VERWERKERSOVEREENKOMST Zakelijk Inkomen

 

U bent geregistreerd als gebruiker van mijn.zakelijkinkomen.nl. Met deze registratie heeft u toegang tot het online klantportaal waar u via een ssl-verbinding persoonsgegevens verstuurt naar Zakelijk Inkomen. Hierdoor is het noodzakelijk om enkele afspraken vast te leggen omtrent de verwerking van persoonsgegevens.

Partijen:

Gebruiker (hierna: “Verwerkingsverantwoordelijke”);

Zakelijk Inkomen gevestigd aan de Koningin Wilhelminalaan 21 te Amersfoort, ingeschreven bij de Kamer van Koophandel onder nummer 65921550 (hierna: “Verwerker”);

 

De verwerkingsverantwoordelijke en de verwerker hierna gezamenlijk te noemen Partijen en ieder voor zich Partij;

Nemen het volgende in aanmerking:

  • Partijen zijn een overeenkomst aangegaan in het kader waarvan Persoonsgegevens van derden door Verwerker (kunnen) worden verwerkt;
  • De Verwerker zal in het kader van de overeenkomst ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerken, waarbij verwerkingsverantwoordelijke te beschouwen is als “Verwerkingsverantwoordelijke”, en verwerker als “Verwerker”, zoals bedoeld in de Algemene Verordening Gegevensbescherming;

 

  • Partijen zullen beiden voldoen aan de verplichtingen uit de Algemene Verordening Gegevensbescherming en nationale wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens;
  • De Verwerker zal ten behoeve van de Verwerkingsverantwoordelijke waarborgen bieden ten aanzien van het naleven van deze regelgeving ten aanzien van de bescherming van Persoonsgegevens, waaronder ook het bieden van passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd adequaat beveiligingsniveau te garanderen;
  • Partijen leggen in deze Overeenkomst de afspraken vast die gelden voor het verwerken van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke;

 

Verklaren het volgende te zijn overeengekomen:

Artikel 1: Definities en uitgangspunten In deze verwerkersovereenkomst worden de volgende definities gehanteerd:

  1. AVG: de Algemene Verordening Gegevensbescherming en overige (nationale) wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens;
  2. Betrokkene: een natuurlijk persoon van wie de Persoonsgegevens worden verwerkt door Verwerkingsverantwoordelijke en verwerker, zoals nader beschreven in Bijlage 1;
  3. Datalek: een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, die een risico inhoudt op de rechten en vrijheden van Betrokkene;
  4. Overeenkomst: de overeenkomst tussen partijen betreffende gebruikmaking van de Pim applicatie door verwerkingsverantwoordelijke;
  5. Persoonsgegevens: de (categorieën van) persoonsgegevens met betrekking tot Betrokkenen, zoals nader beschreven in Bijlage 1;
  6. Sub-verwerker: de derde partij die in opdracht van verwerker de Persoonsgegevens zal verwerken;
  7. Verwerken: elke handeling met betrekking tot Persoonsgegevens, waaronder in ieder geval het vastleggen, ordenen, opslaan, bijwerken, actualiseren, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, met elkaar in verband brengen, uitwisselen, wissen, vernietigen of beperken;
  8. Verwerkersovereenkomst: deze overeenkomst.
  9. Derden: ieder niet zijn de betrokkene, de verantwoordelijke, bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijk of bewerker gemachtigd is om persoonsgegevens te verwerken.

 

Artikel 2: Reikwijdte van deze overeenkomst

2.1. Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve en in opdracht van Verwerkingsverantwoordelijke en steeds in overeenstemming met de bepalingen van de Verwerkersovereenkomst, dan wel met overige schriftelijke instructies van Verwerkingsverantwoordelijke.

2.2. Indien één der partijen op enig moment van mening is dat een bepaling uit deze verwerkersovereenkomst of een overeengekomen schriftelijke instructie van Verwerkingsverantwoordelijke zich niet of niet volledig verhoudt met de AVG, dan informeren deze partijen elkaar daar direct over. Partijen overleggen alsdan over de mogelijke gevolgen en de voortgang van de verwerkersovereenkomst.

2.3. Verwerker zal de Persoonsgegevens van Betrokkenen alleen verwerken ten behoeve van de verwerkingsdoeleinden, zoals allen beschreven in Bijlage 1. De verwerkingsdoeleinden zijn vastgesteld door Verwerker.

