Verwerkersovereenkomst AVG: Klant (Verantwoordelijke) – WZ-Administratieservices (Verwerker)
Partijen:
<KLANT>, hierna te noemen: “Verantwoordelijke”, “U” of “Uw”, in diens hoedanigheid van <eigenaar-directeur>
en
WZ-Administratieservices, gevestigd te Leek, Swarte Ruiters 2, hierna te noemen: “Verwerker” of “WZA”, te dezen rechtsgeldig vertegenwoordigd door W. Zwart, in diens hoedanigheid van eigenaar;
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegingen:
A. WZA is met U een samenwerking aangegaan op basis van een Opdracht vanwege het verrichten van de volgende diensten door WZA: verzorgen van de administratie en het behartigen van de fiscale.zaken en indien van toepassing advieswerkzaamheden behorende.bij.de.Opdracht.
WZA verwerkt daarbij de Persoonsgegevens die vermeld staan in de Bijlage die bij deze Overeenkomst hoort.
B. WZA is – vanwege het uitvoeren van deze Onderliggende opdrachT én met betrekking tot de Persoonsgegevens die WZA hierbij zal verwerken – aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze Overeenkomst legt WZA onze wederzijdse rechten en verplichtingen vast.
Partijen komen het volgende overeen:
1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: |
Degene op wie een Persoonsgegeven betrekking heeft. |
Verwerker: |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen. |
Sub-verwerker: |
Een andere verwerker die door de WZA wordt ingezet om ten behoeve van de verantwoordelijke, zijnde de opdrachtgever, specifieke verwerkingsactiviteiten te verrichten. |
Verantwoordelijke: |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. |
Bijzondere Persoonsgegevens: |
Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. |
Datalek / Inbreuk in verband met persoonsgegevens: |
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. |
Derden: |
Anderen dan U en WZA en eventueel Medewerkers van beide partijen. |
Meldplicht Datalekken: |
De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n). |
Medewerkers |
Personen die werkzaam zijn bij U of bij WZA, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd. |
Onderliggende opdracht: |
De opdracht lees Overeenkomst tussen WZA en U zoals hierboven bedoeld in de overwegingen onder A. |
Overeenkomst: |
Deze verwerkersovereenkomst. |
Persoonsgegevens: |
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. |
Persoonsgegevens van gevoelige aard |
Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
|
Verwerken / Verwerking: |
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. |
AVG |
Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018. |
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door WZA als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door U als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Opdracht voor u verwerken. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
3. Verwerking
3.1 WZA Verwerkt de Persoonsgegevens uitsluitend op de manier die WZA met U heeft afgesproken in de Onderliggende opdracht. Dit Verwerken doet WZA niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. De Verwerking vindt plaats volgens instructies, tenzij WZA op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).
Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stelt WZA U daarvan onmiddellijk in kennis.
3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. WZA heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij WZA. Als WZA een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften of de voor administratiekantoren geldende beroeps- en gedragsregels met betrekking tot Verwerking van Persoonsgegevens, dan leeft WZA deze verplichtingen na.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. WZA zorgt ervoor dat WZA voldoet aan de op WZA als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
3.4 WZA zorgt ervoor dat alleen de eventuele Medewerkers van WZA toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. WZA beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. WZA zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 WZA kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover WZA niet beschikt. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Over het inschakelen van overige Sub-Verwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
3.6 Voor zover mogelijk verleent WZA U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als WZA (rechtstreeks) verzoeken ontvangen van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zendt WZA deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij WZA U natuurlijk behulpzaam kan zijn als WZA in het kader van de Onderliggende opdracht toegang heeft tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.
3.7 WZA zal de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij WZA hierover met U andere afspraken heeft gemaakt. Deze afspraken legt WZA Gezamenlijk schriftelijk vast, of per e-mail.
3.8 Als WZA een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan doet WZA dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt WZA eerst of WZA van mening is dat het verzoek bindend is, of dat WZA op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt WZA U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als WZA U op de hoogte mag stellen dan zal WZA ook met U overleggen over de wijze waarop en welke gegevens WZA ter beschikking zal stellen.
4. Beveiligingsmaatregelen
4.1 WZA heeft de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die WZA heeft genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 WZA informeert U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 WZA biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop WZA de beveiligingsmaatregelen naleeft wilt laten inspecteren, dan kunt U hiertoe een verzoek aan WZA doen. WZA zal hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan WZA een kopie van het inspectierapport ter beschikking.
5. Datalekken
5.1 Als er sprake is van een Datalek dan stelt WZA U daarvan op de hoogte. WZA streeft ernaar dit te doen binnen 48 uur nadat wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. WZA zal U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. WZA zendt de melding van onze Sub-verwerker aan u door. Ook van de door WZA, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden WZA U op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
6. Geheimhoudingsplicht:
6.1 WZA houdt de van u verkregen Persoonsgegevens geheim en verplicht de eventuele Medewerkers van WZA en eventuele Sub-verwerkers ook tot geheimhouding. WZA neemt met betrekking tot de aan WZA toevertrouwde Persoonsgegevens strikte geheimhouding in acht.
