Gegevensverwerkingovereenkomst

Ondergetekenden:

CJV Administratie, een eenmanszaak opgericht naar het recht van Nederland, statutair gevestigd te 2991 XL Barendrecht aan de Kamerlingh Onnesweg 10 en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 24473455 (hierna te noemen: ’Verwerker’), en [Naam Verantwoordelijke], een vennootschap opgericht naar het recht van Nederland, statutair gevestigd te ([postcode]) [plaats] aan de [adres en huisnummer] en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [nummer KvK] (hierna te noemen: ’Verantwoordelijke’), hierna gezamenlijk te noemen: ‘Partijen’ en elk afzonderlijk: een ‘Partij’, verklaren te zijn overeengekomen als volgt:

 

OVERWEGENDE DAT

Partijen zijn overeengekomen dat Verantwoordelijke gebruikt maakt van Verwerker als [software leverancier van bijvoorbeeld de boekhoudsoftware invullen]. Verwerker verwerkt persoonsgegevens van de Verantwoordelijke in het kader van de uitvoering van de overeenkomst. Teneinde Partijen in staat te stellen uitvoering te geven aan hun relatie op een manier die in overeenstemming is met de wet, zijn Partijen deze Gegevensverwerkingsovereenkomst (“DPA”) aangegaan, als volgt:

 

1. Definities

In het kader van deze DPA betekent:

’Toepasselijke Gegevensbeschermingswet’ de wetgeving die bescherming biedt voor de fundamentele rechten en vrijheden van personen en met name hun recht op privacy met betrekking tot de Verwerking van Persoonsgegevens, welke wetgeving van toepassing is op Verantwoordelijke en Verwerker; de term Toepasselijke Gegevensbeschermingswet omvat tevens de AVG in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing van af 25 mei 2018.
’Verantwoordelijke’ de klant van CJV Administratie die, als natuurlijke of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
’Algemene Verordening Gegevensbescherming‘ of ’AVG’ de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing van af 25 mei 2018
 
’Internationale organisatie’ een organisatie en de daaronder vallende internationalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;
’Lidstaat‘ een land dat tot de Europese Unie behoort;
’Persoonsgegevens‘ alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene);
’Betrokkene’ een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
’Inbreuk in verband met persoonsgegevens’ een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens;
’Verwerken/verwerking’ een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
’Verwerker’ CJV Administratie
’Overeenkomst van dienstverlening’ de hoofdovereenkomst die is gesloten tussen Verantwoordelijke en Verwerker en waarin de voorwaarden voor het verlenen van de Diensten zijn uiteengezet;
’Diensten’ de diensten verleend door Verwerker aan Verantwoordelijke en beschreven onder ‘onderwerp van de verwerking’ in Bijlage 1 bij deze DPA;
’Bijzondere Categorieën Gegevens’ gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken; genetische gegevens, biometrische gegevens die worden Verwerkt met het oog op de unieke identificatie van een natuurlijke persoon; gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
 
’Subverwerker’ een gegevensverwerker die door Verwerker wordt ingeschakeld en die zich bereid verklaart Persoonsgegevens van Verwerker te ontvangen die uitsluitend zijn bedoeld voor Verwerkingsactiviteiten die moeten worden uitgevoerd ten behoeve van Verantwoordelijke in overeenstemming met diens instructies, de voorwaarden van deze DPA en de voorwaarden van een schriftelijke subverwerkingsovereenkomst;
’Toezichthoudende autoriteit’ een door een Lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie; en
’Technische en Organisatorische Beveiligingsmaatregelen’ de maatregelen gericht op de bescherming van Persoonsgegevens tegen onopzettelijke vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking of toegang, met name waar de Verwerking de doorzending van gegevens via een netwerk behelst, en tegen alle andere onrechtmatige vormen van Verwerking.
’Derde Land' een land met betrekking waartoe de Europese Commissie niet heeft beslist dat, dat land, of een gebied of een of meer gespecificeerde sectoren binnen dat land, een passend beschermingsniveau garandeert.

2. Details van de verwerking

De details van de Verwerkingsactiviteiten die door Verwerker ten behoeve van Verantwoordelijke worden verricht als gegevensverwerker die daartoe opdracht heeft gekregen (zoals het onderwerp van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en categorieën van betrokkenen) zijn vermeld in Bijlage 1 bij deze DPA.