2.4. Eventuele (intellectuele) eigendomsrechten met betrekking tot de Persoonsgegevens of de dragers van de Verwerkingsverantwoordelijke waarop deze zijn opgeslagen, blijven uitsluitend voorbehouden aan Verwerkingsverantwoordelijke.

 

Artikel 3: Algemene verplichtingen Verwerker

3.1 Verwerker verplicht zich om alle overeengekomen instructies van Verwerkingsverantwoordelijke op te volgen ten aanzien van de verwerking van de Persoonsgegevens in het kader van deze verwerkersovereenkomst.

3.2 Verwerker zal zich houden aan de verplichtingen op grond van de AVG en alle overige toepasselijke wet en regelgeving en gedragscodes betreffende de bescherming en beveiliging van Persoonsgegevens, zoals die van tijd tot tijd zullen gelden. Verwerker verklaart met deze regelgeving bekend te zijn en zich tijdig van eventuele wijzigingen daarvan op de hoogte te zullen houden.

3.3 Verwerker zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze in overeenstemming met de AVG verwerken.

3.4 Verwerker instrueert medewerkers, Sub-verwerkers en overige derden die werkzaamheden verrichten in het kader van de uitvoering van de overeenkomst, opdat zij niet in strijd handelen met deze Verwerkersovereenkomst. Verwerker draagt hiervoor de verantwoordelijkheid.

3.5 Het is Verwerker niet toegestaan om de Persoonsgegevens voor eigen doeleinden of enig ander doel dan de in deze verwerkersovereenkomst genoemde verwerkingsdoeleinden te verwerken en/of aan derden te verstrekken.

3.6 Verwerker voorziet Verwerkingsverantwoordelijke op eerste verzoek van redelijkerwijze noodzakelijke informatie, op basis waarvan de Verwerkingsverantwoordelijke zich een oordeel kan vormen over de naleving van deze verwerkersovereenkomst door Verwerker. Verwerker licht op eerste verzoek van Verwerkingsverantwoordelijke de opzet en werking toe van het stelsel aan maatregelen en procedures, dat dient tot naleving van deze verwerkersovereenkomst.

3.7 Verwerker zal op eerste verzoek van verwerkingsverantwoordelijke toegang verlenen aan Verwerkingsverantwoordelijke tot de Persoonsgegevens, dan wel de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking stellen.

3.8 Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren over enig verzoek of onderzoek van de Autoriteit Persoonsgegevens of enige overheids- of gerechtelijke of

toezichthoudende instantie met betrekking tot de verstrekking of verwerking van de Persoonsgegevens, betrekking hebbende op de aan Verwerkingsverantwoordelijke geleverde diensten.

 

Artikel 4: Sub-verwerkers en doorgifte

4.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de verwerkersovereenkomst Sub-verwerkers inschakelen. Verwerkingsverantwoordelijke verleent met deze overeenkomst zijn algemene toestemming voor de toevoeging of vervanging van een Sub-verwerker door Verwerker. Verwerkingsverantwoordelijke en Verwerker kunnen voorwaarden overeenkomen voor inschakeling van een sub-verwerker.

4.2 Indien (een deel van) de verwerking van de Persoonsgegevens wordt uitbesteed aan een Sub-verwerker, is Verwerker jegens Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de uitvoering door Sub-verwerker conform de plichten die uit hoofde van deze verwerkersovereenkomst op Verwerker rusten. Verwerker staat er jegens Verwerkingsverantwoordelijke voor in dat de verwerking van de Persoonsgegevens door een Sub-verwerker slechts plaatsvindt binnen de reikwijdte van deze verwerkersovereenkomst.

4.3 Verwerker en eventuele Sub-verwerkers zullen persoonsgegevens niet verwerken in of doorgeven aan derde landen of doorgeven aan internationale organisaties, een en ander zoals bedoeld in de AVG, tenzij daarover voorafgaand schriftelijke afspraken zijn gemaakt tussen Partijen, Verwerker dient instructies van Verwerkingsverantwoordelijke met betrekking tot het verwerken of doorgeven van Persoonsgegevens in derde landen of aan internationale organisaties strikt op te volgen.

4.4 Verwerker draagt er zorg voor dat Sub-verwerkers, die onder zijn gezag staan, kennis hebben van de inhoud van deze verwerkersovereenkomst en zich hebben verbonden tot vertrouwelijkheid.

