Verwerkersovereenkomst

    De ondergetekenden:

    1. , statutair gevestigd en kantoorhoudende te () , aan de , ingeschreven in het handelsregister onder nummer , te dezen rechtsgeldig vertegenwoordigd door , hierna te noemen: Verwerkingsverantwoordelijke
    2. Waterland & Partners BV(KvK 36047106) en Waterland Administraties BV (KvK 33236766), hierna te noemen “Waterland”, statutair gevestigd en kantoorhoudende te 1141 VD, Monnickendam, aan de ’t Prooyen 3B, te dezen rechtsgeldig vertegenwoordigd door Mr. G.F.L.M. Stouthart, hierna te noemen: Verwerker

    Gezamenlijk hierna te noemen Partijen en ieder afzonderlijk te noemen Partij.

    In aanmerking nemende dat:

    • Wij voor u de diensten uitvoeren waarvoor u ons opdracht heeft gegeven op (loon-)administratief en fiscaal gebied.
    • Wij zijn – vanwege het uitvoeren van deze onderliggende opdracht én met betrekking tot de persoonsgegevens die wij hierbij zullen verwerken – aan te merken als “verwerker” en u als “verantwoordelijke”. In deze overeenkomst leggen wij onze wederzijdse rechten en verplichtingen vast.

    Artikel 1. Definities

    1. Verwerkersovereenkomst: een verwerkersovereenkomst als bedoeld in artikel 28, derde lid, Algemene Verordening Gegevensbescherming (hierna: AVG), tussen de Verwerker en de Verwerkingsverantwoordelijke. Waar in de Verwerkersovereenkomst termen worden gebruikt die overeenstemmen met definities uit artikel 4 AVG, wordt aan deze termen de betekenis van de definities uit de AVG toegekend.
    2. Bijlagen: aanhangsels bij deze overeenkomst die een onlosmakelijk deel uitmaken van de overeenkomst.
    3. Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens.
    4. Verwerker: Waterland.
    5. Verwerkingsverantwoordelijke: [verantwoordelijke].

    Artikel 2. Ingangsdatum en duur

    1. Deze overeenkomst gaat in op het moment van ondertekening en duurt voort:

    • voor de duur dat Verwerkingsverantwoordelijke gebruik maakt van de diensten en faciliteiten van Verwerker; en
    • zolang de Verwerker als Verwerker van persoonsgegevens optreedt in het kader van de door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens voor de uitvoering van de diensten en faciliteiten van Verwerker.

    Artikel 3. Onderwerp van deze Overeenkomst

    1. De Verwerker verwerkt voor de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de diensten en faciliteiten van Verwerker.
    2. Partijen zijn overeengekomen dat Verwerker in het kader van de verwerking van persoonsgegevens alleen de verwerking van persoonsgegevens zal verrichten als beschreven in bijlage 1 van deze Overeenkomst. Het is Verwerker niet toegestaan om de persoonsgegevens welke de Verwerker in het kader van de Overeenkomst ontvangt, dan wel beschikking over krijgt, op enig andere wijze te verwerken.
    3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan door Verwerkingsverantwoordelijke is vastgesteld c.q. is beschreven in bijlage 1 van deze Overeenkomst. Verwerkingsverantwoordelijke zal Verwerker op diens verzoek op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Overeenkomst zijn genoemd.
    4. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens afwijkende wettelijke verplichtingen.
    5. De Verwerker verbindt zich om in het kader van die werkzaamheden de door of via de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.
    6. De Verwerker verplicht zich om strikte geheimhouding te betrachten ten aanzien van alle activiteiten en vertrouwelijke informatie zoals prijzen, werkwijzen, programma’s, apparatuur, gegevens en diensten van Verwerkingsverantwoordelijke en/of diens klanten.
    7. Partijen zijn verplicht tegenover onbevoegden tot strikte geheimhouding ten aanzien van alles wat Partijen ten gevolge waarvan zij in hun hoedanigheid betrokken zijn bij de uitvoering van de onderhavige Overeenkomst mee bekend worden en waarvan Partijen weten of redelijkerwijs kunnen vermoeden dat deze informatie van vertrouwelijke aard kan zijn.
    8. Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht. De medewerkers van de Verwerker tekenen hiertoe een geheimhoudingsverklaring.
    9. Indien de Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de Verwerkeringsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.

