VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
van toepassing op de opdrachten aan:
ESHUIS ACCOUNTANTS EN BELASTINGADVISEURS B.V., ESHUIS REGISTERACCOUNTANTS B.V., ESHUIS PERSONEELSDIENSTEN B.V., ESHUIS JURISTEN B.V. en ROAD 2 BI B.V.
en de aan haar gelieerde vennootschappen hierna te noemen opdrachtnemer/verwerker gedeponeerd bij de Kamer van Koophandel en
fabrieken te Enschede onder nrs. 06082123, 08151214, 08151515, 83137114 en 73363642
Artikel 1 Definities
In deze verwerkersovereenkomst wordt verstaan onder:
1. Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaakt.
2. Verwerker: ESHUIS ACCOUNTANTS EN BELASTINGADVISEURS B.V., ESHUIS REGISTERACCOUNTANTS B.V., ESHUIS PERSONEELSDIENSTEN B.V., ESHUIS JURISTEN B.V., ROAD 2 BI B.V. en/of een aan hen gelieerde vennootschap die de Overeenkomst sluit en deze verwerkersovereenkomst hanteert. Alle Overeenkomsten komen, met uitsluiting van de artikelen 7:404 en 7:407 lid 2 van het Burgerlijk Wetboek, tot stand met Opdrachtnemer en worden uitsluitend door Opdrachtnemer uitgevoerd. Dit geldt ook indien het de uitdrukkelijke dan wel stilzwijgende bedoeling is van Opdrachtgever dat de Werkzaamheden door een bepaald persoon of bepaalde personen zullen worden uitgevoerd, eveneens Opdrachtnemer.
3. Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
4. Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
5. Opdrachtnemer: ESHUIS ACCOUNTANTS EN BELASTINGADVISEURS B.V., ESHUIS REGISTERACCOUNTANTS B.V., ESHUIS PERSONEELSDIENSTEN B.V., ESHUIS JURISTEN B.V., ROAD 2 BI B.V. en/of een aan hen gelieerde vennootschap die de Overeenkomst sluit en deze verwerkersovereenkomst hanteert. Alle Overeenkomsten komen, met uitsluiting van de artikelen 7:404 en 7:407 lid 2 van het Burgerlijk Wetboek, tot stand met Opdrachtnemer en worden uitsluitend door Opdrachtnemer uitgevoerd. Dit geldt ook indien het de uitdrukkelijke dan wel stilzwijgende bedoeling is van Opdrachtgever dat de Werkzaamheden door een bepaald persoon of bepaalde personen zullen worden uitgevoerd, eveneens Verwerker.
6. Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van Werkzaamheden.
7. Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Opdrachtnemer uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.
8. Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaamheden door Opdrachtnemer ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.
9. Subverwerker: een derde partij waaraan Xxxxxxxxx (een deel van) zijn werkzaamheden inclusief daaraan verbonden verplichtingen uitbesteedt.
Artikel 2 Toepasselijkheid verwerkersovereenkomst
1. Deze verwerkersovereenkomst is van toepassing op alle Gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Opdrachtnemer voortvloeiende Werkzaamheden en de in dat kader te verzamelen Gegevens.
2. Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals omschreven in Annex 1.
3. Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.
4. Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verantwoordelijke bindend voor Verwerker.
5. Op alle rechtsverhoudingen tussen Opdrachtnemer en Opdrachtgever, waaronder aanbiedingen alle offertes, opdrachten, rechtsbetrekkingen en overeenkomsten, hoe ook genaamd, waarbij Opdrachtnemer zich verbindt/zal verbinden om Werkzaamheden te verrichten voor Opdrachtgever, alsmede op alle daaruit voor Opdrachtnemer voortvloeiende werkzaamheden, zijn de Algemene
voorwaarden van toepassing, naar welke vanuit deze verwerkersovereenkomst wordt verwezen en integraal onderdeel uitmaken van de Opdrachtbevestiging. Tevens kunnen deze Algemene Voorwaarden op de website van Opdrachtnemer worden ingezien (xxx.xxxxxx.xxx/xxxx-xxxxxx/xxxxxxx/xxxxxxxx-xxxxxxxxxxx).
6. Deze verwerkersovereenkomst is opgesteld in de Nederlandse taal en diverse andere talen; de Nederlandse tekst is bindend en leidend ingeval van een tegenstrijdigheid in inhoud of strekking.
Artikel 3 Reikwijdte verwerkersovereenkomst
1. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 en in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
2. Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3. De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
4. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
5. Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
Artikel 4 Verplichting Verantwoordelijke
Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.
Artikel 5 Geheimhouding
1. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
2. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
Artikel 6 Geen verdere verstrekking
Verwerker zal de Gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
Artikel 7 Beveiligingsmaatregelen
1. Rekening houdend met de stand van de techniek, de kosten van uitvoering, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de waarschijnlijkheid en ernst van uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die zijn genomen zijn in Annex 2 bepaald.
2. Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Artikel 8 Toezicht op naleving
1. Verwerker stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn en voor eigen rekening, een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij de Verantwoordelijke.
2. Verwerker zal in het kader van lid 1. aan Verantwoordelijke, danwel een daartoe door Verantwoordelijke ingeschakelde derde, in ieder geval:
- alle relevante inlichtingen en documenten verstrekken;
- toegang verlenen tot alle gebouwen, informatiesystemen en Gegevens.
3. Verwerker verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan Verantwoordelijke waarin Xxxxxxxxx informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 7.
