VERWERKERSOVEREENKOMST
EPPINGA ROBIJN FISCALE & ADMINISTRATIEVE DIENSTVERLENING
1. Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van
toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en op welke
Algemene voorwaarden deze verwerkersovereenkomst een aanvulling is.
1.2 Verwerker: EPPINGA ROBIJN FISCALE & ADMINISTRATIEVE DIENSTVERLENING,
kantoorhoudende te Rotterdam aan de Schiehavenkade 246.
1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht
heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
1.5 Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten
van Werkzaamheden door Verwerker ten behoeve van de Opdrachtgever, conform het
bepaalde in de opdrachtbevestiging.
1.6 Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan
de Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden.
1.7 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door
Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste
zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de
opdrachtbevestiging, maar enkel indien en voor zover Verwerker voor de
werkzaamheden onder de Algemene Verordening Gegevensbescherming (AVG) ook
daadwerkelijk als verwerker kwalificeert.
2. Toepasselijkheid verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van
de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden
verwerkt voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker
voortvloeiende Werkzaamheden en de in dat kader te verwerken gegevens.
2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens
betreffendebepaalde categorieën van betrokkenen, zoals omschreven in Annex 1.
2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde
persoonsgegevens voor Verantwoordelijke.
2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening
Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de
verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien
van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van
Verantwoordelijke bindend voor Verwerker.
2.5 Deze verwerkersovereenkomst maakt, net als de Algemene voorwaarden van
Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten
tussen partijen.
3. Reikwijdte verwerkersovereenkomst
3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft
Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken
namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze
verwerkersovereenkomst, met name met hetgeen is opgenomen in Annex 1.
Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4 De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven
vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het
gebied van bescherming van persoonsgegevens.3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
4. Geheimhouding
4.1 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden
voor hem verrichten, voor zover deze personen toegang hebben tot
persoonsgegevens, verwerken de Gegevens slechts in opdracht van
Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
4.2 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden
voor hem verrichten, voor zover deze personen toegang hebben tot
persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens
waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot
mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
5. Geen verdere verstrekking
5.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker
daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van
Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht
is of bij de inschakeling van derden zoals bedoeld in artikel 5.2. Indien Verwerker op
grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met
of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover
schriftelijk informeren, tenzij dit niet is toegestaan.
5.2 Verwerker kan derden inschakelen voor het uitvoeren van bepaalde werkzaamheden,
bijvoorbeeld als deze derden over specialistische kennis of middelen beschikken
waarover Verwerker niet beschikt. Verantwoordelijke geeft toestemming voor het
inschakelen van derden en het eventueel daarbij aan deze derden verstrekken van
(persoons)gegevens indien en voor zover dit van belang is voor een goede uitvoering
van de Overeenkomst.
6. Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, als ook met de
aard, de omvang, de context en de verwerkingsdoeleinden en de qua
waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van
personen, treft Verwerker passende technische en organisatorische maatregelen om
een op het risico afgestemd beveiligingsniveau te waarborgen. De
beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
6.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling
en verdere verwerking van persoonsgegevens te voorkomen.
6.3 De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese
Economische Ruimte.
7. Toezicht op naleving
7.1 Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening inlichtingen
verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers.
Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk
binnen vijf werkdagen.
7.2 Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een
door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde
een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder
de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle
redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om
haar kosten die gepaard gaan met de inspectie in rekening te brengen bij
Verantwoordelijke.
7.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan
Verantwoordelijke dan wel een daartoe door Verantwoordelijke ingeschakelde derde
in ieder geval:
7.3.1 alle relevante inlichtingen en documenten verstrekken;
7.3.2 toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens.
7.4 Verantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen verder op te pakken. Verwerker zal op kosten van Verantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.
8. Datalek
8.1 Zo spoedig mogelijk nadat Verwerker kennis neemt van een incident of datalek dat
(mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker
Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende
contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over:
de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en
verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die
Verwerker heeft getroffen en zal treffen.
8.2 Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of
autoriteiten.
9. Sub-verwerkers
9.1 Verwerker heeft voorafgaande (algemene) toestemming om zijn verplichtingen uit te
besteden aan derden. Verwerker draagt er zorg voor dat de sub-verwerker is
onderworpen aan deze verwerkersovereenkomst dan wel aan een subverwerkers
overeenkomst die soortgelijke verplichtingen bevat als deze verwerkersovereenkomst.
10. Medewerkingsplichten en rechten van betrokkenen
10.1 Verwerker zal Verantwoordelijke op verzoek medewerking verlenen in geval van een
klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door
de Autoriteit Persoonsgegevens.
10.2 Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening bijstaan bij
het uitvoeren van een gegevens beschermings effectbeoordeling.
10.3 Als Verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of
verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker
Verantwoordelijke binnen vijf werkdagen over de ontvangst van het verzoek.
Verwerker voert zo snel mogelijk alle instructies uit die Verantwoordelijke schriftelijk
aan Verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft
de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn
om te voldoen aan dergelijke instructies van Verantwoordelijke.
10.4 Indien instructies van Verantwoordelijke aan Verwerker strijd opleveren met enige
wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij
Verantwoordelijke.
11. Duur en beëindiging
11.1 Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van
Verantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen
Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden
verricht ten behoeve van Verantwoordelijke is deze verwerkersovereenkomst op deze
relatie van toepassing.
11.2 Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke
bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere
gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke
termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze
gegevens of documenten, computerdisks of andere gegevensdragers binnen een
redelijke termijn na beëindiging van de wettelijke bewaarplicht.
11.3 Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan
Verantwoordelijke binnen twee maanden na beëindiging van de Overeenkomst aan
Verwerker verzoeken om alle documenten, computerdisks en andere
gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan
Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal
Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor
zover de Gegevens zich in een computersysteem bevinden of in een andere vorm
waardoor de Gegevens redelijkerwijs niet kunnen worden verstrekt aan
Verantwoordelijke, zal Verwerker aan Verantwoordelijke een toegankelijke, leesbare
kopie van de Gegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker
tot definitieve vernietiging van de Gegevens overgaan, tenzij Verwerker op grond van
een wettelijke plicht gehouden is Gegevens op te slaan.
11.4 Onverlet hetgeen voor het overige in dit artikel 11 is bepaald, zal Verwerker na
beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.
11.5 De wijze van vernietiging wordt zo nodig vastgesteld in overleg met Verantwoordelijke.
Na vernietiging verstrekt de Verwerker hiervan op verzoek een schriftelijke bevestiging
aan de Verantwoordelijke.
12. Nietigheid
12.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of
vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien
enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen
over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud
van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
13. Toepasselijk recht en forumkeuze
13.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
13.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan
worden voorgelegd aan de bevoegde rechter bij de rechtbank Rotterdam.