Verwerkersovereenkomst
Artikel 1 Definities
In het kader van deze Verwerkersovereenkomst betekent:
‘Persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
‘Verwerken/Verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedes, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.;
‘Verwerker’: Bookkeeperzz die ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens verwerkt;
‘Verwerkingsverantwoordelijke’: de klant van Bookkeeperzz die, als natuurlijke of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.
Artikel 2 Algemeen
2.1 Verwerker verbindt zich onder deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van deze Verwerkersovereenkomst. Het betreft de volgende soorten persoonsgegevens:
Abonnementsgegevens:
- Gebruikersnaam
- KvK-nummer
- Contactpersoon
Uw gegevens:
- Geslacht
- Voor- en achternaam
- Telefoonnummer
- E-mailadres
Uw bedrijfsgegevens:
- Rechtsvorm
- Bedrijfsnaam
- Factuuradres
- Postcode en plaats
- E-mailadres
Het betreft de volgende categorie betrokkenen:
- Bedrijven
- Klanten van klanten
- Medewerkers
2.2 Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn opgenomen.
2.3 Verwerker zal de persoonsgegevens verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Echter mag Verwerker de in eigen administratie van Verwerker vastgelegde contactpersoonsgegevens gebruiken voor eigen kwaliteitsdoelen of het doen van statistisch onderzoek naar de kwaliteit van haar dienstverlening.
2.4 Verwerker en Verwerkingsverantwoordelijke zullen de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Artikel 3 Verdeling van verantwoordelijkheid
3.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
3.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke en onder uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen (maar niet gelimiteerd tot) de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door de Verwerkingsverantwoordelijke, is Verwerker uitdrukkelijk niet verantwoordelijk.
3.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
3.4 Verwerkingsverantwoordelijke garandeert dat de door haar verzamelde persoonsgegevens op rechtmatige wijze zijn verkregen. In het bijzonder garandeert Verwerkingsverantwoordelijke dat zij beschikt over een geldige grondslag in de zin van artikel 6 lid 1 AVG.
3.5 In het geval dat voor een nieuwe verwerking onder deze Verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke.
3.6 Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze Verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke, behoudens het geval waarin Verwerker niet heeft voldaan aan de verplichtingen die volgens uit deze Verwerkersovereenkomst of toepasselijke privacywetgeving.
Artikel 4 Gegevens en aansprakelijkheid
4.1 De Verwerkingsverantwoordelijke blijft rechthebbende van de persoonsgegevens die in het kader van de Overeenkomst en/of de SLA worden opgeslagen, bewerkt, ingevoerd of anderszins verwerkt.
4.2 De Verwerkingsverantwoordelijke en zijn gebruikers bepalen zelf welke gegevens met behulp van de door Verwerker geleverde diensten worden opgeslagen, bewerkt, verwerkt of anderszins ingevoerd. Verwerker heeft geen kennis van deze gegevens. De Verwerkingsverantwoordelijke blijft zelf verantwoordelijk voor de door haar ingevoerde gegevens. Verwerker is derhalve niet aansprakelijk voor enige schade die voortvloeit uit de door Verwerkingsverantwoordelijke ingevoerde gegevens. De Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden op vergoeding van schade die deze derden op enigerlei wijze op Verwerker zouden kunnen verhalen, voor zover deze aanspraak is gegrond op het gebruik dat door de Verwerkingsverantwoordelijke van de diensten van Verwerker is gemaakt.
4.3 Verwerker is niet gehouden de juistheid en volledigheid van de opgegeven gegevens te controleren en is niet aansprakelijk voor de gevolgen van het gebruik van door de Verwerkingsverantwoordelijke aangeleverde onjuiste en/of onvolledige informatie.
Artikel 5 Beveiliging
5.1 Verwerker zal zich inspannen passende preventieve technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). Bij deze maatregelen wordt rekening gehouden met de actuele stand van de techniek.
Verwerker heeft hiertoe de volgende maatregelen genomen:
- De opgeslagen persoonsgegevens zijn versleuteld en zelfs al worden de gegevens gecompromitteerd, zijn ze moeilijk leesbaar zonder de juiste sleutel.
