PRIVACY VOORWAARDEN

PRIVACY VOORWAARDEN

1. Algemeen

In deze privacyvoorwaarden wordt verstaan onder:

1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze privacyvoorwaarden onlosmakelijk deel uitmaken.

1.2 Verwerker: de maatschap Daamen & van Sluis Accountants Belastingadviseurs, statutair gevestigd te Rotterdam en kantoorhoudende aan Xxxxxxxxxx Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx en alle aan Daamen & van Sluis Accountants Belastingadviseurs gelieerde entiteiten, eveneens Opdrachtnemer, hierna te noemen D&vS.

1.3 Gegevens: de gegevens die noodzakelijk zijn voor de uitvoering van de opdracht en in dat kader door Opdrachtgever aan Opdrachtnemer worden verstrekt, zoals nader

omschreven in Annex 1.

1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.

1.5 Opdrachtnemer: de maatschap Daamen & van Sluis Accountants Belastingadviseurs statutair gevestigd te Rotterdam en kantoorhoudende aan de Fascinatio Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx, eveneens Verwerker.

1.6 Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaamheden door Opdrachtnemer ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.

1.7 Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van Werkzaamheden.

1.8 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Opdrachtnemer uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

1.9 Opdracht: de opdracht tot het verrichten van Werkzaamheden die zowel mondeling als schriftelijkdoor Opdrachtgever aan Opdrachtnemer is verstrekt.

2. Toepasselijkheid privacyvoorwaarden

2.1 Deze privacyvoorwaarden zijn van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door D&vS worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor D&vS voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.

2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals omschreven in Annex 1.

2.3 Bij de uitvoering van de Overeenkomst verwerkt D&vS bepaalde persoonsgegevens voor Verantwoordelijke.

2.4 Dit zijn privacyvoorwaarden in de zin van artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming ( AVG ), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.

2.5 Deze privacyvoorwaarden maken, net als de Algemene voorwaarden van D&vS, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

3. Verantwoordelijke en Verwerker

3.1 Afhankelijk van de Werkzaamheden die Opdrachtnemer verricht voor Opdrachtgever, is Opdrachtnemer ofwel Verwerker, ofwel gezamenlijk Verantwoordelijke met Opdrachtgever. Opdrachtgever is te allen tijde (gezamenlijk) Verantwoordelijke.

3.2 In het kader van de verdeling van de verantwoordelijkheden bij gezamenlijke verantwoordelijkheid op grond van artikel 26 AVG, spreken partijen af dat Opdrachtgever te allen tijde wordt aangemerkt als Verantwoordelijke en alle bijbehorende

verplichtingen op zich neemt. Opdrachtnemer wordt aangemerkt als Verwerker en neemt de daarbij behorende verplichtingen op zich.

3.3 Waar in het vervolg van deze privacyvoorwaarden wordt gesproken over “Verantwoordelijke” wordt aldus Opdrachtgever bedoeld, en waar wordt gesproken over “Verwerker” wordt Opdrachtnemer bedoeld.

3.4 Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals omschreven in artikel 5 van deze privacyvoorwaarden.

3.5 Bij de uitvoering van de Overeenkomst verwerkt Verwerker persoonsgegevens in opdracht van c.q. voor Verantwoordelijke

Xxxxxxxxxx Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx Telefoon: 010 - 000 00 00, Fax: 010 - 000 00 00, E-mail: xxxx@xxxxxxxx.xx

4. Reikwijdte privacyvoorwaarden

4.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan D&vS ( de verwerker ) de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in artikel 5 van deze privacyvoorwaarden en in overeenstemming met de overige bepalingen van deze privacyvoorwaarden.

4.2 D&vS verwerkt de Gegevens uitsluitend in overeenstemming met deze privacyvoorwaarden, met name met hetgeen is opgenomen in artikel 5. D&vS bevestigt de Xxxxxxxx niet voor andere doeleinden te verwerken.

4.3 De zeggenschap over de Gegevens komt nooit bij D&vS te rusten.

4.4 De Verantwoordelijke kan additionele, schriftelijke instructies aan D&vS geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.

4.5 D&vS verwerkt de Gegevens enkel in de Europese Economische Ruimte.

4.6 Verantwoordelijke staat ervoor in dat voor de verwerking van de Gegevens door Verwerker een adequate wettelijke grondslag aanwezig is en deze geen inbreuk maakt op rechten van.

5. Gegevens en doeleinden verwerking

5.1 De Verantwoordelijke laat de (medewerkers van) Verwerker de Gegevens verwerken die noodzakelijk zijn voor de uitvoering van de Opdracht.