    Artikel 4. Verplichtingen Verwerker

    1. De Verwerker verwerkt gegevens ten behoeve van de Verwerkingsverantwoordelijke, in overeenstemming met diens instructies en zorgvuldig.
    2. De Verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze Overeenkomst komt nimmer bij de Verwerker te berusten.
    3. De Verwerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. De Verwerker zal alle redelijke instructies van de contactpersoon, als bedoeld in artikel 10 onder 4, opvolgen, behoudens afwijkende wettelijke verplichtingen.
    4. De Verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in artikel 10 onder 4, door Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens met betrekking tot deze Overeenkomst ter hand stellen.
    5. De Verwerker stelt de Verwerkeringsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van
    6. De Verwerker mag in het kader van deze overeenkomst en bijlagen persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande toestemming te hebben verkregen van Verwerkingsverantwoordelijke, onder voorwaarde dat met de subverwerker voldoende waarborgen worden overeengekomen ter bescherming van de persoonsgegevens.

    Artikel 5. Meldplicht datalekken en beveiligingsincidenten

    1. De Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 48 uur na de eerste ontdekking – informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 9.5 van deze Overeenkomst. Verwerker zal voorts, op het eerste verzoek van de Verwerkingsverantwoordelijke, alle inlichtingen verschaffen die de Verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de Verwerkingsverantwoordelijke:
      • de aard van de inbreuk op de persoonsgegevens;
      • de categorie persoonsgegevens;
      • het mogelijk aantal betrokkenen/belanghebbenden;
      • de categorie en mogelijk aantal records van persoonsgegevens;
      • naam en contactgegevens contactpersoon van Verwerker;
      • naam en contactgegevens van de persoon waar meer informatie kan worden verkregen;
      • de te verwachten gevolgen van de inbreuk;
      • beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de inbreuk op te lossen en te voorkomen in de toekomst;
      • beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de gevolgen van de inbreuk zoveel mogelijk te beperken en inzichtelijk te krijgen.
    2. De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de Verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan. Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van materiële wijzigingen in het plan van aanpak.
    3. De Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verwerkingsverantwoordelijke.
    4. De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).
    5. De Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie zoals bedoeld in artikel 5 onder 1 is opgenomen en geeft daar op eerste verzoek van de Verwerkingsverantwoordelijke inzage in.

    Artikel 6. Beveiligingsmaatregelen en controle

    1. De Verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de Verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking. De wijze van beveiliging wordt nader omschreven tussen Verwerker en Verwerkingsverantwoordelijke en als bijlage 2 aan deze Overeenkomst gehecht.
    2. De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te (doen) controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke of, de onder geheimhouding, controlerende instantie in opdracht van Verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.
    3. De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker.
    4. De Verwerker verbindt zich om binnen een door de Verwerkingsverantwoordelijke te bepalen termijn de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de Verwerker van deze Verwerkersovereenkomst. De Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
    5. Verwerker staat ervoor in, de door de Verwerkingsverantwoordelijke of ingeschakelde derde, aangegeven redelijke aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
    6. De Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Overeenkomst.
    7. Naast rapportages door de Verwerker en controles door de Verwerkingsverantwoordelijke of controlerende instantie in opdracht van de Verwerkingsverantwoordelijke, kunnen beide partijen ook overeenkomen gebruik te maken van een Third Party Memorandum (TPM) opgesteld door een onafhankelijke externe deskundige.
    8. De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de Verwerker enig punt uit deze Overeenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de Verwerker.

    Artikel 7. Inschakeling derden

    1. De Verwerker is gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden.
    2. De Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Overeenkomst. De Verwerker garandeert dat deze derden schriftelijk minimaal dezelfde plichten op zich nemen als tussen de Verwerker en de Verwerkingsverantwoordelijke zijn overeengekomen en zal de Verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.
    3. De Verwerker mag de persoonsgegevens verwerken in en buiten Nederland. Doorgifte naar andere landen is toegestaan met inachtneming van de toepasselijke wet- en regelgeving.
    4. De Verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen, alsmede eventuele door de Verwerkingsverantwoordelijke gestelde aanvullende voorwaarden. Dit register is te allen tijde bij Verwerker op te vragen (info@waterlandbv.nl) en zal door de Verwerker actueel worden gehouden.