 

3. Rechten en verplichtingen van verantwoordelijke

Verantwoordelijke blijft de verantwoordelijke gegevensverantwoordelijke voor de Verwerking van de Persoonsgegevens conform de instructies aan Verwerker op grond van de [Overeenkomst van Dienstverlening], deze DPA en eventuele andere instructies.

Verantwoordelijke heeft Verwerker opdracht gegeven, en zal Verwerker gedurende de looptijd van de gegevensverwerking waartoe opdracht is gegeven opdracht blijven geven, de Persoonsgegevens uitsluitend te verwerken ten behoeve van Verantwoordelijke en in overeenstemming met de Toepasselijke Gegevensbeschermingswet, de [Overeenkomst van Dienstverlening], deze DPA en instructies van Verantwoordelijke. Verantwoordelijke is gerechtigd en verplicht om Verwerker instructies te geven in verband met de Verwerking van de Persoonsgegevens, zowel in het algemeen als in individuele gevallen. Instructies kunnen ook betrekking hebben op het rectificeren, wissen en blokkeren van de Persoonsgegevens. Instructies worden in het algemeen schriftelijk gegeven, tenzij de urgentie of andere specifieke omstandigheden een andere (bijvoorbeeld mondelinge of elektronische) vorm vereisen. Niet-schriftelijke instructies moeten onverwijld door Verantwoordelijke schriftelijk worden bevestigd. Voor zover de uitvoering van een instructie leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten. Pas nadat Verantwoordelijke heeft bevestigd dat de kosten voor de uitvoering van een instructie voor zijn rekening komen, zal Verwerker die instructie uitvoeren.

 

4. Verplichtingen van verwerker

Verwerker zal:

