Verwerkersovereenkomst AVG
Ondergetekenden:
______________ gevestigd te ____________________________
hierna te noemen: “Verantwoordelijke”, “U” of “Uw”, “Opdrachtgever”, ten deze rechtsgeldig
vertegenwoordigd door _____________________________;
en
Administratiekantoor Stylan, gevestigd aan It Roster 8, 9132 LT te Engwierum, hierna te noemen: “Verwerker”, “Wij”, “Ons” of “Onze”, “Opdrachtnemer”, te dezen rechtsgeldig vertegenwoordigd door haar directeur mevrouw P. Laning, geboren te Appingedam op 10 februari 1962.
Hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”.
Overwegende dat:
- De Opdrachtnemer verricht diensten ten behoeve van de Opdrachtgever zoals beschreven in de hoofdovereenkomst en/of checklist die de Opdrachtgever per mail of post van ons ontvangen heeft, c.q. verkregen heeft via Onze website bij het begin van onze samenwerking (hierna te noemen de “Onderliggende opdracht”). De Opdrachtnemer Verwerkt daarbij de Persoonsgegevens die vermeldt staan in de Bijlage die bij deze Overeenkomst hoort.
- De Opdrachtnemer is – vanwege het uitvoeren van deze Onderliggende opdracht èn met betrekking tot de Persoonsgegevens die de Opdrachtnemer hierbij zal Verwerken – aan te merken als “Verwerker” en U, de Opdrachtgever, als “Verantwoordelijke”.
- De Opdrachtnemer verwerkt de betreffende gegevens van de Opdrachtgever enkel en alleen ten behoeve van de afgesproken opdracht(en) zoals vermeldt in de Onderliggende opdracht en niet voor eigen doeleinden.
- Zoals vereist in artikel 28 van de AVG, leggen we in deze Overeenkomst onze wederzijdse rechten en verplichtingen, met betrekking tot de verwerking van persoonsgegevens voor de Onderliggende opdracht, vast.
Partijen komen het volgende overeen:
Artikel 1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene(n) | Degene op wie een Persoonsgegeven betrekking heeft. |
Verwerker | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. |
Sub-verwerker | Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten. |
Verwerkingsverantwoordelijke / Verantwoordelijke | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. |
Bijzondere Persoonsgegevens | Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. |
Datalek / Inbreuk in verband met persoonsgegevens | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. |
Derden | Anderen dan U en Wij en Onze Medewerkers. |
Meldplicht Datalekken | De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n). |
Medewerkers | Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd. |
Onderliggende opdracht | De opdracht zoals hierboven bedoeld in de overwegingen onder A. |
Overeenkomst | Deze verwerkersovereenkomst. |
Persoonsgegevens | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. |
Persoonsgegevens van gevoelige aard | Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude.
Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
|
Verwerken / Verwerking | Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. |
AVG | Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018. |
Artikel 2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door U als Verantwoordelijke, terug te vinden in de Bijlage bij deze Overeenkomst.
2.2 Deze Overeenkomst treedt in werking op 25 mei 2018, of indien de Onderliggende opdracht later in werking treedt, de datum waarop de Onderliggende opdracht van kracht wordt, en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Opdracht voor u verwerken.
2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
2.4 Een overzicht van de Persoonsgegevens die Verwerkt worden door de Verwerker staat vermeldt in de Bijlage behorende bij deze Overeenkomst.
Artikel 3. Verwerking
3.1 Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. De Verwerking vindt plaats volgens Uw schriftelijke instructies, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT)).
Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij U daarvan onmiddellijk in kennis.
3.2 Verwerkingen die niet vermeld staan in de Onderliggende opdracht zullen uitsluitend plaatsvinden wanneer de Opdrachtgever uitdrukkelijk schriftelijk toestemming hiervoor heeft gegeven, of als Wij daartoe wettelijk verplicht zijn. In het laatste geval zal de Opdrachtnemer de Opdrachtgever daar vooraf van op de hoogte stellen, waardoor de Verwerking dan alsnog onder de verantwoordelijkheid van de Opdrachtgever valt.