 

Artikel 5: Geheimhouding

5.1 Verwerker mag geen Persoonsgegevens aan derden kenbaar maken of derden daartoe toegang geven, tenzij Verwerkingsverantwoordelijke daar vooraf uitdrukkelijk schriftelijk toestemming voor heeft gegeven. Onder derden wordt ook personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de overeenkomst kennisneemt van de Persoonsgegevens. Deze geheimhoudingsplicht blijft onverminderd van kracht na het einde van deze Verwerkersovereenkomst.

5.2 Verwerker verplicht zich om medewerkers en Sub-verwerkers, of overige derden die werkzaamheden verrichten in het kader van de uitvoering van de overeenkomst, hen schriftelijk te conformeren aan de verplichtingen uit de verwerkersovereenkomst ten aanzien maar niet beperkt tot onder meer het geheimhouden en vertrouwelijk behandelen van Persoonsgegevens als bedoeld in dit artikel.

 

Artikel 6: Beveiliging

6.1 Verwerker zal uit eigen beweging zodanige technische en organisatorische beveiligingsmaatregelen treffen en aanhouden dat de persoonsgegevens adequaat beveiligd zijn tegen verlies of enige vorm van onzorgvuldige, ondeskundige of onrechtmatige verwerking en dat ten aanzien van de Persoonsgegevens steeds sprake is van een adequate bescherming die, gelet op de stand van de techniek, passend is. Verwerker zal zich er daarbij voor inspannen dat de beveiligingsmaatregelen minimaal het niveau hebben dat gebruikelijk is in de branche waarin verwerker werkzaam is.

6.2 Verwerker treft in ieder geval de in Bijlage 2 opgenomen beveiligingsmaatregelen.

6.3 Partijen evalueren periodiek de in dit artikel en in Bijlage 2 genoemde maatregelen. Zodra Verwerkingsverantwoordelijke ten aanzien van de beveiliging van de Persoonsgegevens nieuwe of gewijzigde afspraken wenselijk acht, dan treden partijen hierover in overleg. Verwerker is verplicht nieuwe of aanvullende beveiligingsmaatregelen te treffen, indien dat redelijkerwijze nodig is om een adequaat niveau van bescherming blijvend te garanderen.

 

Artikel 7: Controle

7.1 Verwerker stelt Verwerkingsverantwoordelijke en eventueel door Verwerkingsverantwoordelijke aangewezen derden (auditors) in staat om op verzoek van Verwerkingsverantwoordelijke binnen een redelijke termijn de naleving door Verwerker van deze verwerkersovereenkomst te (laten) controleren.

7.2 De Verwerkingsverantwoordelijke en eventueel door de Verwerkingsverantwoordelijke aangewezen derden (auditors) zullen zich conformeren aan de op enig moment geldende beveiligingsmaatregelen van verwerker en zullen geheimhouding betrachten met betrekking tot de informatie die hen bekend wordt van Verwerker tijdens de controle. Indien gewenst zullen Verwerkingsverantwoordelijke en door deze aangewezen derden een geheimhoudingsverklaring ondertekenen.

7.3 De kosten voor een door Verwerkingsverantwoordelijke geïnitieerde controle als beschreven in dit artikel komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat Verwerker aantoonbaar in strijd handelt of heeft gehandeld met de verwerkersovereenkomst. Verwerkingsverantwoordelijke kan de kosten van de controle in zo’n geval (deels) verhalen op Verwerker.

7.4 Verwerker verstrekt op eerste verzoek van Verwerkingsverantwoordelijke, een rapportage aan Verwerkingsverantwoordelijke waarin Verwerker informatie verstrekt over de stand van de beveiligingsmaatregelen, alsmede over datalekken ten aanzien van de Persoonsgegevens.

 

Artikel 8: Datalek

8.1 Verwerker richt haar beveiligingsmaatregelen en organisatie zodanig in, dan zij in staat is om een Datalek te signaleren.

8.2 Zodra Verwerker kennisneemt van een Datalek, van welke aard dan ook, stelt Verwerker Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging (d.w.z. maar in ieder geval zo mogelijk binnen 24 uur) op de hoogte.

8.3 Verwerker verstrekt daarbij in ieder geval de volgende informatie:

8.3.1 de aard en omvang van het Datalek en de feitelijke toedracht voor zover bekend of vermoed;

8.3.2 het tijdstip van het Datalek en het tijdstip van vaststelling ervan;

8.3.3 of het Datalek bij Verwerker heeft plaatsgevonden of bij een derde;

8.3.4 de (mogelijk) getroffen (categorieën van) Persoonsgegevens en de mogelijke ontvangers van de Persoonsgegevens;

8.3.5 de vastgestelde en te verwachten gevolgen voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen;

8.3.6 en de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van het Datalek te verhelpen of beperken en herhaling daarvan te voorkomen.

