[Data Processing Agreement (DPA) – english version –> see below]

Definities

In deze verwerkersovereenkomst wordt verstaan onder:

  • AVG: Algemene Verordening Gegevensbescherming (EU 2016/679).
  • Verantwoordelijke: De opdrachtgever die als natuurlijk persoon of rechtspersoon aan de verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden.
  • Verwerker: AXP Adviseurs B.V. en AXP4Models B.V. gevestigd te Amsterdam & Rotterdam
  • Subverwerker: Derde die door de verwerker wordt ingeschakeld om (een deel van) de verwerking uit te voeren.
  • Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zoals genoemd in Annex 1.
  • Datalek: Inbreuk in verband met persoonsgegevens zoals bedoeld in art. 4 en 33 AVG.
  • Overeenkomst: De opdrachtrelatie op basis waarvan Verwerker werkzaamheden verricht voor verantwoordelijke.

Onderwerp van de verwerkersovereenkomst

  • Deze overeenkomst regelt de verwerking van persoonsgegevens door Verwerker ten behoeve van Verantwoordelijke.
  • Deze verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst.
  • Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van Verantwoordelijke en volgens deze overeenkomst.

Reikwijdte van de verwerking

  • De doeleinden, categorieën persoonsgegevens en categorieën betrokkenen zijn gespecificeerd in Annex 1.
  • Verwerker verwerkt de persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en in overeenstemming met deze Overeenkomst.
  • Indien een instructie van Verantwoordelijke naar oordeel van Verwerker strijdig is met wet- of regelgeving, meldt Verwerker dit onverwijld.

Verplichtingen van de Verwerker

  • Verwerker verwerkt persoonsgegevens op zorgvuldige wijze, conform de AVG.
  • Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen (Annex 2).
  • Verwerker zorgt ervoor dat personen onder zijn verantwoordelijkheid geheimhouding betrachten.
  • Verwerker helpt Verantwoordelijke bij het voldoen aan verplichtingen op grond van de AVG.

Subverwerkers

  • Verwerker maakt bij de uitvoering van de salarisadministratie gebruik van een derde partij, Salaris Jobs BV, die ondersteunt bij de verwerking van persoonsgegevens.
  • Tussen Verwerker en Subverwerker is een afzonderlijke verwerkersovereenkomst gesloten, waarin passende afspraken zijn gemaakt over beveiliging, geheimhouding en naleving van de AVG.
  • Verwerker blijft richting Verwerkingsverantwoordelijke volledig verantwoordelijk voor de verwerking die door Salarisjobs BV wordt uitgevoerd.
  • Indien Verwerker voornemens is een andere of nieuwe subverwerker in te schakelen, zal Verwerkingsverantwoordelijke vooraf schriftelijk worden geïnformeerd.

Beveiligingsmaatregelen

  • Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Hierbij wordt onder andere gebruikgemaakt van:
    • Versleuteling en beveiligde verbindingen
    • Toegangscontrole en autorisatiebeheer (2FA)
    • Back-ups
    • Beveiligingsbeleid en interne bewustwording
  • Verwerker verleent alleen toegang aan medewerkers van (sub)verwerker voor wie de toegang noodzakelijk is voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de personen die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met deze persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen. In de bijlage zijn de bevoegde personen van de subverwerker apart opgenomen
  • De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de Verwerking van Persoonsgegevens te (doen) controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke of controlerende instantie in opdracht van Verwerkingsverantwoordelijke toe te laten en is verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.
  • De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker.
  • De Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde Derde(n), is/zijn gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
  • De Verwerker staat ervoor in de door de Verwerkingsverantwoordelijke of ingeschakelde Derde aangegeven redelijke aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.

Rechten van betrokkenen

  • Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van verzoeken van betrokkenen op grond van de AVG, zoals inzage-, correctie-, verwijderings- of verzoeken om overdracht van persoonsgegevens
  • Verwerker zal geen zelfstandig verzoek van een betrokkene in behandeling nemen, maar deze altijd doorverwijzen naar Verwerkingsverantwoordelijke.

Geheimhouding

  • Verwerker en haar medewerkers en sub-verwerkers zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, tenzij een wettelijke verplichting anders voorschrijft.
  • Deze geheimhoudingsplicht blijft ook na beëindiging van de Overeenkomst van kracht.