3.3 De Verwerking vindt plaats onder de verantwoordelijkheid van de Opdrachtgever. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking. De Opdrachtgever moet ervoor zorgen dat het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk zijn vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften met betrekking tot Verwerking van Persoonsgegevens, dan leven Wij deze verplichtingen na.
3.4 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
3.5 Wij zorgen ervoor dat naast ons alleen Onze mogelijke Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.6. De Opdrachtnemer garandeert dat hij vertrouwelijkheid in acht zal nemen ten aanzien van de Persoonsgegevens die hij in opdracht van de Opdrachtgever verwerkt. De Opdrachtnemer zorgt ervoor dat de mogelijke Medewerkers en/of hulppersonen die toegang hebben tot de Persoonsgegevens eenzelfde verplichting van vertrouwelijkheid opgelegd wordt en bovendien een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en de verantwoordelijkheden en wettelijke verplichtingen die daarbij horen.
3.6 Wij kunnen andere Verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Over het inschakelen van overige Sub-Verwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken. Voor het inschakelen van een derde partij blijft de Opdrachtgever jegens de Opdrachtnemer volledig aansprakelijk voor de gevolgen van het uitbesteden van werkzaamheden aan een Derde.
3.7 Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van de wettelijke rechten van Betrokkenen af te handelen. U handelt deze verzoeken zelf af, waarbij Wij U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens.
3.8 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e-mail. Met ondertekening van deze Overeenkomst geeft u toestemming voor de Verwerkingen buiten de EER die in de bij deze Overeenkomst horende Bijlage worden genoemd.
3.9 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is, of dat Wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
Artikel 4. Beveiligingsmaatregelen
4.1 Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Ons een kopie van het inspectierapport ter beschikking.
Artikel 5. Datalekken
5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat Wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat Wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop, zijn opgenomen in artikel 12 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken of wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte. Bij een Datalek wordt ten minste het volgende meegedeeld aan U:
- De aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van de categorieën van Betrokkenen;
- De gegevens van de contactpersoon waar meer informatie kan worden verkregen;
- De waarschijnlijke gevolgen van de Datalek in verband met persoonsgegevens;
- De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
5.2 De Opdrachtgever moet passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
5.4 Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de Opdrachtgever voor de verwerking een beoordeling uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (de “gegevensbeschermingseffectbeoordeling”).
Indien uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de Opdrachtgever geen maatregelen neemt om het risico te beperken, raadpleegt de Opdrachtgever voorafgaand aan de verwerking de Autoriteit Persoonsgegevens.
Artikel 6. Geheimhoudingsplicht
6.1 Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze eventuele Medewerker(s) en Sub-verwerkers ook tot geheimhouding.
Artikel 7. Aansprakelijkheid
7.1 U staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen.
7.3 Wij zijn wel aansprakelijk voor directe schade als gevolg van het door Ons toerekenbaar tekortkomen in de nakoming van deze verwerkersovereenkomst en/of handelen in strijd met de AVG.
7.4 De totale aansprakelijkheid van de Opdrachtnemer zal in geen geval meer bedragen dan het bedrag dat op grond van een door de Opdrachtnemer gesloten en door tijdige premiebetaling in stand te houden aansprakelijkheidsverzekering in het voorkomende geval daadwerkelijk wordt uitgekeerd. Een of meerdere schadevorderingen uit hoofde van deze verwerkersovereenkomst kan/kunnen niet tot overschrijding van deze beperking leiden.
7.5 Indien de Opdrachtgever schade lijdt die door diens verzekering wordt gedekt, is de Opdrachtnemer voor die schade niet aansprakelijk.
7.6 De Opdrachtnemer is nimmer aansprakelijk voor indirecte schade, daaronder begrepen gevolgschade, gederfde winst, gederfde inkomsten, gemiste besparingen, verminderde goodwill en schade door bedrijfsstagnatie.
7.7 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen “beperking van Onze aansprakelijkheid” is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst.
Artikel 8. Overdraagbaarheid Overeenkomst
8.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
Artikel 9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Tenzij er tussen de Partijen een bewaartermijn is overeengekomen, zullen Wij in het geval van het beëindigen van de Onderliggende opdracht de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen, of – als U Ons daartoe verzoekt – vernietigen.
