Definities

In deze verwerkersovereenkomst wordt verstaan onder:

  • AVG: Algemene Verordening Gegevensbescherming (EU 2016/679).
  • Verantwoordelijke: De opdrachtgever die als natuurlijk persoon of rechtspersoon aan de verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden.
  • Verwerker: AXP Adviseurs B.V. en AXP4Models B.V. gevestigd te Amsterdam & Rotterdam
  • Subverwerker: Derde die door de verwerker wordt ingeschakeld om (een deel van) de verwerking uit te voeren.
  • Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zoals genoemd in Annex 1.
  • Datalek: Inbreuk in verband met persoonsgegevens zoals bedoeld in art. 4 en 33 AVG.
  • Overeenkomst: De opdrachtrelatie op basis waarvan Verwerker werkzaamheden verricht voor verantwoordelijke.

Onderwerp van de verwerkersovereenkomst

  • Deze overeenkomst regelt de verwerking van persoonsgegevens door Verwerker ten behoeve van Verantwoordelijke.
  • Deze verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst.
  • Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van Verantwoordelijke en volgens deze overeenkomst.

Reikwijdte van de verwerking

  • De doeleinden, categorieën persoonsgegevens en categorieën betrokkenen zijn gespecificeerd in Annex 1.
  • Verwerker verwerkt de persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en in overeenstemming met deze Overeenkomst.
  • Indien een instructie van Verantwoordelijke naar oordeel van Verwerker strijdig is met wet- of regelgeving, meldt Verwerker dit onverwijld.

Verplichtingen van de Verwerker

  • Verwerker verwerkt persoonsgegevens op zorgvuldige wijze, conform de AVG.
  • Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen (Annex 2).
  • Verwerker zorgt ervoor dat personen onder zijn verantwoordelijkheid geheimhouding betrachten.
  • Verwerker helpt Verantwoordelijke bij het voldoen aan verplichtingen op grond van de AVG.

Subverwerkers

  • Verwerker maakt bij de uitvoering van de salarisadministratie gebruik van een derde partij, Salaris Jobs BV, die ondersteunt bij de verwerking van persoonsgegevens.
  • Tussen Verwerker en Subverwerker is een afzonderlijke verwerkersovereenkomst gesloten, waarin passende afspraken zijn gemaakt over beveiliging, geheimhouding en naleving van de AVG.
  • Verwerker blijft richting Verwerkingsverantwoordelijke volledig verantwoordelijk voor de verwerking die door Salarisjobs BV wordt uitgevoerd.
  • Indien Verwerker voornemens is een andere of nieuwe subverwerker in te schakelen, zal Verwerkingsverantwoordelijke vooraf schriftelijk worden geïnformeerd.

Beveiligingsmaatregelen

  • Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Hierbij wordt onder andere gebruikgemaakt van:
    • Versleuteling en beveiligde verbindingen
    • Toegangscontrole en autorisatiebeheer (2FA)
    • Back-ups
    • Beveiligingsbeleid en interne bewustwording
  • Verwerker verleent alleen toegang aan medewerkers van (sub)verwerker voor wie de toegang noodzakelijk is voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de personen die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met deze persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen. In de bijlage zijn de bevoegde personen van de subverwerker apart opgenomen
  • De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de Verwerking van Persoonsgegevens te (doen) controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke of controlerende instantie in opdracht van Verwerkingsverantwoordelijke toe te laten en is verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.
  • De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker.
  • De Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde Derde(n), is/zijn gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
  • De Verwerker staat ervoor in de door de Verwerkingsverantwoordelijke of ingeschakelde Derde aangegeven redelijke aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.

Rechten van betrokkenen

  • Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van verzoeken van betrokkenen op grond van de AVG, zoals inzage-, correctie-, verwijderings- of verzoeken om overdracht van persoonsgegevens
  • Verwerker zal geen zelfstandig verzoek van een betrokkene in behandeling nemen, maar deze altijd doorverwijzen naar Verwerkingsverantwoordelijke.