5.2 De werkzaamheden waarvoor de in het eerste lid genoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

a. de werkzaamheden, te beschouwen als de primaire dienstverlening van Opdrachtnemer, in het kader waarvan Verantwoordelijke Opdracht heeft verstrekt aan Verwerker;

b. het onderhoud, waaronder updates en releases van het door Verwerker dan wel subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;

c. het gegevens- en technische beheer, ook door een subverwerker;

d. de hosting, ook door een subverwerker;

e. de verzending van gegevens, ook door een subverwerker;

f. overige werkzaamheden die noodzakelijk zijn voor de uitvoering van de Opdracht.

6. Verplichting Verantwoordelijke

6.1 Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan D&vS worden verstrekt.

7. Rechten betrokkenen

7.1 Verantwoordelijke is verantwoordelijk voor het faciliteren van de rechten van betrokkenen.

7.2 Verwerker verleent Verantwoordelijke – op verzoek – in alle redelijkheid bijstand bij het vervullen van diens plicht om verzoeken van betrokkenen tot inzage, rectificatie, gegevenswissing, beperking van verwerking en/of data-export in te willigen.

8. Geheimhouding

8.1 D&vS en de personen die in dienst zijn van D&vS danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

8.2 D&vS en de personen die in dienst zijn van D&vS danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.

9. Geen verdere verstrekking

9.1 D&vS zal de gegevens niet delen met of verstrekken aan derden, tenzij D&vS daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien D&vS op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal D&vS de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.

Xxxxxxxxxx Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx Telefoon: 010 - 000 00 00, Fax: 010 - 000 00 00, E-mail: xxxx@xxxxxxxx.xx

10. Sub-Bewerkers

10.1 D&vS zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen die thans zijn genomen, zijn bij D&vS op te vragen.

10.2 D&vS zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

10.3 Indien ondanks de beveiligingsmaatregelen een ongeautoriseerde verwerking van Gegevens plaatsvindt, rust de bewijslast bij Verantwoordelijke dat Verwerker niet adequaat heeft gehandeld.

10.4 Verwerker verleent Verantwoordelijke op verzoek in alle redelijkheid bijstand bij diens verplichtingen uit hoofde van de artikelen 35 en 36 AVG.

11. Toezicht op naleving

11.1 D&vS stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van D&vS te controleren van de privacyvoorwaarden en met name van de beveiligingsmaatregelen die zijn genomen zoals genoemd in artike 10.

11.2 D&vS is verplicht in het kader van de controle genoemd in lid 1 een overzicht te verstrekken van de Gegevens die worden verwerkt.

11.3 D&vS verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan Verantwoordelijke waarin D&vS informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 10.

11.4 Verantwoordelijke en D&vS kunnen naar aanleiding van de onder artikel 11.3 benoemde rapportage samen nadere beveiligingsmaatregelen overeenkomen.

12. Datalek

12.1 Zo spoedig mogelijk nadat D&vS kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt D&vS Verantwoordelijke hiervan op de hoogte via de bij D&vS bekende contactgegevens van Verantwoordelijke en zal D&vS informatie verstrekken over: de aard van het incident of het datalek, de getroffen Gegevens de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die D&vS heeft getroffen en zal treffen.

12.2 D&vS zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.

13. Sub-Verwerkers

13.1 Indien D&vS op grond van de Overeenkomst zijn verplichtingen uitbesteedt aan derden, legt D&vS aan de betreffende derde deze privacy voorwaarden op, dan wel sluit D&vS met deze subVerwerker een (sub)Verwerkersovereenkomst betreffende de verantwoordelijkheden en verplichtingen van de sub-Verwerker.

14. Aansprakelijkheid

14.1 D&vS is slechts aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 AVG is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid. D&vS is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze privacyvoorwaarden en/of niet-nakoming van verplichtingen door D&vS onder deze privacy voorwaarden.

15. Duur en beëindiging

15.1 Deze privacyvoorwaarden zijn geldig zolang D&vS de opdracht heeft van Xxxxxxxxxxxxxxxxx om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en D&vS. Zolang door D&vS werkzaamheden worden verricht ten behoeve van Verantwoordelijke zijn deze privacyvoorwaarden op deze relatie van toepassing.

15.2 Indien D&vS op grond van een wettelijke bewaarplicht bepaalde gegevens en/ documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal D&vS zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen 4 weken na beëindiging van de wettelijke bewaarplicht.

15.3 Verwerker is gerechtigd deze privacyvoorwaarden te wijzigen of aan te vullen. Wijzigingen van ondergeschikt belang kunnen te alle tijden worden doorgevoerd.

Grote inhoudelijke wijzigingen worden ( bij voorbaat ) met Verantwoordelijke besproken.

Xxxxxxxxxx Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx Telefoon: 010 - 000 00 00, Fax: 010 - 000 00 00, E-mail: xxxx@xxxxxxxx.xx

15.4 Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en D&vS kan Verantwoordelijke aan D&vS verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal D&vS de gegevens verstrekken in de vorm zoals bij D&vS aanwezig.