9.2 De verplichting onder lid 1 is niet van toepassing indien opslag van de Persoonsgegevens op grond van een wettelijk voorschrift, een Europeesrechtelijk voorschrift of vanuit onze beroepsregelgeving verplicht is.
9.3 Indien teruggave, vernietiging of verwijdering niet mogelijk is, stelt de opdrachtnemer de opdrachtgever daarvan onmiddellijk op de hoogte. In dat geval garandeert de opdrachtnemer dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal Verwerken.
9.4 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Wij U vooraf een kosteninschatting.
9.5 Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Onderliggende opdracht, de uitvoering van deze Overeenkomst en de daarmee samenhangende Onderliggende opdracht op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
- De andere partij wordt ontbonden of anderszins ophoudt te bestaan;
- De andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Overeenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen na een daartoe strekkende schriftelijke ingebrekestelling is hersteld;
- Een partij in staat van faillissement wordt verklaard of surseance van betaling aanvraagt.
Artikel 10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij. U kunt ten allen tijde de nieuwste versie van Onze overeenkomst op onze website terugvinden: www.stylan.nl.
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende opdracht te beëindigen.
Artikel 11. Verwerkingsregister
De Opdrachtgever hoeft geen verwerkingsregister bij te houden als er minder dan 250 werknemers in dienst zijn, tenzij de Opdrachtgever persoonsgegevens verwerkt met een hoog risico of er is sprake van verwerking van bijzondere categorieën van persoonsgegevens of gegevens die extra gevoelig zijn, zoals: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
11.1 De Opdrachtnemer dient een register bij te houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van de Opdrachtgever zijn verricht.
11.2 In het verwerkingsregister dient de volgende informatie opgenomen te zijn:
- De contactgegevens van de opdrachtnemer;
- Een beschrijving van de categorieën van verwerkingen die de Opdrachtnemer in opdracht van de Opdrachtgever uitvoert;
- Eventuele doorgiften van persoonsgegevens aan andere landen of aan een internationale organisatie met wie de Opdrachtnemer Persoonsgegevens deelt en indien van toepassing: de daarbij vereiste documenten inzake de passende waarborgen;
- Een algemene beschrijving van de technische en organisatorische maatregelen die de Opdrachtnemer heeft genomen om persoonsgegevens te beveiligen die de Opdrachtnemer verwerkt.
11.3 Indien de Autoriteit Persoonsgegevens daar om vraagt, moet het verwerkingsregister direct kunnen worden getoond. De Opdrachtnemer zal de Opdrachtgever direct informeren als de Autoriteit Persoonsgegevens toegang tot het verwerkingsregister vraagt.
Artikel 12. Slotbepalingen
12.1 Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening.
12.2 Wij zullen eventuele in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid die voort zijn gekomen uit een dergelijke controle, binnen een redelijke termijn opvolgen.
12.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
12.3 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
12.4 Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
12.5 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
12.6 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide Partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
12.7 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door U en Ons worden gedaan aan onderstaande Medewerkers:
Opdrachtgever:
Naam: __________________________________________________________________
Bedrijfsnaam (indien van toepassing): ______________________________
Telefoonnummer: ________________________________________________
E-mail: ________________________________________________
Opdrachtnemer:
Pia Laning
Administratiekantoor Stylan
Bezoekadres: It Roster 8, 9132 LT Engwierum
Telefoonnummer: 0511 – 408444
E-mail: info@stylan.nl
Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten We elkaar daarover in.
