Deze Verwerkersvoorwaarden gaan uit van De Vriese Accountancy BV, met maatschappelijke zetel te Oostendestraat 45A, 8820 Torhout, BTW BE 0534.973.608, RPR Gent (afdeling Oostende), verder genoemd de ‘verwerker’.
De cliënt aangeduid in de opdrachtbrief wordt hierna genoemd de ‘verwerkingsverantwoordelijke’.
De verwerker en de verwerkingsverantwoordelijke worden elk afzonderlijk een ‘partij’ genoemd en samen de ‘partijen’.
Deze verwerkersvoorwaarden vinden enkel toepassing wanneer verwerker gegevens gaat verwerken namens de verwerkingsverantwoordelijke en dus verwerker niet zelf het doel en de middelen van de gegevensverwerking gaat bepalen.
Met verwerker worden persoonsgegevens gedeeld door verwerkingsverantwoordelijke teneinde de administratieve en accountancy prestaties te kunnen leveren aan de verwerkingsverantwoordelijke.
Verwerkingsverantwoordelijke is ofwel een verwerkingsverantwoordelijke overeenkomstig artikel 4, lid 7 van de GDPR (zie verder gedefinieerd) ofwel een verwerker overeenkomstig artikel 4, lid 8 van de GDPR (zie verder gedefinieerd), afhankelijk van de soort persoonsgegevens die door haar verwerkt worden.
Deze overeenkomst heeft tot doel verwerkingsverantwoordelijke voldoende waarborgen te bieden met betrekking tot de (sub-)verwerking van de persoonsgegevens door verwerker, die bij verwerking van de persoonsgegevens voor de verwerkingsverantwoordelijke aan te merken is als een verwerker overeenkomstig het artikel 4 lid 8 van de GDPR (zie verder gedefinieerd).
Terminologie. De terminologie gebruikt in deze Verwerkersvoorwaarden dient geïnterpreteerd te worden overeenkomstig de Europese Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (‘Algemene Verordening Gegevensbescherming’ of beter gekend als de ‘GDPR’), alsook de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens ter omzetting, aanvulling en uitvoering van deze verordening.
Voorwerp. Overeenkomstig de bepalingen van deze Verwerkersvoorwaarden, zal de verwerker ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerken die overeenkomstig de hoofdovereenkomst met betrekking tot het leveren van administratieve en accountancy prestaties aan de verwerker worden overgemaakt ter verwerking en dit in overeenstemming met de vooropgestelde doeleinden en schriftelijke instructies van verwerkingsverantwoordelijke, tenzij een wettelijke bepaling haar tot verwerking zou verplichten. In dit laatste geval zal de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis stellen van dat wettelijk voorschrift, tenzij de wetgeving deze kennisgeving omwille van gewichtige redenen van algemeen belang verbiedt.
Het betreft met name de verwerking van de volgende persoonsgegevens:
– Generieke gegevens zoals voornaam en naam, geslacht telefoonnummer, e-mailadres, adres, geboortedatum, geboorteplaats, bedrijfsgegevens;
– Financiële gegevens zoals bankgegevens, salaris, alsook rijksregisternummer en identiteitskaart of paspoort;
– Gedragsgegevens en IP-adres;
– Gevoelige gegevens wanneer die voor uw specifiek dossier relevant zijn (uitzonderlijk bv. medische gegevens).
Dit met betrekking tot verwerkingsverantwoordelijke zelf, maar tevens van haar de werknemers, bestuurders, aandeelhouders, leveranciers, klanten, zakelijke betrokkenen en derde partijen (zoals familieleden) van de verwerkingsverantwoordelijke, naargelang de aard van de opdracht.
Aard en doel van de verwerking. Verwerker zal de persoonsgegevens enkel verwerken in het kader van de hoofdovereenkomst met betrekking tot het leveren van administratieve en accountancy prestaties en doeleinden die daar redelijkerwijs mee samenhangen of die met nadere instemming van de verwerkingsverantwoordelijke worden bepaald. Enkel de persoonsgegevens die noodzakelijk zijn voor deze doeleinden mogen door de verwerker worden verwerkt. Verwerkingsverantwoordelijke zal verwerker onverwijld in kennis stellen wanneer de persoonsgegevens onjuist zijn teneinde deze te laten wissen, dan wel te rectificeren. In geen geval zal verwerker eigenaar worden van de persoonsgegevens.
