Verwerkersovereenkomst

Verwerkersovereenkomst

Deze verwerkersovereenkomst is in werking getreden tussen:

A. Yaarwerk B.V., statutair gevestigd te Rotterdam en aldaar kantoorhoudende aan de Wilhelminakade 308, ingeschreven in het handelsregister onder KvK-nummer 61091995, hierbij rechtsgeldig vertegenwoordigd door haar directeur, hierna verder te noemen ‘Verwerker’; en

B. Opdrachtgever, zoals benoemd in de Algemene voorwaarden, Offerte dienstverlening en/of Opdrachtovereenkomst(en), hierna verder te noemen ‘Verwerkingsverantwoordelijke’.

Hierna respectievelijk te noemen “Partij” en gezamenlijk als de “Partijen”.

Inleiding

1.1 Deze Overeenkomst is van toepassing op Verwerkingen (zoals hieronder gedefinieerd) van Persoonsgegevens (zoals hieronder gedefinieerd) door Verwerker (zoals hieronder gedefinieerd).

1.2 De Overeenkomst dient als addendum op de door Yaarwerk verstrekte Algemene voorwaarden. De gemaakte afspraken daarin zijn derhalve ook van toepassing op deze Overeenkomst.

Wanneer de door Yaarwerk verstrekte Opdrachtovereenkomst(en), Offerte dienstverlening of Algemene voorwaarden worden geaccepteerd door Opdrachtgever, wordt daarmee ook deze Overeenkomst geaccepteerd. 

Definities

2.1 De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens, Verwerking, Verwerker en Gevoelige Gegevens (Bijzondere Persoonsgegevens categorieën) in deze Overeenkomst hebben dezelfde betekenis zoals gebruikt in EU 2016/679 Algemene Verordening Gegevensbescherming (de ‘AVG’). 

Toepasselijkheid

3.1. De Overeenkomst regelt de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke, en schetst hoe de Verwerker zal bijdragen aan het waarborgen van de privacy namens de Verwerkingsverantwoordelijke en zijn geregistreerde Betrokkenen, door middel van technische en organisatorische maatregelen in overeenstemming met de toepasselijke privacywetgeving, waaronder de AVG.

3.2. Het doel van de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke is de uitvoering van de Opdrachtovereenkomst(en) en deze Overeenkomst. 

3.3. Deze Overeenkomst heeft voorrang op tegenstrijdige bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Opdrachtovereenkomst(en) of in andere eerdere overeenkomsten of schriftelijke communicatie tussen de Partijen. Deze Overeenkomst is geldig voor de duur zoals overeengekomen in Bijlage A.

Rechten en plichten van de Verwerker

4.1. De Verwerker zal Persoonsgegevens slechts Verwerken namens en in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. Door het aangaan van deze Overeenkomst draagt de Verwerkingsverantwoordelijke de Verwerker op om Persoonsgegevens op de volgende wijze te verwerken; i) uitsluitend in overeenstemming met de toepasselijke wetgeving, ii) om te voldoen aan alle verplichtingen volgens de Opdrachtovereenkomst(en), iii) zoals nader gespecificeerd via het gewone gebruik door de Verwerkingsverantwoordelijke van de diensten van de Verwerker en iv) zoals gespecificeerd in deze Overeenkomst.   

4.2. De Verwerker heeft geen reden om aan te nemen dat wetgeving die op hem van toepassing is, de Verwerker verhindert om de hierboven genoemde instructies uit te voeren. De Verwerker zal, zodra hij daarvan op de hoogte is, de Verwerkingsverantwoordelijke in kennis stellen van instructies of andere Verwerkingsactiviteiten door de Verwerkingsverantwoordelijke die naar het oordeel van de Verwerker in strijd zijn met de toepasselijke privacywetgeving.

4.3. De categorieën van Betrokkenen en Persoonsgegevens die op grond van deze Overeenkomst aan Verwerking worden onderworpen, zijn vastgelegd in Bijlage A. 

4.4. De Verwerker zal de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens waarborgen overeenkomstig de op de Verwerker van toepassing zijnde privacywetgeving. De Verwerker zal systematische, organisatorische en technische maatregelen treffen om een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging in verhouding tot het risico dat de Verwerking vertegenwoordigt, en de aard van de te beschermen Persoonsgegevens.

4.5. De Verwerker zal de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan, voor zover mogelijk en rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker beschikt, bij het nakomen van de verplichtingen van de Verwerkingsverantwoordelijke op grond van de toepasselijke privacywetgeving met betrekking tot het verzoek van Betrokkenen, en de algemene naleving van de privacywetgeving op grond van de AVG artikel 32 t/m 36.   