8.4 Verwerker verleent op verzoek van Verwerkingsverantwoordelijke de gevraagde medewerking die partijen in alle redelijkheid nodig achten voor de beoordeling en afhandeling van het Datalek c.q. het melden bij de Autoriteit Persoonsgegevens en/of de betrokkenen.

8.5 Verwerker zal een dergelijke melding van een Datalek nimmer zelfstandig doen zonder uitdrukkelijke voorafgaande toestemming van Verwerkingsverantwoordelijke.

8.6 Verwerker zal Verwerkingsverantwoordelijke steeds van eventuele nieuwe ontwikkelingen omtrent een Datalek op de hoogte stellen en informeren. Voorts zal verwerker zich steeds beschikbaar houden voor overleg.

 

Artikel 9: Aansprakelijkheid

9.1 Verwerker is aansprakelijk voor alle schade die voor Verwerkingsverantwoordelijke voortvloeit uit een aan Verwerker en/of Sub-verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens of niet-nakoming van verplichtingen ingevolge deze Verwerkersovereenkomst.

 

Artikel 10: Rechten van betrokkenen

10.1 Verzoeken van betrokkenen in verband met het recht op inzage, rectificatie, wissen, beperken van de verwerking over overdracht met betrekking tot de Persoonsgegevens van Betrokkenen zullen door Verwerker onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijk verzoek, worden doorgestuurd aan Verwerkingsverantwoordelijke. Tenzij Partijen anders overeenkomen worden verzoeken van betrokkenen door Verwerkingsverantwoordelijke afgehandeld.

10.2 Verwerker zal aan Verwerkingsverantwoordelijke voor zover mogelijk ondersteuning bieden om uitvoering te geven aan rechtmatige verzoeken van betrokkenen, voor zover (wettelijk) is toegestaan en voor zover Verwerkingsverantwoordelijke geen (directe) toegang heeft tot de Persoonsgegevens. Persoonsgegevens zijn tijdens de duur van de Overeenkomst voor de verantwoordelijke in een standaard formaat beschikbaar.

10.3 Indien Verwerker een klacht ontvangt van een betrokkene over de wijze waarop de Persoonsgegevens door haar worden verwerkt, dan informeert Verwerker de Verwerkingsverantwoordelijke daar onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijke klacht, over. Tenzij anders overeengekomen, wordt een klacht afgehandeld door de Verwerkingsverantwoordelijke. Verwerker zal aan Verwerkingsverantwoordelijke alle redelijke en benodigde medewerking verlenen in verband met de afhandeling van een klacht van een betrokkene.

 

Artikel 11: Omgang met Persoonsgegevens bij beëindiging Overeenkomst

11.2 Bij beëindiging van de overeenkomst, ongeacht de grond of reden daarvan zal verwerker binnen 30 werkdagen, dan wel op eerste verzoek van Verwerkingsverantwoordelijke:

11.1.1 aan Verwerkingsverantwoordelijke alle Persoonsgegevens ter beschikking stellen; partijen kunnen aanvullend afspraken maken over het format dat door Verwerkingsverantwoordelijke is gewenst;

11.1.2 onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden;

11.1.3 ervoor zorg dragen dat eventuele Sub-verwerkers onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden;

11.1.4 alle documenten waarin Persoonsgegevens zijn vastgelegd aan verwerkingsverantwoordelijke ter beschikking stellen;

11.1.5 alle Persoonsgegevens die elektronisch zijn opgeslagen permanent verwijderen;

11.1.6 en desgevraagd schriftelijk aan verwerkingsverantwoordelijke bevestigen dat aan alle verplichtingen uit hoofde van dit artikel is voldaan.

11.2 Voor eventuele werkzaamheden verbonden aan de onderdelen zoals beschreven in lid 1 zal verwerker geen kosten in rekening brengen.

11.3 Het risico dat Persoonsgegevens in afwijking van het hiervoor bepaalde niet worden teruggeven, vernietigd of verwijderd, blijft bij verwerker en Verwerker blijft in dat geval onverminderd gebonden aan alle afspraken uit deze verwerkersovereenkomst ten aanzien van de omgang met Persoonsgegevens bij en na beëindiging van de overeenkomst.