Meldplicht, datalekken en beveiligingsincidenten

  • De Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 48 uur na de eerste ontdekking – informeren over alle (vermoedelijke) Inbreuken op de beveiliging, onverminderd de verplichting de gevolgen van dergelijke Inbreuken en beveiligingsincidenten zo snel mogelijk ongedaan te maken dan wel te beperken.
  • De Verwerker zal voorts, op het eerste verzoek van de Verwerkingsverantwoordelijke, alle inlichtingen verschaffen die de Verwerkingsverantwoordelijke noodzakelijk acht om de Inbreuk of het incident te kunnen beoordelen en melding bij de Autoriteit Persoonsgegevens te kunnen doen. Daarbij verschaft de Verwerker in ieder geval de volgende informatie aan de Verwerkingsverantwoordelijke:
    • de aard van de Inbreuk op de Persoonsgegevens;
    • de betrokken categorie Persoonsgegevens;
    • het mogelijk aantal Betrokkenen of anderszins belanghebbenden bij de Persoonsgegevens;
    • de categorie of categorieën en mogelijk aantal (records van) Persoonsgegevens dat betrokken is/zijn;
    • naam en contactgegevens van de contactpersoon bij de Verwerker;
    • naam en contactgegevens van de persoon waar meer informatie kan worden verkregen;
    • de te verwachten gevolgen van de Inbreuk of het beveiligingsincident;
    • beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de Inbreuk op te lossen en te voorkomen in de toekomst.
  • De Verwerker zal het doen van meldingen aan de Toezichthouder overlaten aan de Verwerkingsverantwoordelijke.

Aansprakelijkheid

Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de algemene voorwaarden van NOAB van toepassing zijn.

Duur en beëindiging

  • Deze Overeenkomst geldt zolang Verwerker persoonsgegevens verwerkt in opdracht van Verwerkingsverantwoordelijke.
  • Als een wijziging in (de uitleg van) regelgeving daartoe aanleiding geeft, treden Verwerker en Verwerkingsverantwoordelijke met elkaar in overleg over wijzigingen in deze overeenkomst.
  • Na het beëindigen van deze Overeenkomst blijven bestaan: de verplichting tot het melden van beveiligingsincidenten en datalekken met betrekking tot Persoonsgegevens verkregen van of voor Verwerkingsverantwoordelijke alsmede de verplichting tot het waarborgen van de geheimhouding.
  • Bij beëindiging van de dienstverlening zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de persoonsgegevens retourneren of vernietigen, tenzij een wettelijke bewaarplicht anders voorschrijft.

Tot slot

  • Indien bepalingen nietig blijken, blijven overige bepalingen geldig. Partijen stellen een vervangende bepaling vast.
  • Op deze Overeenkomst is Nederlands recht van toepassing.
  • Geschillen worden bij voorkeur in goed overleg opgelost. Indien dit niet lukt, worden geschillen voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd.

 

 

Annex 1 Categorieën Gegevens, Doeleinden en Betrokkenen

Persoonsgegevens

  • Naam, adres, woonplaats
  • Contactgegevens
  • Geboortedatum
  • BSN (indien noodzakelijk voor wettelijke taak)
  • Financiële gegevens (privé/zakelijk)
  • Personeelsgegevens indien van toepassing
  • Identiteitsbewijs (WWFT)

Doeleinden

  • Uitvoering van de overeengekomen werkzaamheden
  • Administratieve verplichtingen
  • Hosting, onderhoud en ondersteuning van systemen
  • Gegevensbeheer en back-up

Data Processing Agreement (DPA)

Definitions

In this Data Processing Agreement, the following terms shall have the meanings set out below:

  • GDPR: General Data Protection Regulation (EU 2016/679).
  • Controller: The client, whether a natural person or legal entity, who has instructed the Processor to perform Services.
  • Processor: AXP Adviseurs & AXP For Models  (= AXP) established in Amsterdam & Rotterdam.
  • Sub-processor: A third party engaged by the Processor to carry out (part of) the processing activities.
  • Personal Data: Any information relating to an identified or identifiable natural person, as specified in Annex 1.
  • Data Breach: A personal data breach as defined in Articles 4 and 33 GDPR.
  • Agreement: The engagement under which the Processor performs services for the Controller.

Subject of the Data Processing Agreement

This Agreement governs the processing of personal data by the Processor on behalf of the Controller.
This Data Processing Agreement forms an integral part of the Agreement.
The Processor shall process personal data solely on behalf of the Controller and in accordance with this Agreement.