    Artikel 8. Wijziging en beëindigen overeenkomst

    1. Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door Partijen geaccordeerd voorstel.
    2. Zodra de samenwerking is beëindigd, zal de Verwerker naar keuze van de Verwerkingsverantwoordelijke (i) alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van deze Overeenkomst ter beschikking gestelde persoonsgegevens aan de Verwerkingsverantwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van de Verwerkingsverantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. De Verwerkingsverantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.
    3. De Verwerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit waarborgen zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.
    4. Verwerker en Verwerkingsverantwoordelijke treden met elkaar in overleg over wijzigingen in deze Overeenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.
    5. Indien een Partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere Partij haar in gebreke stellen waarbij de nalatige Partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige Partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere Partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.
    6. De Verwerkingsverantwoordelijke is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst en de daarmee samenhangende Algemene Voorwaarden/Aansluitvoorwaarden, en onverminderd hetgeen overigens in de wet is bepaald, de uitvoering van deze Overeenkomst door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat Verwerkingsverantwoordelijke constateert dat:
      • Verwerker (voorlopige) surseance van betaling aanvraagt; of
      • Verwerker zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
      • de onderneming van Verwerker wordt ontbonden; of
      • Verwerker zijn onderneming staakt; of
      • sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van Verwerker die maakt dat het in alle redelijkheid niet van de Verwerkingsverantwoordelijke kan worden verwacht dat zij de Overeenkomst in stand houdt; of
      • op een aanmerkelijk deel van het vermogen van Verwerker beslag wordt gelegd (anders dan door verantwoordelijke); of
      • de Verwerker aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Overeenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling dan wel een van de overige situaties bedoeld in artikel 8 lid 5 zich voordoet.
    7. Verwerker informeert ogenblikkelijk de Verwerkingsverantwoordelijke indien een faillissement dreigt dan wel surséance van betaling, zodat de Verwerkingsverantwoordelijke tijdig kan beslissen de persoonsgegevens terug te vorderen alvorens faillissement wordt uitgesproken.
    8. Verwerkingsverantwoordelijke is gerechtigd deze Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld.
    9. Indien de Overeenkomst voortijdig wordt beëindigd is artikel 8, lid 2 en 3 van overeenkomstige toepassing.

    Artikel 9. Aansprakelijkheid

    1. Indien de Verwerker tekortschiet in de nakoming van de verplichting uit deze Overeenkomst kan Verwerkingsverantwoordelijke hem in gebreke stellen. Verwerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de Verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.
    2. Verwerker is aansprakelijk op grond van het bepaalde in artikel 49 van de Wbp (artikel 82 AVG), schade of nadeel voortvloeiende uit het niet nakomen van deze Overeenkomst daaronder begrepen tot het bedrag dat door de aansprakelijkheidsverzekering van Verwerker wordt vergoed.

    Artikel 10. Overige bepalingen

    1. Op deze overeenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.
    2. Geschillen tussen partijen zullen worden voorgelegd aan de bevoegde rechter te Zwolle.
    3. [verantwoordelijke] treedt namens Verwerkingsverantwoordelijke op als contactpersoon.
    4. Mr. G.F.L.M. Stouthart treedt namens Verwerker of als contactpersoon.

    Aldus in tweevoud opgesteld en getekend te [plaats] d.d.

    [verantwoordelijke]

    Namens deze: [vertegenwoordelijke] …………………………………

    Waterland BV

    Namens deze: Mr. G.F.L.M. Stouthart …………………………………

    Bijlage 1: Specificatie verwerking van gegevens

    Verwerkingsactiviteiten

    Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens, anonimiseren.

    Betrokken categorieën persoonsgegevens

    ‘Gewone’ NAW gegevens: geboortedata, BSN nummers, telefoonnummers, email adressen. Communicatie gegevens: inhoud van (telefoon) gesprekken, poststukken, e-mail, mobiele tekstberichten.

    Doeleinden van de verwerking

    Zakelijke dienstverlening aan cliënten.

    Bijlage 2: Omschrijving nadere beveiligingsmaatregelen

    Omschrijving wijze van beveiliging, zoals:

    • Er is een informatiebeveiligingsbeleid opgesteld. In het beleid zijn regels opgenomen over de omgang met Persoonsgegevens. Medewerkers zijn op de hoogte van de inhoud van dit beleid.
    • Er is een procedure ingesteld over de omgang met en de afhandeling van Datalekken.
    • Er wordt dagelijks een back-up gemaakt van de servers om beschadiging of verlies van (persoons)gegevens te voorkomen.
    • Medewerkers van Waterland maken gebruik van sterke wachtwoorden en gebruiken niet hetzelfde wachtwoord voor verschillende systemen.
    • Waar mogelijk is antivirus en antimalware software geïnstalleerd en actief.
    • Beveiliging intern netwerk.
    • Doelgebonden toegangsbeperkingen
    • Fysieke maatregelen voor toegangsbeveiliging
    • Encryptie (versleuteling) van digitale bestanden met persoonsgegevens.
    • Automatische logging van alle handelingen rond persoonsgegevens.

    Wij hebben de verwerkersovereenkomst gelezen en gaan akkoord: