In deze overeenkomst zijn rechtsgeldig de rechten en plichten van partijen vastgelegd met betrekking tot de Verwerking van Persoonsgegevens.
De ondergetekenden:
Cliënt, de cliënt van Boekhoudersfabriek, hierna aangeduid als “Verwerker”, die aan Boekhoudersfabriek opdracht heeft gegeven voor het onder meer administratief bijstaan in de boekhouding, salarisadministratie, opstellen jaarrekening en fiscale begeleiding
En
Boekhoudersfabriek, hierna te noemen de “Verantwoordelijke”.
Hierna gezamenlijk te noemen: “Partijen”.
Overwegende:
- a) Verwerker heeft met Verantwoordelijke een overeenkomst gesloten voor het verrichten van administratieve handelingen,;
- b) Verantwoordelijke zal in het kader van de uitvoering van de Overeenkomst bestanden met administratieve gegevens aan Verwerker ter beschikking stellen waarin Persoonsgegevens kunnen zijn opgenomen zodat sprake is van een verwerking van Persoonsgegevens in de zin van de Wet bescherming Persoonsgegevens (hierna: Wbp) respectievelijk de Algemene Verordening Gegevensbescherming (Verordening 2016/679/EU; hierna: AVG); c) Omdat sprake is van een Verwerking van Persoonsgegevens, wensen Partijen, in de onderhavige Verwerkersovereenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie. Komen overeen:
Artikel 1: Definities
De hierna en hiervoor in deze Verwerkersovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:
1.1 Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.
1.2 Datalek: een inbreuk op beveiligingsmaatregelen die erop zijn gericht Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking, alsmede enig incident of enige gebeurtenis waarbij verlies of onrechtmatige Verwerking van Persoonsgegevens plaatsvindt dan wel zou kunnen plaatsvinden.
1.3 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.4 Sub-Verwerker: de natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het verwerken van Persoonsgegevens ten behoeve van Verantwoordelijke.
1.5 Verwerkersovereenkomst: deze overeenkomst tussen Verantwoordelijke en Verwerker met als onderwerp het verwerken van Persoonsgegevens.
1.6 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens.
Artikel 2: Ingangsdatum en duur van de Verwerkersovereenkomst
Deze overeenkomst gaat in op het moment van ondertekening door beide partijen of in het geval Verwerker via de e-mail een akkoord heeft gegeven op de inhoud van deze overeenkomst en zal van kracht zijn zolang de Verwerker als verwerker van Persoonsgegevens optreedt in het kader van de door de Verantwoordelijke aan Verwerker ter beschikking gestelde Persoonsgegevens.
Artikel 3: Onderwerp van de Verwerkersovereenkomst
3.1 Verantwoordelijke stelt het doel en de middelen voor de Verwerking van Persoonsgegevens vast. Het doel van de Verwerking is opgenomen in Bijlage 1.
3.2 Verantwoordelijke verstrekt Persoonsgegevens aan Verwerker. Een overzicht van de categorieën Persoonsgegevens die aan Verwerker verstrekt kunnen worden, wordt opgenomen in Bijlage 1. Verwerker verwerkt deze Persoonsgegevens uitsluitend ter uitvoering van de Overeenkomst, deze Verwerkersovereenkomst, en de door Verantwoordelijke gegeven schriftelijke instructies.
3.3 Verantwoordelijke geeft aan Verwerker toestemming een Sub-Verwerker in te schakelen. Verwerker zal, alvorens hij overgaat tot inschakeling van de Sub-Verwerker, in een schriftelijke overeenkomst dezelfde verplichtingen aan die Sub-Verwerker opleggen als die op Verwerker zelf rusten uit hoofde van deze Verwerkersovereenkomst.
3.4 Verwerker zal indien nodig Verantwoordelijke bijstand verlenen bij het nakomen van de verplichtingen uit hoofde van de AVG.
Artikel 4: Geheimhoudingsplicht
4.1 Partijen zijn zich ervan bewust dat zij Persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de Persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de Overeenkomst en deze Verwerkersovereenkomst.
4.2 Partijen zullen de Persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. Verwerker zal waarborgen dat zijn werknemers en/of derden die toegang hebben tot de Persoonsgegevens zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.
Artikel 5: Beveiligingsmaatregelen
5.1 Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van te beschermen Persoonsgegevens met zich meebrengen.
5.2 De bij het aangaan van de Verwerkersovereenkomst genomen maatregelen als bedoeld in artikel 5.1 worden.
Artikel 6: Controle
Verantwoordelijke is bevoegd om te controleren dan wel te laten controleren of Verwerker de verplichtingen uit deze Verwerkersovereenkomst en geldende wetgeving nakomt.
Artikel 7: Einde overeenkomst
Na afloop van de Overeenkomst en de Verwerkersovereenkomst zullen alle Persoonsgegevens, kopieën en bewerkingen daarvan, alsmede alle gegevensdragers waarop de Persoonsgegevens, kopieën of bewerkingen daarvan zijn of zullen worden vastgelegd, onmiddellijk op eerste verzoek van Verantwoordelijke worden geretourneerd c.q. verstrekt aan Verantwoordelijke (of een door Verantwoordelijke aan te wijzen derde), dan wel te worden vernietigd, een en ander naar keuze van Verantwoordelijke.