Ondertekening
Ondertekend op _________________
_______________________________ |
_________________________________ |
Bedrijfsnaam: ____________________________
Naam: _____________________________________ |
Administratiekantoor Stylan P. Laning |
Bijlage
Persoonsgegevens
De volgende Persoonsgegevens zullen in het kader van de Onderliggende opdracht worden verwerkt:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, BSN, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld e-mailadres), IBAN nummers;
- Nationaliteit en geboorteplaats;
- Gegevens (en indien benodigd de gegevens van partners en andere familieleden) die noodzakelijk zijn voor het kunnen opstellen van een fiscale aangifte, een jaarrekening, om administraties in te kunnen boeken en bezwaarschriften te kunnen verzorgen. Denk hierbij aan:
- Inkomensgegevens;
- Gevolgde diëten;
- Zorgkosten;
- Banksaldi;
- Gegevens eigen woning;
- Gegevens over ontvangen toeslagen;
- Overige persoonsgebonden aftrekposten, zoals giften en dergelijke;
- Ontvangen en betaalde alimentatie;
- Aftrekbare studiekosten;
- Bedrijfsgegevens zoals kosten en baten benodigd voor het opstellen van een jaarrekening;
- Overige niet genoemde gegevens die benodigd zijn voor het Verwerken ten behoeve van de Onderliggende opdracht.
- Andere dan de hierboven opgesomde gegevens als die verwerkt moeten worden op grond van een andere wet of een andere taak ten aanzien van de Onderliggende opdracht.
De verwerking van de Persoonsgegevens betreft de volgende categorieën personen:
- De verwerkingsverantwoordelijke en eventueel directe familieleden.
Verwerking
Wij Verwerken Persoonsgegevens voor de volgende doeleinden voor U:
- Het opstellen van de fiscale aangifte;
- Het verzorgen van een jaarrekening;
- Administraties inboeken;
- Bezwaarschriften verzorgen;
- Overige doeleinden gespecificeerd in de Onderliggende opdracht.
U bepaalt welke Persoonsgegevens worden verwerkt en op welke wijze, U bent Verantwoordelijke voor deze verwerking.
Technische en organisatorische maatregelen
Wij nemen de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking:
- Administratiekantoor Stylan heeft passende beveiligingsmaatregelen genomen waarbij Wij een afweging hebben gemaakt op basis van de risico’s van de Verwerking van de Persoonsgegevens ten behoeve van de Onderliggende opdracht;
- De verplichte bewaartermijn van de Persoonsgegevens ten behoeve van de doeleinden zoals hierboven vermeld is, wordt in acht genomen;
- Om in te loggen op de software van onze sub-verwerkers hebben Wij een eigen gebruikersnaam en wachtwoord. Daarbij is een uitgebreid wachtwoordbeleid van toepassing;
- Afgeschreven hardware wordt niet verkocht maar vernietigd als er Persoonsgegevens op bewaard kunnen worden;
- Onze computers zijn beveiligd met Anti-virus software en Wij zorgen voor een beveiligde verbinding;
- Om in te loggen op onze server wordt gebruik gemaakt van een beveiligde VPN verbinding (LogMeIn Himachi) met ip-adres beveiliging en een unieke gebruiksnaam en wachtwoord voor de VPN en voor de verbinding op de server;
- Ons wifinetwerk heeft een MAC-adres blokkade beveiliging en een WPA2 wachtwoordbeveiliging;
- Ons bedrijfspand wordt dagelijks afgesloten als niemand aanwezig is en beschikt over een alarmsysteem.
Derden
Wij schakelen deze Derden (Sub-verwerkers) in bij het uitvoeren van de Onderliggende opdracht:
- Plus-automatisering voor werken met extern bureaublad en het online kunnen opslaan van gegevens
- Nextens voor het indienen van fiscale aangiften
- Microsoft Outlook voor het verzenden en ontvangen van e-mail
- Microsoft Office voor het Verwerken van gegevens
- Informanagement voor het verzorgen van nieuwsbrieven
- King Online voor het inboeken van administraties
- Zenvoices voor het automatisch importeren van inkoop- en verkoopfacturen
- Dropbox, Microsoft Onedrive en Google Drive voor het online opslaan van data
- Skype, Zoom en Microsoft Teams voor het communiceren met klanten en collega’s
Wij hebben een verwerkersovereenkomst ten behoeve van de AVG met alle bovenstaande sub-verwerkers ter bescherming van uw Persoonsgegevens.
Verwerkingen buiten de Europese Economische Ruimte
Wij Verwerken geen Persoonsgegevens buiten de Europese Economische Ruimte.