- Voor gegevensoverdracht worden beveiligingsprotocollen zoals Transport Layer Security (TLS) en Virtual Private Networks (VPN) gebruikt.
- Systemen worden actief gemonitord op verdachte activiteiten of inbreuken. Logboekregistratie en geautomatiseerde waarschuwingssystemen helpen afwijkingen of ongebruikelijke patronen te detecteren.
- Reguliere systeem-updates en patches worden uitgevoerd om de beveiliging te waarborgen en bekende beveiligingskwetsbaarheden te minimaliseren.
- Toegangsrechten tot systemen en gegevens zijn beperkt, waarbij alleen geautoriseerd personeel toegang heeft tot specifieke informatie die nodig is voor hun taken.
- Draagbare apparaten als laptops, smartphones en tablets zijn beveiligd met versleuteling, sterke wachtwoorden en de mogelijkheid tot op afstand wissen van gegevens bij verlies of diefstal.
- Een inbraakdetectie- en preventiesysteem (IDPS) is geïmplementeerd om verdachte activiteiten en ongeautoriseerde toegang te detecteren en blokkeren.
- Medewerkers zijn zich bewust van beveiligingsrisico’s en zijn getraind in best practices voor gegevensbescherming, waaronder het gebruik van sterke wachtwoorden, het herkennen van phishing-pogingen en het melden van verdachte activiteiten.
- Reguliere beveiligingsaudits worden uitgevoerd om zwakke punten, beveiligingslekken of potentiële kwetsbaarheden te identificeren, waarna proactieve maatregelen worden genomen om de beveiliging te verbeteren en risico’s te verminderen.
- Bij het werken met derde partijen of leveranciers die toegang hebben tot persoonsgegevens, zijn passende beveiligingsmaatregelen geïmplementeerd, waaronder contractuele verplichtingen, naleving van beveiligingsnormen en regelmatige beoordeling van de beveiligingsmaatregelen van de leveranciers.
5.2 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
5.3 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
Artikel 6 Subverwerkers
6.1 Verwerkingsverantwoordelijke geeft Verwerken hierbij toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst, gebruik te maken van onderaannemers (subverwerkers), met inachtneming van de toepasselijke privacywetgeving.
6.2 Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar in te schakelen derden. Verwerkingsverantwoordelijke heeft het recht om tegen enige door Verwerker in te schakelen subverwerker, schriftelijk en gemotiveerd binnen twee weken bezwaar te maken. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen een door Verwerker in te schakelen subverwerker, zullen partijen onderling in overleg treden om tot een oplossing te komen.
6.3 Verwerker zorgt er in ieder geval voor dat deze subverwerkers schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien. Verwerker staat in voor een correcte naleving van deze plichten door deze subverwerkers en is bij fouten en verwijtbare tekortkomingen van deze subverwerkers zelf jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
6.4 Verwerker mag de persoonsgegevens verwerken in landen binnen de EEA. Daarnaast mag Verwerker, uitsluitend na schriftelijke toestemming, de persoonsgegevens doorgeven naar landen buiten de EEA en mits aan de wettelijke vereisten daarvoor is voldaan.
6.5 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek melden welk land of welke landen het betreft.
Artikel 7 Audit
7.1 Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van de naleving van de afspraken uit deze Verwerkersovereenkomst. Verwerker zal medewerking verlenen en zo spoedig mogelijk alle noodzakelijke informatie verstrekken.
7.2 De audit mag uitsluitend plaatsvinden bij een concreet en gegrond vermoeden van misbruik van persoonsgegevens. Verwerkingsverantwoordelijke zal de audit vooraf, met inachtneming van een termijn van minimaal twee weken, aankondigen aan Verwerker.
7.3 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
7.4 De kosten van de audit worden gedragen door de Verwerkingsverantwoordelijke. Tenzij de audit aantoont dat de Verwerker in strijd handelt met deze Verwerkersovereenkomst. In dat geval draagt de Verwerker de kosten van de audit.