Scope of the Processing

The purposes, categories of personal data and categories of data subjects are defined in Annex 1.
The Processor shall process personal data exclusively on behalf of the Controller and in accordance with this Agreement.
If, in the opinion of the Processor, an instruction from the Controller conflicts with applicable laws or regulations, the Processor shall notify the Controller without delay.

Obligations of the Processor

  • The Processor shall process personal data with due care and in accordance with the GDPR.
  • The Processor shall implement appropriate technical and organisational security measures (Annex 2).
  • The Processor shall ensure that persons under its authority are subject to confidentiality obligations.
  • The Processor shall assist the Controller in complying with its obligations under the GDPR.

Sub-processors

The Processor engages a third party, Salarisjobs BV, for the execution of payroll administration, supporting the processing of personal data.
A separate data processing agreement has been concluded between the Processor and the Sub-processor, detailing appropriate arrangements regarding security, confidentiality, and GDPR compliance.
The Processor remains fully responsible to the Controller for the processing performed by Salarisjobs BV.
If the Processor intends to engage another or a new sub-processor, the Controller shall be informed in writing in advance.

Security Measures

The Processor shall implement appropriate technical and organisational measures to protect personal data against loss or any form of unlawful processing. These include, among others:

  • Encryption and secure connections
  • Access control and authorisation management (2FA)
  • Back-ups
  • Security policies and internal awareness programmes

Access is granted only to employees of the Processor or Sub-processor for whom such access is necessary to perform their duties.
The Processor shall ensure that all persons with access to personal data receive proper and complete instructions regarding the handling of such data and are aware of their responsibilities and legal obligations.
Authorised persons of the Sub-processor are listed separately in the annex.

The Controller is entitled at all times to audit or have audited the processing of personal data. The Processor shall allow and cooperate with such audits.
Audits will only be initiated following prior written notice from the Controller.
The Controller and any third parties engaged to conduct audits must treat all information obtained as confidential.
The Processor shall implement any reasonable recommendations for improvement within a reasonable timeframe set by the Controller.

Rights of Data Subjects

The Processor shall assist the Controller in responding to requests from data subjects under the GDPR, including requests for access, rectification, erasure, or data portability.
The Processor shall not handle such requests independently but shall refer the data subject to the Controller.

Confidentiality

The Processor, its employees, and Sub-processors shall maintain confidentiality regarding all personal data accessed, unless a legal obligation requires disclosure.
This duty of confidentiality shall continue after termination of the Agreement.

Breach Notification and Security Incidents

The Processor shall notify the Controller as soon as possible—no later than 48 hours after first discovery of any (suspected) security breaches, without prejudice to the obligation to mitigate or remedy such incidents as quickly as possible.

Upon request, the Processor shall provide all information deemed necessary by the Controller for assessing the breach or incident and for reporting it to the supervisory authority. The Processor shall at least provide:

  • The nature of the personal data breach
  • The categories of personal data involved
  • The possible number of data subjects or otherwise affected individuals
  • The categories and estimated number of personal data records involved
  • Name and contact details of the Processor’s contact person
  • Name and contact details of the person from whom additional information can be obtained
  • The likely consequences of the breach or incident
  • A description of measures taken or proposed to address and prevent future breaches

The Processor shall leave the reporting to the supervisory authority to the Controller.

Liability

The parties explicitly agree that the NOAB general terms and conditions apply with respect to liability.

Duration and Termination

This Agreement applies as long as the Processor processes personal data on behalf of the Controller.
If changes in laws or regulatory interpretations require adjustments, the parties shall consult each other.
After termination, the obligations relating to breach notifications and confidentiality remain in force.
Upon termination of the services, the Processor shall, at the Controller’s choice, return or delete the personal data, unless a statutory retention obligation applies.

Final Provisions

If any provisions are invalid, the remaining provisions shall remain in full force. The parties shall agree on a valid replacement provision.
This Agreement is governed by Dutch law.
Disputes shall preferably be resolved amicably. If not possible, disputes will be submitted to the competent court in the district where the Processor is established.

Annex 1 — Categories of Data, Purposes, and Data Subjects

Personal Data

  • Name, address, place of residence
  • Contact details
  • Date of birth
  • Citizen service number (BSN), if required by law
  • Financial data (private/business)
  • Personnel data, where applicable
  • Identification document (WWFT)

Purposes

  • Execution of the agreed services
  • Administrative obligations
  • Hosting, maintenance, and system support
  • Data management and back-up