4. Verantwoordelijke en Verwerker zullen naar aanleiding van hiervoor benoemde rapportage met elkaar in overleg treden om eventuele risico’s en tekortkomingen te adresseren. Verwerker zal op kosten van Verantwoordelijke nadere beveiligingsmaatregelen treffen om geconstateerde risico’s en tekortkomingen op een voor Verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders zijn overeengekomen.
Artikel 9 Datalek
1. Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
2. Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
Artikel 10 Subverwerkers
1. Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, legt Verwerker aan de betreffende derde deze verwerkersovereenkomst op, danwel sluit Verwerker met deze Subverwerker een (sub)verwerkersovereenkomst betreffende de verantwoordelijkheden en verplichtingen van de Subverwerker.
2. Indien Verwerker geen voorafgaande toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan vraagt Xxxxxxxxx voorafgaande toestemming voor het inschakelen van de Subverwerker.
Artikel 11 Aansprakelijkheid
1. Verwerker is slechts aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82. Algemene Verordening Gegevensbescherming (AVG) is bepaald en met verwijzing naar artikel 12. Algemene Voorwaarden, voor schade of nadeel die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze verwerkersovereenkomst en/of niet-nakoming van verplichtingen door Xxxxxxxxx onder deze verwerkersovereenkomst.
2. Verantwoordelijke staat er voor in dat de verwerking van Xxxxxxxx op basis van deze verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).
3. Verwerker is niet aansprakelijk voor schade die het gevolg is van het door Verantwoordelijke niet naleven van de AVG of andere wet- of regelgeving. Verantwoordelijke vrijwaart Xxxxxxxxx ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Verwerker wordt opgelegd ten gevolge van het handelen van Verantwoordelijke.
4. De in de onderliggende opdracht en daarbij behorende Algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld en Verwerker ook na die termijn toerekenbaar blijft tekort schieten in de nakoming van haar verplichtingen.
Artikel 12 Medewerkingsplicht
1. Verwerker zal Verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
2. Als Xxxxxxxxx rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker Verantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert, voor zover deze niet strijdig zijn met wet- en regelgeving, zo snel mogelijk alle instructies uit die Verantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van Verantwoordelijke.
Artikel 13 Duur en beëindiging
1. Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
2. Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke bewaarplicht bepaalde Gegevens moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze Gegevens binnen 4 weken na beëindiging van de wettelijke bewaarplicht.
3. Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan Verantwoordelijke binnen twee maanden na beëindiging van de overeenkomst aan Verwerker verzoeken om alle gegevensdragers waarop of waarin zich Gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de Gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Gegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Gegevens redelijkerwijs niet kunnen worden verstrekt aan Verantwoordelijke, zal Verwerker aan Verantwoordelijke een toegankelijke, leesbare kopie van de Gegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Gegevens overgaan, tenzij Verwerker op grond van een wettelijke plicht gehouden is Gegevens op te slaan.
4. Onverlet hetgeen voor het overige in dit artikel 13 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.
Artikel 14 Nietigheid
Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
Artikel 15 Toepasselijk recht en forumkeuze
1. Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
2. Alle geschillen die verband houden met deze verwerkersovereenkomst worden beslecht door de bevoegde rechter in het arrondissement waarin Opdrachtnemer zijn woonplaats heeft.
3. In afwijking van het bepaalde in lid 2 kunnen Opdrachtgever en Opdrachtnemer kiezen voor een andere wijze van geschillenbeslechting.
Juli 2021
ANNEX 1 - GEGEVENS EN DOELEINDEN
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht, waaronder (maar niet uitsluitend) kunnen vallen salarisadministratie, financiële/fiscale verslaglegging alsmede projecten in het kader van audit & assurance en advies:
1) Naam (initialen, voor- en achternaam, titelatuur)
2) Telefoonnummers
3) E-mailadres
4) Geboortedatum en -plaats
5) Adres, Woonplaats
6) Gegevens ID-bewijs (in verband met de Wwft)
7) Financiële gegevens, zowel zakelijk als privé
8) BSN van (personeelsleden van) Verantwoordelijke
In kader van personeelsadministratie (Personeelsdossiers)
9) Arbeidsovereenkomsten en andere aanstellingsdocumenten
10) Deelname aan (werkgevers-)regelingen, zoals pensioen, verzekeringen etc.
11) Salarisinformatie en salarishistorie
12) Functienaam en functieprofielen
13) Re-integratiedossier / Correspondentie UWV
14) Verslaglegging omtrent functioneren / beoordeling
15) Diploma’s, deelnamecertificaten, studieregeling
16) Uren- en verlofregistratie
17) Persoonlijkheidstesten of assessments
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
a) de werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;
b) het onderhoud, waaronder updates en releases van het door Verwerker dan wel Subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;
c) het gegevens- en technische beheer, ook door een Subverwerker;
d) de hosting, ook door een Subverwerker.
ANNEX 2 - BEVEILIGINGSMAATREGELEN
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
• Backup- en herstelprocedures
• Beveiliging van netwerkverbindingen
• Bevoegdheden zijn toegewezen aan de personen die belast zijn met de uitvoering van de verwerking
• Encryptie van persoonsgegevens tijdens elektronische overdracht naar externe partijen
• Geïmplementeerd beveiligingsbeleid
• Geïmplementeerde gedragscode
• Geheimhoudingsverklaringen in arbeidscontracten en arbeidsvoorwaardenreglement
• Indringeralarm
• Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes
• Controle van toegang tot de persoonsgegevens
• Subverwerkersovereenkomsten met derden
• Veilige wijze voor het opslaan van gegevensbestanden