Artikel 8 Meldplicht bij datalekken
8.1 In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) dat betrekking heeft op de persoonsgegevens van de Verwerkingsverantwoordelijke zal Verwerker de Verwerkingsverantwoordelijke daarover binnen 36 uur informeren. Verwerker spant zich naar beste kunnen in om ervoor te zorgen dat de verstrekte informatie volledig, correct en accuraat is.
8.2 Indien wet- en/of regelgeving dit vereist zal Verwerker zijn ondersteuning verlenen aan het informeren van de relevante autoriteiten en/of betrokkenen.
8.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
- wat de (vermeende) oorzaak is van het lek;
- contactgegevens voor de opvolging van de melding;
- bij benadering: het aantal betrokkenen en registers van persoonsgegevens;
- wat is het (vooralsnog bekende en/of te verwachten) gevolg;
- wat is de (voorgestelde) oplossing;
- wat de reeds ondernomen maatregelen zijn.
Artikel 9 Afhandeling verzoeken van betrokkenen
9.1 In het geval dat een betrokkene een verzoek met betrekking tot zijn persoonsgegevens richt aan Verwerkingsverantwoordelijke, zal Verwerkingsverantwoordelijke dit verzoek doorsturen aan Verwerker en Verwerker zal het verzoek verder afhandelen. Verwerker zal zich inspannen om binnen 72 uur, nadat het verzoek is doorgestuurd door Verwerkingsverantwoordelijke, aan het verzoek van betrokkene gehoor te geven.
9.2 Verwerker mag alleen een verzoek van een betrokkene afhandelen na voorafgaande schriftelijke instructie van Verwerkingsverantwoordelijke.
Artikel 10 Geheimhouding en vertrouwelijkheid
10.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verwerkt in het kader van de Verwerkingsovereenkomst, rust een geheimhoudingsplicht jegens derden.
10.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke schriftelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 11 Duur en beëindiging
11.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan die van de overeenkomst tot dienstverlening. Tenzij in deze overeenkomst anders is bepaald, zijn rechten en verplichtingen op het gebied van beëindiging dezelfde als de rechten en verplichtingen die zijn opgenomen in de overeenkomst tot dienstverlening.
11.2 Elk der partijen is gerechtigd de Verwerkersovereenkomst met onmiddellijke ingang te beëindigen indien de andere partij ernstig tekort is geschoten in de nakoming van één of meer van haar verplichtingen uit de overeenkomst, en de andere partij het gebrek of tekortkoming niet binnen dertig dagen na schriftelijke aanzegging daartoe ongedaan heeft gemaakt of gezuiverd, dan wel indien één der partijen in staat van faillissement wordt verklaard, surseance van betaling is verleend, dan wel een betalingsregeling aan haar crediteuren heeft aangeboden.
11.3 Indien de overeenkomst eindigt, eindigt deze Verwerkersovereenkomst ook van rechtswege behalve wanneer de aard van de verwerking en/of de aard van de bepaling het voortduren van de specifieke bepalingen uit de Verwerkingsovereenkomst vergt.
11.4 Verwerker dient, naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens na het einde van de dienstverleningen te wissen of aan Verwerkingsverantwoordelijke te retourneren, en alle bestaande kopieën te wissen tenzij de Verwerker op grond van wetgeving verplicht is die Persoonsgegevens te bewaren.
Artikel 12 Overige bepalingen
12.1 De algemene voorwaarden van Verwerker maken integraal onderdeel uit van deze Verwerkersovereenkomst. De algemene voorwaarden zijn te downloaden via onze website www.bookkeeperzz.nl.
12.2 De Verwerkersovereenkomst en de uitvoering daarvan wordt beheerst door Nederlands recht.
12.3 Alle geschillen, welke tussen partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.
12.4 In geval van strijdigheid tussen de bepalingen uit de algemene voorwaarden van Verwerker en deze Verwerkersovereenkomst, prevaleren de bepalingen uit deze Verwerkersovereenkomst.