4.6. Indien de Verwerkingsverantwoordelijke informatie of bijstand nodig heeft met betrekking tot beveiligingsmaatregelen, documentatie of andere vormen van informatie over de wijze waarop de Verwerker Persoonsgegevens verwerkt, en dergelijke verzoeken verder gaan dan de standaardinformatie die de Verwerker verstrekt om als Verwerker te voldoen aan de toepasselijke privacywetgeving, kan de Verwerker de Verwerkingsverantwoordelijke voor dit verzoek om aanvullende diensten in rekening brengen. 

4.7. De Verwerker en zijn personeel dragen zorg voor geheimhouding met betrekking tot de Persoonsgegevens die onderwerp zijn van Verwerking in overeenstemming met de Overeenkomst. Deze bepaling is ook van toepassing na beëindiging van de Overeenkomst. 

4.8. De Verwerker zal, door de Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis te stellen, de Verwerkingsverantwoordelijke in staat stellen te voldoen aan de wettelijke vereisten inzake kennisgeving aan gegevensautoriteiten of Betrokkenen over privacy-incidenten.

Voorts zal de Verwerker, voor zover dit passend en rechtmatig is, de Verwerkingsverantwoordelijke in kennis stellen van;

1. i) van een Betrokkene ontvangen verzoeken om verstrekking van Persoonsgegevens,
2. ii) verzoeken tot openbaarmaking van Persoonsgegevens door overheidsinstanties, zoals maar niet beperkt tot, de politie.

4.9. De Verwerker zal niet rechtstreeks reageren op verzoeken van Betrokkenen, tenzij hij daartoe schriftelijk is gemachtigd door de Verwerkingsverantwoordelijke. De Verwerker zal geen aan deze Overeenkomst verbonden informatie verstrekken aan overheidsinstanties, zoals de politie, waaronder Persoonsgegevens, tenzij daartoe verplicht door de wet, zoals via een gerechtelijk bevel of een soortgelijk bevel.

4.10. De Verwerker heeft geen zeggenschap of en hoe de Verwerkingsverantwoordelijke gebruik maakt van integraties van derden via de API (of vergelijkbaar) van de Verwerker, en de Verwerker aanvaard in verband dus geen aansprakelijkheid. De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor integraties van derden. 

4.11. De Verwerker kan Persoonsgegevens over gebruikers en het gebruik van de dienst door de Verwerkingsverantwoordelijke verwerken wanneer dit noodzakelijk is om feedback te verkrijgen en de dienst te verbeteren. De Verwerkingsverantwoordelijke verleent de Verwerker het recht om geaggregeerde gegevens over systeemactiviteiten in verband met uw gebruik van de Diensten te gebruiken en te analyseren met het oog op optimalisering, verbetering of verbetering van de wijze waarop wij onze Diensten verlenen en om ons in staat te stellen nieuwe functies en functionaliteit in verband met de Diensten te creëren. Visma Yaarwerk wordt beschouwd als de verwerkingsverantwoordelijke voor dergelijke verwerking en de verwerking is derhalve niet onderworpen aan deze Overeenkomst.

4.12. Bij het gebruik van de dienst zal de Verwerkingsverantwoordelijke gegevens toevoegen aan de Software (“Klantgegevens”). De Verwerkingsverantwoordelijke erkent en heeft er geen bezwaar tegen dat de Verwerker de Klantgegevens in een geaggregeerd en geanonimiseerd formaat gebruikt voor het verbeteren van de aan klanten geleverde diensten, onderzoek, opleiding, educatieve en/of statistische doeleinden. 

Rechten en plichten van Verwerkingsverantwoordelijke

5.1 De Verwerkingsverantwoordelijke bevestigt door het accepteren van deze Overeenkomst dat:

• zij wettelijk bevoegd is tot het Verwerken en bekendmaken van de Persoonsgegevens in kwestie aan Verwerker (met inbegrip van door Verwerker ingeschakelde subverwerkers). 
• zij verantwoordelijkheid draagt voor de accuraatheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Verwerkte Persoonsgegevens zoals bekendgemaakt aan Verwerker.
• zij heeft voldaan aan haar verplichtingen om relevante informatie te verstrekken aan Betrokkenen en toezichthoudende autoriteiten omtrent de Verwerkingen van Persoonsgegevens conform dwingend gegevensbeschermingswetgeving. 
• zij zal, bij het ontvangen van de diensten van Verwerker onder de Opdrachtovereenkomst(en), geen Gevoelige Gegevens aan Verwerker bekendmaken/verstrekken, tenzij expliciet overeengekomen in Appendix A bij deze Overeenkomst.  