Geheimhouding

  • Verwerker en haar medewerkers en sub-verwerkers zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, tenzij een wettelijke verplichting anders voorschrijft.
  • Deze geheimhoudingsplicht blijft ook na beëindiging van de Overeenkomst van kracht.

Meldplicht, datalekken en beveiligingsincidenten

  • De Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 48 uur na de eerste ontdekking – informeren over alle (vermoedelijke) Inbreuken op de beveiliging, onverminderd de verplichting de gevolgen van dergelijke Inbreuken en beveiligingsincidenten zo snel mogelijk ongedaan te maken dan wel te beperken.
  • De Verwerker zal voorts, op het eerste verzoek van de Verwerkingsverantwoordelijke, alle inlichtingen verschaffen die de Verwerkingsverantwoordelijke noodzakelijk acht om de Inbreuk of het incident te kunnen beoordelen en melding bij de Autoriteit Persoonsgegevens te kunnen doen. Daarbij verschaft de Verwerker in ieder geval de volgende informatie aan de Verwerkingsverantwoordelijke:
    • de aard van de Inbreuk op de Persoonsgegevens;
    • de betrokken categorie Persoonsgegevens;
    • het mogelijk aantal Betrokkenen of anderszins belanghebbenden bij de Persoonsgegevens;
    • de categorie of categorieën en mogelijk aantal (records van) Persoonsgegevens dat betrokken is/zijn;
    • naam en contactgegevens van de contactpersoon bij de Verwerker;
    • naam en contactgegevens van de persoon waar meer informatie kan worden verkregen;
    • de te verwachten gevolgen van de Inbreuk of het beveiligingsincident;
    • beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de Inbreuk op te lossen en te voorkomen in de toekomst.
  • De Verwerker zal het doen van meldingen aan de Toezichthouder overlaten aan de Verwerkingsverantwoordelijke.

Aansprakelijkheid

Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de algemene voorwaarden van NOAB van toepassing zijn.

Duur en beëindiging

  • Deze Overeenkomst geldt zolang Verwerker persoonsgegevens verwerkt in opdracht van Verwerkingsverantwoordelijke.
  • Als een wijziging in (de uitleg van) regelgeving daartoe aanleiding geeft, treden Verwerker en Verwerkingsverantwoordelijke met elkaar in overleg over wijzigingen in deze overeenkomst.
  • Na het beëindigen van deze Overeenkomst blijven bestaan: de verplichting tot het melden van beveiligingsincidenten en datalekken met betrekking tot Persoonsgegevens verkregen van of voor Verwerkingsverantwoordelijke alsmede de verplichting tot het waarborgen van de geheimhouding.
  • Bij beëindiging van de dienstverlening zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de persoonsgegevens retourneren of vernietigen, tenzij een wettelijke bewaarplicht anders voorschrijft.

Tot slot

  • Indien bepalingen nietig blijken, blijven overige bepalingen geldig. Partijen stellen een vervangende bepaling vast.
  • Op deze Overeenkomst is Nederlands recht van toepassing.
  • Geschillen worden bij voorkeur in goed overleg opgelost. Indien dit niet lukt, worden geschillen voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd.

 

 

Annex 1 Categorieën Gegevens, Doeleinden en Betrokkenen

Persoonsgegevens

  • Naam, adres, woonplaats
  • Contactgegevens
  • Geboortedatum
  • BSN (indien noodzakelijk voor wettelijke taak)
  • Financiële gegevens (privé/zakelijk)
  • Personeelsgegevens indien van toepassing
  • Identiteitsbewijs (WWFT)

Doeleinden

  • Uitvoering van de overeengekomen werkzaamheden
  • Administratieve verplichtingen
  • Hosting, onderhoud en ondersteuning van systemen
  • Gegevensbeheer en back-up