  • De Persoonsgegevens uitsluitend verwerken conform de instructies van Verantwoordelijke en ten behoeve van Verantwoordelijke; die instructies worden gegeven in de [Overeenkomst van Dienstverlening], deze DPA en anderszins in gedocumenteerde vorm zoals genoemd in artikel 3 hiervoor. Die verplichting om de instructies van Verantwoordelijke op te volgen geldt ook voor de doorgifte van de Persoonsgegevens aan een Derde Land of een Internationale Organisatie;
  • Verantwoordelijke onmiddellijk informeren indien Verwerker een instructie van Verantwoordelijke om enigerlei reden niet kan naleven;
  • ervoor zorgen dat personen die door Verwerker gemachtigd zijn om de Persoonsgegevens ten behoeve van Verantwoordelijke te Verwerken toezeggen geheimhouding te zullen betrachten of dat op die personen een passende geheimhoudingsplicht rust en dat de personen die toegang hebben tot de Persoonsgegevens die Persoonsgegevens zullen Verwerken conform de instructies van Verantwoordelijke;
  • de Technische en Organisatorische Beveiligingsmaatregelen doorvoeren die voldoen aan de vereisten van de Toepasselijke Gegevensbeschermingswet zoals nader gespecificeerd in Bijlage 2 alvorens de Persoonsgegevens te Verwerken en ervoor zorgen dat hij Verantwoordelijke voldoende garanties biedt voor wat betreft die Technische en Organisatorische Beveiligingsmaatregelen;
  • Verantwoordelijke assisteren door middel van passende Technische en Organisatorische Maatregelen, voor zover haalbaar, voor de nakoming van de verplichting van Verantwoordelijke om in te gaan op verzoeken voor de uitoefening van de rechten van de Betrokkenen betreffende informatie, toegang, rectificatie en wissing, beperking van verwerking, kennisgeving, gegevensportabiliteit, bezwaar en geautomatiseerde besluitvorming; voor zover die haalbare Technische en Organisatorische Maatregelen veranderingen of wijzigingen in de Technische en Organisatorische Maatregelen vereisen zoals genoemd in Bijlage 2, zal Verwerker Verantwoordelijke informeren over de kosten van doorvoering van die aanvullende of gewijzigde Technische en Organisatorische Maatregelen. Zodra Verantwoordelijke heeft bevestigd dat die kosten voor zijn rekening komen, zal Verwerker die aanvullende of gewijzigde Technische en Organisatorische Maatregelen doorvoeren om Verantwoordelijke te assisteren bij het ingaan op verzoeken van betrokkenen;
  • alle informatie aan Verantwoordelijke beschikbaar stellen die nodig is om aan te tonen dat de in deze DPA en in Art. 28 AVG genoemde verplichtingen worden nagekomen, en controles, waaronder inspecties door Verantwoordelijke of een andere controleur die daartoe is gemandateerd door Verantwoordelijke, mogelijk maken en daaraan bijdragen. Verantwoordelijke is zich ervan bewust dat controles in persoon en op locatie de bedrijfsactiviteiten van Verwerker aanzienlijk kunnen verstoren en veel geld en tijd kunnen kosten. Derhalve mag Verantwoordelijke een controle in persoon en op locatie uitsluitend uitvoeren indien Verantwoordelijke de (on)kosten die door Verwerker zijn gemaakt als gevolg van de verstoring van de bedrijfsactiviteiten aan Verwerker vergoedt;
  • Verantwoordelijke zonder onnodige vertraging in kennis stellen: van enig juridisch bindend verzoek om verstrekking van de Persoonsgegevens door een wethandhavingsinstantie, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
  • van klachten en verzoeken die direct van Betrokkenen zijn ontvangen (bijvoorbeeld klachten en verzoeken om toegang, rectificatie, wissing, beperking van verwerking, gegevensportabiliteit, bezwaar tegen verwerking van gegevens, geautomatiseerde besluitvorming) zonder op dat verzoek in te gaan, tenzij hij daartoe anderszins is gemachtigd;
  • indien Verwerker op grond van EU-wetgeving of de wetgeving van een Lidstaat die op Verwerker van toepassing is verplicht is de Persoonsgegevens te verwerken buiten het kader van de opdracht van Verantwoordelijke, alvorens die verwerking uit te voeren buiten dat kader, tenzij die EU-wetgeving of wetgeving van die Lidstaat die informatie verbiedt om gewichtige redenen van algemeen belang; die kennisgeving moet de wettelijke vereiste uit hoofde van die EU-wetgeving of de wetgeving van de Lidstaat vermelden;
  • indien, naar de mening van Verwerker, een instructie in strijd is met de Toepasselijke Gegevensbeschermingswet; bij het verstrekken van die kennisgeving is Verwerker niet verplicht de instructie op te volgen, tenzij en totdat Verantwoordelijke deze heeft bevestigd of gewijzigd;
  • en zodra Verwerker zich bewust wordt van een Inbreuk in verband met Persoonsgegevens bij Verwerker uiterlijk binnen 24 uur na ontdekking. In geval van zo’n Inbreuk in verband met Persoonsgegevens zal Verwerker Verantwoordelijke, op schriftelijk verzoek van Verantwoordelijke, assisteren bij de verplichting van Verantwoordelijke uit hoofde van Toepasselijke Gegevensbeschermingswet om de betrokkenen respectievelijk de Toezichthoudende Autoriteiten te informeren, en om de Inbreuk in verband met Persoonsgegevens te documenteren. Contactgegevens met betrekking tot de melding worden vastgelegd in het klantenservice systeem. Contactpersonen worden gespecificeerd in bijlage 1;
  • Verantwoordelijke assisteren bij een Gegevensbeschermingeffectbeoordeling zoals vereist op grond van art. 35 AVG die betrekking heeft op de door Verwerker aan Verantwoordelijke verleende Diensten en de Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke worden verwerkt;
  • alle vragen van Verantwoordelijke met betrekking tot zijn Verwerking van de te verwerken Persoonsgegevens behandelen (bijvoorbeeld door Verantwoordelijke in staat te stellen tijdig te reageren op klachten of verzoeken van Betrokkenen) en gehoor geven aan het advies van de Toezichthoudende Autoriteit betreffende de Verwerking van de doorgegeven gegevens;
  • voor zover Verwerker verplicht en gevraagd is Persoonsgegevens die op grond van deze DPA zijn verwerkt te rectificeren, te wissen en/of te blokkeren, dit onverwijld doen. Indien en voor zover Persoonsgegevens niet kunnen worden gewist op grond van wettelijke vereisten in verband met gegevensbewaring, dient Verwerker, in plaats van de desbetreffende Persoonsgegevens te wissen, de verdere Verwerking en/of het verdere gebruik van Persoonsgegevens te beperken, of de bijbehorende identiteit uit de Persoonsgegevens te verwijderen (hierna te noemen: “blokkeren”). Indien zo’n blokkeringsverplichting van toepassing is op Verwerker, dient Verwerker de desbetreffende Persoonsgegevens uiterlijk op de laatste dag van het kalenderjaar waarin de bewaartermijn eindigt, te wissen.