Inschakelen derden voor Verwerker en data-overdracht 

6.1 Als onderdeel van het leveren van diensten aan Verwerkingsverantwoordelijke conform de Opdrachtovereenkomst(en) en deze Overeenkomst, zal Verwerker derden (subverwerkers) inschakelen bij de uitvoering van deze Overeenkomst en Verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Verwerker. Deze subverwerkers kunnen bedrijven binnen de Visma groep zijn of externe derde partijen. Alle subverwerkers met toegang tot Persoonsgegevens zijn opgenomen in Bijlage B. Verwerker ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Overeenkomst.

6.2 Een overzicht van de huidige subverwerkers met toegang tot Persoonsgegevens is beschikbaar in Appendix B bij deze Overeenkomst. De verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma-groep als subverwerker inschakelen zonder dat het Visma-bedrijf is opgenomen in de lijst van Appendix B en zonder voorafgaande goedkeuring of kennisgeving aan de verwerkingsverantwoordelijke. Dit gebeurt gewoonlijk ten behoeve van ontwikkeling, ondersteuning, activiteiten enz. Verwerkingsverantwoordelijke mag gedetailleerdere informatie over subverwerkers bij Verwerker opvragen. 

6.3 Als subverwerkers buiten de EU zijn gevestigd, autoriseert Verwerkingsverantwoordelijke Verwerker om Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke buiten de grenzen van de EU over te dragen, zodat daartoe gegronde rechtsgrondslagen zijn gewaarborgd, door de EU-modelcontracten (‘EU Model Clauses’) overeen te komen.  

6.4 De Verwerkingsverantwoordelijke wordt vooraf in kennis gesteld van elke wijziging van subverwerkers die Persoonsgegevens verwerken. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe subverwerker binnen 30 dagen na de kennisgeving, beoordelen de Verwerker en de Verwerkingsverantwoordelijke de documentatie over de nalevingsinspanningen van de subverwerker, teneinde de naleving van de toepasselijke privacywetgeving te waarborgen. Indien de Verwerkingsverantwoordelijke blijvend bezwaren heeft en daarvoor redelijke gronden heeft, kan de Verwerkingsverantwoordelijke zich niet tegen het gebruik van een dergelijke subverwerker verzetten (met name gezien de aard van online standaardsoftware), maar kan de Verwerkingsverantwoordelijke de Opdrachtovereenkomst(en) opzeggen.

Beveiliging

7.1. De Verwerker verbindt zich ertoe een hoog niveau van beveiliging te bieden in zijn producten en diensten. De Verwerker voorziet in zijn beveiligingsniveau door middel van organisatorische, technische en fysieke beveiligingsmaatregelen, overeenkomstig de vereisten inzake informatiebeveiligingsmaatregelen zoals uiteengezet in de AVG, artikel 32.

Inspectie rechten 

8.1 De Verwerkingsverantwoordelijke kan maximaal eenmaal per jaar controleren of de Verwerker zich aan deze Overeenkomst houdt. Indien de op de Verwerkingsverantwoordelijke van toepassing zijnde wetgeving zulks vereist, kan de Verwerkingsverantwoordelijke om frequentere audits verzoeken. Om een audit aan te vragen, dient de Verwerkingsverantwoordelijke de Verwerker ten minste vier weken voor de voorgestelde auditdatum een gedetailleerd auditplan voor te leggen, met een beschrijving van de voorgestelde omvang, duur en aanvangsdatum van de audit. Indien een derde partij de audit moet uitvoeren, moet dit onderling tussen de partijen schriftelijk worden overeengekomen. Indien de verwerkingsomgeving echter een “multitenant”-omgeving of een soortgelijke omgeving is, geeft de verantwoordelijke voor de verwerking de Verwerker de bevoegdheid om om veiligheidsredenen te besluiten dat de audits worden uitgevoerd door een neutrale derde-auditor naar keuze van de Verwerker.  

8.2 Indien de gevraagde reikwijdte van de audit wordt behandeld in een ISAE-, ISO- of vergelijkbaar assurance-rapport dat binnen de voorafgaande twaalf maanden door een gekwalificeerde derde auditor is uitgevoerd, en de Verwerker bevestigt dat er geen bekende materiële wijzigingen zijn in de gecontroleerde maatregelen, stemt Verwerkingsverantwoordelijke ermee in die bevindingen te aanvaarden in plaats van een nieuwe audit aan te vragen van de maatregelen waarop het rapport betrekking heeft. 

8.3 In elk geval moeten de audits worden uitgevoerd tijdens de gewone kantooruren in de desbetreffende vestiging, met inachtneming van het beleid van de verwerker, en mogen zij de bedrijfsactiviteiten van de verwerker niet op onredelijke wijze hinderen. 

8.4 Verwerkingsverantwoordelijke is verantwoordelijk voor alle kosten die voortvloeien uit de door de Verwerkingsverantwoordelijke gevraagde controles. Voor verzoeken om bijstand van de Verwerker kunnen kosten in rekening worden gebracht.