15.5 Onverlet hetgeen voor het overige in dit artikel 15 is bepaald, zal D&vS na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.

16. Nietigheid

16.1 Indien één of meerdere bepalingen uit deze privacyvoorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze privacyvoorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

17. Toepasselijk recht en forumkeuze

17.1 Op deze privacyvoorwaarden is Nederlands recht van toepassing.

17.2 Alle geschillen in verband met de privacyvoorwaarden of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank Xxxxxxxxx.

Xxxxxxx xxx xxx XXxxxx, 00 mei 2018

ANNEX 1

GEGEVENS EN DOELEINDEN

GEGEVENS EN DOELEINDEN

De Verantwoordelijke laat D&vS de o.a de volgende Gegevens door D&vS verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadminis- tratie, financiële verslaglegging:

(1) Naam (initialen, achternaam)

(2) Telefoonnummer

(3) E-mailadres

(4) Geboortedatum

(5) Woonplaats

(6) Gegevens ID-bewijs (in verband met de Wwft)

(7) Financiële gegevens, zowel zakelijk als privé

(8) NAW-gegevens en BSN van personeelsleden van Verantwoordelijke

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan D&vS;

(2) het onderhoud, waaronder updates en releases van het door D&vS dan wel subVerwerker aan Verantwoordelijke ter beschikking gestelde systeem;

(3) het gegevens- en technische beheer, ook door een subVerwerker;

(4) de hosting, ook door een subVerwerker.

BEVEILIGINGSMAATREGELEN

De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:

• De gebruikte glasvezelverbindingen worden continue gemonitord op beschikbaarheid en integriteit.

• Daamen & Xxx Xxxxx heeft een backup-lijn.

• Alle applicatie- en dataservers zijn gevirtualiseerd op een cluster.

• De servers staan in een fysiek, en met alarm beveiligde ruimte.

• Serverruimtes zijn geconditioneerd.

• Belangrijke onderdelen van de infrastructuur (fysieke hosts, switches, routers) zijn voor stroomuitval of spanningspieken beschermd middels UPS-sen.

• Toegang tot gegevens kan alleen vanaf het kantoornetwerk van Daamen & Van Sluis of via een met two-pass beveiligde VPN-verbinding naar het kantoornetwerk.

Xxxxxxxxxx Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx Telefoon: 010 - 000 00 00, Fax: 010 - 000 00 00, E-mail: xxxx@xxxxxxxx.xx

• De software van alle componenten (inclusief maar niet beperkt tot servers, werkstations, firewalls, spamfilters, applicatieservers en andere systemen) wordt met regelmaat en gestructureerd geüpdatet.

• Er wordt gebruik gemaakt van persoonsgebonden accounts waarbij een wachtwoordbeleid wordt afgedwongen.

• Er wordt gebruik gemaakt van virus- en malwarescanners op alle relevante onderdelen van de infrastructuur. Deze worden automatisch en met grote regelmaat (meerdere keren per dag) geüpdatet.

• Een dagelijkse backup van alle systemen (inclusief een kopie naar een tweede serverruimte op een andere vestiging) beveiligen de omgeving tegen gegevensverlies en het niet beschikbaar zijn van de omgeving.

• De werking van de backup wordt met regelmaat getest.

• Ontsluiting naar het Internet gebeurt middels één centrale next generation firewall die beheerd en gemonitord wordt.

• Op diverse systemen (zowel op bestandsniveau als binnen applicaties) zijn rechten voor medewerkers beperkt ter beperking van de risico’s.

• Het is niet mogelijk en toegestaan om software op het kantoornetwerk te installeren. Installaties dienen altijd via de ICT-afdeling te worden aangevraagd en uitgevoerd.

• Alle systemen en applicaties die worden geïnstalleerd worden vooraf op het vlak van beveiliging beoordeeld en waar nodig worden configuraties aangepast.

• Er is een e-mail en internet reglement die nieuwe medewerkers ontvangen als bijlage bij de arbeidsovereenkomst.

• In de arbeidsovereenkomst is een artikel opgenomen over geheimhouding.

• Voor bepaalde functies (bijvoorbeeld systeembeheer) geldt een extra geheimhoudingsverklaring.

• Storingen worden geregistreerd in een ticketsysteem wat met regelmaat geëvalueerd wordt.

• Er is een calamiteitenplan wat continu verder wordt ontwikkeld.

Xxxxxxxxxx Xxxxxxxxx 000, 0000 XX Xxxxxxx xxx xxx XXxxxx Telefoon: 010 - 000 00 00, Fax: 010 - 000 00 00, E-mail: xxxx@xxxxxxxx.xx