 

5. Subverwerking

  • (a) Verantwoordelijke geeft toestemming voor het gebruik van Subverwerker(s) die door Verwerker worden ingeschakeld voor het verlenen van de Diensten. Verantwoordelijke verleent zijn goedkeuring voor de Subverwerker(s) zoals gespecificeerd in bijlagen 3
  • In het geval dat Verwerker voornemens is nieuwe of meer Subverwerkers in te schakelen, zorgt Verwerker ervoor dat de bijlagen 3 geüpdate wordt. Verantwoordelijke zorgt voor periodieke raadpleging van de bijlage 3. Indien Verantwoordelijke redelijke grond heeft om bezwaar te maken tegen het gebruik van nieuwe of meer Subverwerkers, dient Verantwoordelijke Verwerker daarvan onmiddellijk schriftelijk binnen 14 dagen na ontvangst van de Kennisgeving Subverwerker in kennis te stellen. In het geval dat Verantwoordelijke bezwaar maakt tegen een nieuwe of andere Subverwerker, en dat bezwaar niet onredelijk is, zal Verwerker redelijke inspanningen verrichten om wijzigingen in de Diensten beschikbaar te stellen aan Verantwoordelijke of een commercieel redelijke wijziging aan te bevelen in de configuratie van Verantwoordelijke of het gebruik door Verantwoordelijke van de Diensten ter voorkoming van Verwerking van Persoonsgegevens door de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt, zonder Verantwoordelijke daarbij onredelijk te belasten. Indien Verwerker die wijziging niet binnen een redelijke termijn beschikbaar kan stellen, welke termijn niet meer zal bedragen dan zestig (60) dagen, mag Verantwoordelijke het getroffen deel van de Overeenkomst van Dienstverlening beëindigen, echter uitsluitend met betrekking tot die Diensten die niet door Verwerker kunnen worden verleend zonder het gebruik van de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt door middel van schriftelijke kennisgeving aan Verwerker.
  • Verwerker legt dezelfde gegevensbeschermingsverplichting als genoemd in deze DPA contractueel op aan alle Subverwerkers. De overeenkomst tussen Verwerker en Subverwerker biedt met name voldoende garanties voor doorvoering van de Technische en Organisatorische Beveiligingsmaatregelen zoals genoemd in Bijlage 2, voor zover die Technische en Organisatorische Beveiligingsmaatregelen van belang zijn voor de door de Subverwerker verleende diensten. Verwerker kiest de Subverwerker met de nodige zorg.
  • Indien zo’n Subverwerker zich bevindt in een Derde Land, zal Verwerker op schriftelijk verzoek van Verantwoordelijke, een EU-modelcontract (Verantwoordelijke > Verwerker) aangaan ten behoeve van Verantwoordelijke (op naam van Verantwoordelijke), krachtens Besluit 2010/87/EU. In dit geval instrueert en machtigt Verantwoordelijke Verwerker om Subverwerkers instructies te geven uit naam van Verantwoordelijke en om gebruik te maken van alle rechten van Verantwoordelijke jegens de Subverwerkers op basis van het EU-modelcontract.
  • Verwerker blijft aansprakelijk jegens Verantwoordelijke voor nakoming van de verplichtingen van Subverwerker, in het geval dat Subverwerker zijn verplichtingen niet nakomt. Verwerker is echter niet aansprakelijk voor schade en vorderingen voortvloeiend uit instructies van Verantwoordelijke aan Subverwerkers.

 

6. Beperking aansprakelijkheid

Alle aansprakelijkheid voortvloeiend uit of verband houdend met deze DPA volgt, en wordt uitsluitend beheerst door, de aansprakelijkheidsbepalingen uiteengezet in, of anderszins van toepassing op, de [Overeenkomst van Dienstverlening]. Derhalve, en ter berekening van aansprakelijkheidslimieten en/of ter bepaling van de toepassing van andere beperkingen van aansprakelijkheid, wordt elke aansprakelijkheid die zich uit hoofde van deze DPA voordoet, geacht zich voor te doen uit hoofde van de desbetreffende [Overeenkomst van Dienstverlening].