Artikel 8: Datalekken
8.1 Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkenen.
8.2 Verwerker zal enig Datalek, na de eerste ontdekking hiervan door Verwerker, zo snel mogelijk rapporteren aan Verantwoordelijke. Verwerker vermeldt daarbij in ieder geval de volgende gegevens: de (vermoedelijke) oorzaak van het Datalek, de (vooralsnog bekende en/of te verwachten) gevolgen van het Datalek, locatiegegevens van het Datalek, de eventuele onbevoegde ontvangers van de Persoonsgegevens en alle beschikbare informatie over hen, voorstellen voor maatregelen ter beperking van de schade, eventuele andere gegevens indien Verantwoordelijke daarom verzoekt.
8.3 Verwerker zal op verzoek van Verantwoordelijke meewerken aan het adequaat informeren van Betrokkenen of de toezichthoudende instanties over het Datalek, en zich ter zake beschikbaar houden voor overleg met Verantwoordelijke.
8.4 Verantwoordelijke en Verwerker betrachten strikte geheimhouding wegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.
Artikel 9: Aansprakelijkheid en vrijwaring
Verwerker is alleen aansprakelijk voor de schade die is veroorzaakt door een Verwerking die inbreuk maakt op de AVG als het verplichtingen betreft die specifiek tot Verwerker zijn gericht of sprake is van handelen in strijd met de rechtmatige instructies van Verantwoordelijke.
Artikel 10: Toepasselijk recht
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Verwerker niet kan voorzien in een passend niveau van bescherming, kan dit voor Verwerker reden zijn om de Onderliggende opdracht te beëindigen.
10.3 Deze Overeenkomst is hoger in rang dan andere door Verwerker met Verantwoordelijke gesloten overeenkomsten. Als Verantwoordelijke algemene voorwaarden gebruikt dan zijn deze van toepassing op deze Overeenkomst.
10.4 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. In overleg zullen partijen een nieuwe bepaling opstellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
10.5 Op deze overeenkomst is het Nederlands recht van toepassing. De Nederlandse rechter is bevoegd kennis te nemen van geschillen.
Bijlage 1; verwerking van persoonsgegevens
- De volgende categorieën Persoonsgegevens kunnen aan Verwerker verstrekt worden: Informatie die Verantwoordelijke aan Verwerker ter beschikking stelt kunnen Persoonsgegevens bevatten. Deze Persoonsgegevens kunnen zijn opgenomen in bijvoorbeeld de:
- a) financiële administratie;
- b) personeelsadministratie;
- c) salarisadministratie;
- d) overige administraties.
- Doel van verwerking:
Verwerker en Verantwoordelijke verwerken Persoonsgegevens uitsluitend in het kader van het uitvoeren van de Overeenkomst.
- Wijze van verwerking:
De werkzaamheden van Verwerker en Verantwoordelijke met betrekking tot Persoonsgegevens bestaan uit het opslaan van de aangeleverde gegevens ten behoeve van de overeengekomen dienstverlening.
Bijlage 2; technische en organisatorische beveiligingsmaatregelen
Technische beveiligingsmaatregelen: Verwerker en Verantwoordelijke treffen voorzieningen voor adequate toegangsbeveiliging zodat toegang tot Persoonsgegevens alleen voorbehouden is aan geautoriseerd personeel; Verwerker en Verantwoordelijke hebben maatregelen getroffen om kwaadaardige software, zoals, maar niet beperkt tot, computervirussen, op te sporen en af te wenden. Organisatorische beveiligingsmaatregelen: Verwerker en Verantwoordelijke en hun medewerkers dienen zowel tijdens als na beëindiging van hun dienstverband/werkzaamheden volstrekte geheimhouding te betrachten ten aanzien van alle gegevens (inclusief Persoonsgegevens) waarvan zij in het kader van hun dienstverband/werkzaamheden kennis genomen hebben. Toegang tot Persoonsgegevens is voorbehouden aan geautoriseerd personeel. Indien Sub-Verwerkers worden ingeschakeld, sluit verwerker een Sub-Verwerkersovereenkomst teneinde de verantwoordelijkheden en verplichtingen inzake de gegevensbescherming ook bij de Sub-Verwerkers te waarborgen; Verwerker en Verantwoordelijke zijn zorgvuldig met de persoonsgegevens, deze worden niet verkocht aan derden.
Disclaimer De hierboven beschreven veiligheidsmaatregelen bieden uiteraard & helaas geen waterdichte garantie tegen onbevoegde toegang. Een dergelijk garantie is nu eenmaal niet te geven, omdat hardware en software van derden beveiligingslekken kunnen vertonen waar deze partijen zelf nog geen weet van hebben en menselijke fouten niet uit te sluiten zijn.