7. Aansprakelijkheid
7.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 WZA is niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart WZA ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die WZA in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan WZA worden opgelegd ten gevolge van Uw handelen.
7.3 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van WZA, is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
8. Overdraagbaarheid Overeenkomst
8.1 Het is voor U en WZA, behalve als WZA en U Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Onderliggende opdracht wordt beëindigd dan zal WZA de door U aan WZA verstrekte Persoonsgegevens aan U terug overdragen of – als U WZA daarom verzoekt – vernietigen. WZA zal uitsluitend een kopie van de Persoonsgegevens bewaren als WZA hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geeft WZA U vooraf een kosteninschatting indien er sprake is van kosten voor de vernietiging van de gegevens c.q. eventuele uit te voeren controles.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer WZA niet kan voorzien in een passend niveau van bescherming, kan dit voor WZA reden zijn om de Onderliggende opdracht te beëindigen.
11. Slotbepalingen
11.1 Op Uw verzoek stelt WZA U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door Uw gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening.
11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
11.3 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
11.4 Deze Overeenkomst is hoger in rang dan andere door WZA met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.5 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. WZA treedt dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
11.6 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door U en WZA worden gedaan aan onderstaande Personen:
W. Zwart
WZ-Administratieservices (WZA)
Bijlage
Persoonsgegevens
Ten behoeve van de verwerking van de administratie, het doen van diverse belastingaangiftes en het geven van adviezen, worden er persoonsgegevens vast gelegd bij WZ-Administratieservices (WZA) conform de onderliggende opdracht c.q. overeenkomst.
De volgende Persoonsgegevens zullen in het kader van de Onderliggende opdracht worden verwerkt:
Naam – bedrijfsnaam – Adres – Postcode – Plaatsnaam – geboortedata – BSN-nummers – Btw-nummers – Gegevens van de Kamer van Koophandel – Bankrekeningnummers – DigiDcodes – machtigingscodes instanties – inloggegevens instanties – geslacht – Registratiegegevens instanties – Gegevens medewerkers van de opdrachtgever – financiële gegevens boekhouding – financiële gegevens belastingen –
Verwerking
WZA Verwerkt op de volgende wijzen Persoonsgegevens voor U:
WZ-Administratieservices gebruikt de persoonsgegevens uitsluitend en alleen maar om haar taken voor de ondernemer zo goed mogelijk te kunnen uitvoeren op het gebied van de verzorging van de administratie en voor de uitvoering van belastingtechnische zaken en eventuele adviezen welke voor de klant oftewel Verantwoordelijke noodzakelijk zijn. Indien er sprake is van medewerkers dan mogen deze de persoongegevens alleen gebruiken voor zover het nodig is om de taken zo goed mogelijk te kunnen uitvoeren.
U bepaalt welke Persoonsgegevens worden verwerkt en op welke wijze, U bent Verantwoordelijke voor deze verwerking.
Technische en organisatorische maatregelen
Wij nemen de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking:
Technische beveiliging :
Professionele anti-virus software en anti hacking software, een geïmplementeerde firewall m.b.t. het modem waar de digitale gegevens binnen komen en worden verzonden. Tevens wordt er periodiek een back-up gemaakt op een externe HD en in de cloud.
De privacy gevoelige gegevens van klanten worden zolang zorgvuldig bewaard wat nodig is en indien het niet langer nodig is, omdat bijvoorbeeld desbetreffende bedrijf (Verantwoordelijke) geen klant meer is, zullen de gegevens worden vernietigd met inachtneming van eventuele wettelijke bewaartermijnen.
Derden
Wij schakelen deze derden (Sub-verwerkers) in bij het uitvoeren van de Onderliggende opdracht – overeenkomst :
Hieronder worden alle partijen genoemd waar WZ-Administratieservices mee samen werkt, dat wil niet zeggen dat deze subverwerkers werkzaamheden verrichten voor alle cliënten van WZ-Administratieservices.
Sub-verwerkers zijn :
Alert Personeelsdiensten te Leek m.b.t. salarisverwerking
Houwen Controller Services te Nietap m.b.t. fiscale zaken
Yuki Online boekhouden mb.t. boekhoudsoftware
Kluwer Belastingsoftware m.b.t. belastingaangiftes
Exact Belastingsoftware m.b.t. belastingaangiftes
Rompslomp facturatie m.b.t. facturen maken
Opslag data in de Cloud :
Dropbox (Dropbox)
Google-drive (Google)
One Drive (Microsoft)