Naleving van de toepasselijke privacywetgeving. Verwerkingsverantwoordelijke verbindt er zich principieel en uitdrukkelijk toe om de wettelijke bepalingen van de toepasselijke privacywetgeving en regelgeving na te leven.
Geheimhouding. De persoonsgegevens mogen door de verwerker enkel worden verwerkt overeenkomstig de eerder omschreven doeleinden. Verwerker zal er zich toe inspannen dat de persoonsgegevens niet ter beschikking komen van derden, tenzij dit noodzakelijk is voor de uitvoering van de hoofdovereenkomst en de nodige waarborgen neemt voor het bewaren van de confidentialiteit van de persoonsgegevens zoals nader bepaald in de hoofdovereenkomst tussen partijen, dan wel in een eventuele afzonderlijke vertrouwelijkheidsovereenkomst. Verwerker is tevens verplicht het beroepsgeheim te respecteren (tenzij er uitzonderingen van toepassing zijn).
Gebruik sub-verwerkers. De verwerkingsverantwoordelijke aanvaardt dat de verwerker een beroep doet op sub-verwerkers. Deze hoeven niet voorafgaandelijk aan klant voorgelegd te worden ter goedkeuring. Verwerker zal ervoor zorgen dat haar sub-verwerkers enkel persoonsgegevens verwerken nadat zij een schriftelijke overeenkomst heeft afgesloten met haar sub-verwerker overeenkomstig de GDPR. De sub-verwerkers zullen aan verwerker de nodige garanties moet geven met betrekking tot de naleving van de toepasselijke privacywetgeving. Verwerker blijft steeds het aanspreekpunt. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Wanneer een sub-verwerker een andere verwerker in dienst neemt om voor rekening van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming. Verwerker erkent dat wanneer een sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, zij ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk blijft voor het nakomen van de verplichtingen, met dien verstande dat de beperking van aansprakelijkheid van verwerker overeenkomstig het artikel aansprakelijkheid hierna ook in deze context dient te worden gerespecteerd.
Overdracht. Verwerker zal de Persoonsgegevens enkel over te dragen naar derde landen of een internationale organisatie wanneer zij in de gepaste maatregelen heeft voorzien en op voorwaarde dat voor de betrokkenen effectieve en afdwingbare rechten en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voorhanden zijn.
Beveiliging. De verwerker treft de passende technische en organisatorische maatregelen, o.a. rekening houdende met de stand van de techniek en de kosten van tenuitvoerlegging, om een passend beveiligingsniveau te waarborgen gelet op de redelijkerwijs te verwachten risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
In het bijzonder zal de verwerker de persoonsgegevens beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De verwerker zal ervoor zorgen dat de plaatsen waar ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens worden verwerkt, niet toegankelijk zijn voor onbevoegden.
Voorlichting. De verwerker zal de toegang tot de verwerkte persoonsgegevens beperken tot die personen die de gegevens nodig hebben om de taken uit te oefenen die de verwerker hen in uitvoering van deze overeenkomst toewijst, dan wel om haar belangen te vrijwaren in geval van geschillen. De verwerker verbindt er zich toe om deze personen in kennis te stellen van de toepasselijke wettelijke bepalingen. De verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Controle door de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke heeft op elk ogenblik het recht om de naleving van deze overeenkomst te controleren. Op eenvoudig verzoek van de verwerkingsverantwoordelijke, mits een redelijke voorbereidingstermijn wordt gegeven wanneer nodig, is de verwerker ertoe gehouden de medewerking te verlenen die nodig is om de nakoming van de neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen en dit op kosten van de verwerkingsverantwoordelijke. Audits ter plaatse zullen desgevallend steeds plaatsvinden binnen de kantooruren (maandag tot vrijdag van 9u tot 17u) en de inspecteurs zullen steeds rekening houden met de confidentialiteit van de dossiers. In geen geval zullen dossiers die niets te maken hebben met verwerkingsverantwoordelijke mogen worden onderzocht.
