatie zal, als dit bekend wordt, worden verstrekt aan jou
De maatregelen die we voorstellen of hebben genomen om de inbreuk in verband met persoonsgegevens aan te pakken en eventuele nadelige gevolgen daarvan te beperken
Wij zullen jou ondersteunen bij verder analyse van de inbreuk en eventueel vervolgacties richting betrokkenen dan wel Autoriteit Persoonsgegevens.
14. Wanneer retourneren of vernietigen we persoonsgegevens?
Je kunt tot drie maanden na afloop van de overeenkomst de persoonsgegevens downloaden. Na afloop van deze periode zullen we alle persoonsgegevens vernietigen, tenzij er op ons een wettelijke plicht tot opslag van persoonsgegevens rust. Gedurende de overeenkomst kan je zelf ervoor zorgdragen dat de persoonsgegevens binnen de administratie voldoen aan je eigen bewaartermijnen.
15. Wie is er aansprakelijkheid bij schade?
Om misverstanden te voorkomen is onze aansprakelijkheid beperkt. Je zult volledig en effectief gevrijwaard worden tegen alle vorderingen, onkosten, verliezen en schade en aansprakelijkheden geleden door jou vanwege het niet-naleven van vereisten uit hoofde van de verwerkersovereenkomst door verwerker of subverwerkers met een maximum van € 10.000,00.
16. Hoe gaan we om met conflicterende bepalingen?
In geval van conflicterende bepalingen met de overeenkomst tussen ons en jou gelden de bepalingen in deze verwerkersovereenkomst. In geval een bepaling nietig blijkt, zal deze worden aangepast door een wederzijds goedgekeurde bepaling. Deze ligt zoveel mogelijk in de lijn of geest van de originele bepaling.
17. Wanneer wordt de verwerkersovereenkomst beëindigd?
Op het moment dat je geen gebruik meer maakt van onze producten, zal de verwerkersovereenkomst beëindigd worden. Alle bepalingen van deze verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van de verwerkersovereenkomst, waaronder geheimhouding, melden inbreuk, vrijwaring en boete, bijhouden van bescheiden en retour persoonsgegevens, blijven volledig van kracht.
Versie 2.0, 1 oktober 2019