Duur en beëindiging

9.1 Deze Overeenkomst is geldig zolang de Verwerker Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke na de Opdrachtovereenkomst(en) of zoals anderszins overeengekomen in Bijlage A.

9.2 Deze Overeenkomst wordt automatisch beëindigd bij beëindiging van de Opdrachtovereenkomst(en). Bij beëindiging van deze Overeenkomst zal de Verwerker Persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt, wissen of retourneren, in overeenstemming met de toepasselijke clausules in de Opdrachtovereenkomst(en). Deze verwijdering zal zo spoedig als redelijkerwijs mogelijk is plaatsvinden, tenzij EU- of lokale wetgeving verdere opslag vereist. Tenzij schriftelijk anders overeengekomen, zullen de kosten van dergelijke handelingen gebaseerd zijn op; i) uurtarieven voor de door de Verwerker bestede tijd en ii) de complexiteit van het gevraagde proces.

Wijzigingen en amendementen

10.1 Wijzigingen aan de Overeenkomst zullen in een nieuwe Appendix bij deze Overeenkomst worden opgenomen en treden in werking nadat beide Partijen deze hebben ondertekend.

10.2 Indien enige bepaling van deze overeenkomst nietig is, laat zulks de overige bepalingen onverlet. De partijen zullen de nietige bepaling vervangen door een rechtmatige bepaling die het doel van de nietige bepaling weergeeft.

Aansprakelijkheid

11.1 Ter voorkoming van misverstanden, Partijen komen hierbij overeen en erkennen dat iedere Partij aansprakelijk zal zijn en verantwoordelijk is voor de betaling van administratieve boetes en schadevergoedingen aan Betrokkenen indien deze betalingsplicht aan deze Partij is opgelegd door de relevante autoriteit persoonsgegevens of een bevoegde rechtbank in overeenstemming met toepasselijke wetgeving. Aansprakelijkheidskwesties tussen de Partijen zullen worden beheerst door de relevante bepalingen aangaande aansprakelijkheid zoals overeengekomen in de Opdrachtovereenkomst(en).

Toepasselijk recht en forumkeuze

12.1 Deze Overeenkomst wordt beheerst door het toepasselijke recht van de Opdrachtovereenkomst(en). De in de Opdrachtovereenkomst(en) genoemde bevoegde rechter is mutatis mutandis bevoegd kennis te nemen van geschillen rondom deze Overeenkomst.

Appendix A – Betrokkenen, Soorten persoonsgegevens, Doel, Aard, Duur

A.1 Categorieën van Betrokkenen

• klanten van de klanten
• klantmedewerkers

A.2 Categorieen van Persoonsgegevens

• contactgegevens, zoals naam, telefoon, adres, e-mail enz.
• functie-informatie, zoals functie, bedrijf, enz. 
• economische informatie zoals salaris, creditcard etc

A.3 Bijzondere categorieën Persoonsgegevens (Gevoelige Persoonsgegevens)   

Indien de Verwerker dergelijke gegevens namens de Verwerkingsverantwoordelijke mag verwerken, moeten de betrokken soorten Gevoelige Persoonsgegevens hieronder door de Verwerkingsverantwoordelijke worden gespecificeerd. 

De verantwoordelijke voor de verwerking is tevens verantwoordelijk voor het informeren van de Verwerker over, en het hieronder specificeren van, eventuele aanvullende soorten Gevoelige Persoonsgegevens overeenkomstig de toepasselijke privacywetgeving.

A.4 Doel van de Verwerking

Het doel van de verwerking van persoonsgegevens door de gegevensverwerker ten behoeve van de verantwoordelijke voor de verwerking is:

Om de dienst(en) te kunnen leveren die op basis van de Opdrachtovereenkomst is aangegaan.

A.5 Aard van de Verwerking

De verwerking heeft voornamelijk betrekking op (de aard van de verwerking):

De verwerking van persoonsgegevens door de verwerker ten behoeve van de verantwoordelijke voor het voeren en het opslaan van een administratie.

A.6 Duur van de Verwerking:

De duur van de verwerking van persoonsgegevens is zolang de Opdrachtovereenkomst van toepassing is en eventueel een verlenging voor de archieffunctie.

Appendix B – Overzicht huidige derden (‘subverwerkers’)

Huidige subverwerkers van Verwerker met toegang tot de Persoonsgegevens van Verwerkingsverantwoordelijke ten tijde van het ondertekenen van deze Overeenkomst zijn:

De Verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma-groep als subverwerker inschakelen zonder dat het Visma-bedrijf hierboven is vermeld en zonder voorafgaande goedkeuring of kennisgeving aan de Verwerkingsverantwoordelijke. Dit gebeurt gewoonlijk met het oog op ontwikkeling, ondersteuning, activiteiten enz.