Verplichting na beëindiging van de verwerking van persoonsgegevens. De partijen komen overeen dat de verwerker na beëindiging van de verlening van gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de verwerkingsverantwoordelijke terugbezorgt of, indien de verwerkingsverantwoordelijke dit verkiest, alle persoonsgegevens vernietigt en aan de verwerkingsverantwoordelijke verklaart dat de vernietiging heeft plaatsgevonden, tenzij de op de verwerker toepasselijke wetgeving haar verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens veilig terug te bezorgen of te vernietigen of voor het bewaren van de belangen van de verwerker voor geval van geschillen. In dat geval garandeert de verwerker dat zij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat zij de doorgegeven persoonsgegevens niet actief zal verwerken.
Bijstand. Verwerker zal, voor zover mogelijk, bijstand verlenen aan de verwerkingsverantwoordelijke bij diens plicht ten aanzien van verzoeken van betrokkenen. Verwerker zal hieromtrent evenwel enkel met verwerkingsverantwoordelijke communiceren en geenszins rechtstreeks contact opnemen met de betrokkenen. Verwerker zal, rekening houdende met de aard van de verwerking en de aan haar ter beschikking staande informatie, ook bijstand verlenen met betrekking tot de verplichtingen aangaande beveiliging, melding van een inbreuk (zie dienaangaande ook het artikel omtrent aansprakelijkheid hierna), gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging (zie artikel 32 tot 36 van de GDPR).
Meldplicht datalekken. Verwerker is verplicht om binnen de 48u nadat verwerker een inbreuk op de beveiliging of datalekken heeft geconstateerd of wanneer een dergelijke inbreuk vermoed wordt, verwerkingsverantwoordelijke hiervan schriftelijk in kennis te stellen.
De kennisgeving bevat in ieder geval:
– De aarde en omvang van de inbreuk op de beveiliging en waar mogelijk de categorieën en aantallen van betrokkenen in kwestie, persoonsgegevensregister in kwestie en, bij benadering het aantal betrokkenen en persoonsgegevensregisters in kwestie;
– Een contactpunt waar informatie kan worden verkregen;
– De waarschijnlijke gevolgen; en
– De maatregelen die de verwerker heeft getroffen of voorstelt te treffen om de (negatieve) gevolgen van de inbreuk te beperken en te verhelpen.
Verwerker verbindt er zich toe om bij een eventuele inbreuk de nodige maatregelen te nemen om de mogelijke schade die hieruit voortvloeit of kan vloeien te beperken. In geval van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, kan een melding aan de Gegevensbeschermingsautoriteit en/of aan de betrokkenen noodzakelijk zijn. Verwerker documenteert alle inbreuken op de beveiliging in verband met de persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, de gevolgen daarvan en de genomen maatregelen.
Aansprakelijkheid. Tenzij de wet of de toepasselijke rechtspraak dit niet zou toelaten of in geval van opzet of fraude, zal de aansprakelijkheid van verwerker steeds beperkt zijn tot honderd duizend euro (€ 100.000,00).
Algemene bepalingen. Daar waar de bepalingen van deze overeenkomst afwijken van deze van de hoofdovereenkomst, zullen de bepalingen van deze overeenkomst voorrang hebben. De eventuele nietigheid van een of meerdere van de bepalingen van deze Verwerkersvoorwaarden doet geen afbreuk aan de toepasselijkheid van alle andere clausules. In geval van nietigheid van een of meerdere bepalingen, zullen verwerkingsverantwoordelijke en verwerker, in de mate van het mogelijke volgens hun overtuiging, onderhandelen om de nietige bepaling(en) te vervangen door (een) equivalente bepaling(en) die beantwoord(t)(en) aan de algemene geest van deze algemene bepalingen.