 

7. Duur en beëindiging

De looptijd van deze DPA is gelijk aan die van de desbetreffende [Overeenkomst van Dienstverlening]. Tenzij in deze overeenkomst anders is bepaald zijn rechten en verplichtingen op het gebied van beëindiging dezelfde als de rechten en verplichtingen die zijn opgenomen in de desbetreffende [Overeenkomst van Dienstverlening]. Verwerker dient, naar keuze van Verantwoordelijke, alle Persoonsgegevens na het einde van de verlening van de Diensten te wissen of aan Verantwoordelijke te retourneren, en alle bestaande kopieën te wissen tenzij Verwerker op grond van EU-wetgeving of wetgeving van een Lidstaat verplicht is die Persoonsgegevens te bewaren.

 

8. Overige

In het geval van strijdigheid tussen het bepaalde in deze DPA en enige andere overeenkomsten tussen Partijen, prevaleert het bepaalde in deze DPA met betrekking tot de gegevensbeschermingsverplichtingen van Partijen. In geval van twijfel over de vraag of clausules in die andere overeenkomsten betrekking hebben op de gegevensbeschermingsverplichtingen van Partijen prevaleert deze DPA. Ongeldigheid of onafdwingbaarheid van enige bepaling in deze DPA heeft geen gevolgen voor de geldigheid of afdwingbaarheid van de overige bepalingen van deze DPA. De ongeldige of onafdwingbare bepaling wordt (i) zo gewijzigd dat de geldigheid of afdwingbaarheid ervan wordt gegarandeerd en tegelijkertijd de intenties van Partijen zo veel mogelijk bewaard blijven of – indien dit niet mogelijk is – (ii) zo uitgelegd alsof het ongeldige of onafdwingbare gedeelte daarin nooit was opgenomen. Het vorenstaande is ook van toepassing indien deze DPA een omissie bevat. Deze DPA wordt beheerst door dezelfde wetgeving als de [Overeenkomst van Dienstverlening] behalve voor zover dwingend Toepasselijke Gegevensbeschermingswet van toepassing is.

 

Bijlage 1 – Categorieën Betrokkenen

De doorgegeven Persoonsgegevens betreffen de volgende categorieën Betrokkenen:

  • Klanten van Verantwoordelijke
  • Werknemers van Verantwoordelijke
  • Onderwerp van de verwerking

 

Aard en doel van de verwerking

Verwerker verzamelt, verwerkt en gebruikt de Persoonsgegevens van de Betrokkenen ten behoeve van Verantwoordelijke teneinde uitvoering van de overeenkomst.

 

Soort persoonsgegevens

De Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke zijn verzameld, verwerkt en gebruikt betreffen de volgende categorieën persoonsgegevens:

  • financiële gegevens
  • contactgegevens

 

Contactgegevens in geval van datalekken

Verantwoordelijke  
Verwerker Cees-Jan Vrolijk

 

Bijlage 2 – Blad Beveiligingsmaatregelen

eschrijving van de Technische en Organisatorische Beveiligingsmaatregelen die door Verwerker zijn doorgevoerd in overeenstemming met Toepasselijke Gegevensbeschermingswet: In deze Bijlage worden de Technische en Organisatorische Beveiligingsmaatregelen en procedures beschreven die Verwerker ten minste moet aanhouden ter bescherming van de veiligheid van persoonsgegevens die zijn gecreëerd, verzameld, ontvangen, of anderszins verkregen.


Algemeen:

Technische en organisatorische maatregelen kunnen worden beschouwd als de stand der techniek op het moment van sluiten van de Overeenkomst van Dienstverlening. Verwerker zal technische en organisatorische maatregelen na verloop van tijd evalueren, daarbij rekening houdend met kosten voor doorvoering, aard, omvang, context en doelstellingen van verwerking, en het risico van verschillen in de mate van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.

Digitaal:

De beveiliging van de digitaal aangeleverde gegevens gebeurt via de individuele bedrijving/programma’s die gebruikt worden voor het verwerken van deze gegevens.

Tevens heeft CJV administratie met al deze programma’s een AVG afgesloten.

Hier volgt een lijst van de verschillende bedrijving/programma’s die gebuikt worden:

  • IBokxing IT
  • Twinfield
  • Basecone
  • Wolters kluwer
  • Nmbrs

Fysieke/schriftelijk:

Fysieke/schriftelijke gegevens worden per klant in individuele mappen bewaard in afsluitbare kasten, waar alleen Cees-Jan Vrolijk de sleutel van heeft.