11.4 Verwerker zal alle Derden en Sub-verwerkers die betrokken zijn bij de verwerking van Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en staat ervoor in dat alle Derden en Sub-verwerkers de Peroonsgegevens zullen vernietigen, verwijderen of teruggeven aan de Verwerkingsverantwoordelijke op dezelfde manier als voor verwerker geldt.

 

Artikel 12: Inwerkingtreding, duur en wijziging van de overeenkomst

12.1 Deze verwerkersovereenkomst treedt in werking na ondertekening door Partijen.

12.2 Deze verwerkersovereenkomst geldt voor de duur dat verwerker Persoonsgegevens verwerkt in het kader van de uitvoering van de oereenkomst. Een beëindiging van de overeenkomst betekent tevens een beëindiging van deze verwerkersovereenkomst.

12.3 Partijen kunnen deze verwerkersovereenkomst niet tussentijds opzeggen.

12.4 De bepalingen in deze verwerkersovereenkomst blijven ok na het einde van de overeenkomst onverminderd van kracht zolang verweker Persoonsgegevens onder zich heeft, tenzij uit de aard van de verplichting voortvloeit dat deze langer van kracht dienen te blijven, zoals in het geval van algemene verplichtingen Verwerker (artikel 3), geheimhouding (artikel 5) en toepasselijk recht (artikel 13).

12.5 Indien een bepaling uit deze verwerkersovereenkomst zich niet verhoudt met een bepaling uit de Overeenkomst, dan prevaleert de bepaling uit deze verwerkersovereenkomst.

12.6 Wijzigingen in deze verwerkersovereenkomst gelden uitsluitend indien deze door Partijen overeen zijn gekomen, schriftelijk of digitaal zijn vastgelegd en ondertekend. Verwerker zal haar medewerking aan een wijziging verlenen, indien (een wijziging van) de AVG de aanleiding voor de wijziging vormt.

 

Artikel 13: Toepasselijk recht en bevoegde rechter

13.1 Deze verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.

13.2 Bij geschillen naar aanleiding of in verband met deze verwerkersovereenkomst, zullen Partijen zich inspannen om tot een gezamenlijk oplossing te komen. Indien Partijen niet tot een gezamenlijk oplossing komen door middel van mediation, worden geschillen voorgelegd aan de bevoegde rechter te Utrecht.

 

BIJLAGE 1 

 

PERSOONSGEGEVENS EN DOELEINDEN

1.     Persoonsgegevens

Verwerker zal de volgende (categorieën) Persoonsgegevens verwerken:

 

Algemene Persoonsgegevens:

  • NAWT gegevens en geboortedatum
  • E-mailadres en andere contactgegevens

Financiele Gegevens:

  • Inkomensgegevens (Box1, 2 en 3)
  • Jaarcijfers
  • Aangiften omzetbelasting
  • Uittreksel KvK
  • IB-aangiften
  • IB-aanslagen
  • Loonstroken
  • Vermogensgegevens
  • WOZ-waarde
  • Eigen woningschuld
  • Box3 vermogen en schulden
  • Overige gegevens m.b.t. de ondernemer c.q. onderneming
2.     Betrokkenen

De Persoonsgegevens betreffen de volgende (categorieën) Betrokkenen:

  • Eindklant c.q. opdrachtgever
3.     Verwerkingsdoeleinden

De doeleinden waarvoor bovengenoemde Persoonsgegevens worden verwerkt zijn:

Het vaststellen van het zakelijk inkomen van ondernemers.

  1. Locatie verwerkingen

Nederland.

  1. Bewaartermijn

Maximaal 1 jaar.

 

BIJLAGE 2

TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

 

Technische beveiligingsmaatregelen:

 

  • Tweetraps-authenticatie systemen
  • Firewall
  • Beveiligde servers
  • SSL-verbinding website (beveiligingscertificaat)
  • Encryptie van bepaalde typen gegevens
  • Autorisatie medewerkers

 

Organisatorische beveiligingsmaatregelen:

 

  • Inbraakwerend hang- en sluitwerk
  • Schrikverlichting middels sensoren
  • Toekenning rechten in het kader van toegang tot datasystemen
  • Essentiële computerapparatuur in geconditioneerde en afgesloten ruimte
  • Toegangscontrole tot het pand (elektronische sluitsystemen)
  • Registratie sleuteluitgifte

 

Menu