Algemene voorwaarden

Privacy voorwaarden (inclusief verwerkersovereenkomst) Waasdorp Administratie & Advies – versie april 2020

1. Algemeen

In deze Privacy voorwaarden wordt verstaan onder:

  1. Algemene voorwaarden: de Algemene leverings- en betalingsvoorwaarden van Opdrachtnemer, die onverkort van toepassing zijn op iedere afspraak tussen Opdrachtgever en Opdrachtnemer en van welke Algemene voorwaarden deze Privacy voorwaarden onlosmakelijk deel uitmaken.
  2. Opdrachtnemer: de heer W.H. Waasdorp, handelende onder de naam Waasdorp Administratie & Advies, gevestigd te Opheusden en ingeschreven bij de Kamer van Koophandel onder nummer 71120777, hierna ook te noemen "Opdrachtnemer" of "Waasdorp".
  3. Gegevens: de persoonsgegevens zoals omschreven in Bijlage 1 en zoals nader gedefinieerd onder Persoonsgegevens.
  4. Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht heeft gegeven tot het verrichten van Werkzaamheden, hierna de Opdrachtgever eveneens genoemd Verwerkingsverantwoordelijke.
  5. Verwerker: de Opdrachtnemer of Opdrachtgever als hiervoor gedefinieerd, echter uitsluitend indien en voor zover zij als Verwerker ingevolge de AVG dient te worden aangemerkt en niet als Verwerkingsverantwoordelijke ingevolge de Algemene Verordening Gegevensbescherming (AVG).
  6. Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten van Werkzaamheden (zoals hierna gedefinieerd) door Opdrachtnemer ten behoeve van de Opdrachtgever en zoals ook nader gespecificeerd in een overeenkomst van opdracht respectievelijk opdrachtbevestiging tussen Waasdorp en Opdrachtgever.
  7. Verwerkingsverantwoordelijke: de Opdrachtgever of de Opdrachtnemer – afhankelijk van de aard van de  verstrekte opdracht ingevolge de Overeenkomst en de te verrichten Werkzaamheden - die als natuurlijk persoon of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
  8. Werkzaamheden: alle werkzaamheden waartoe opdracht door Opdrachtgever is gegeven, of die door Opdrachtnemer uit anderen hoofde worden verricht ten behoeve van de Opdrachtgever. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de Overeenkomst tussen Opdrachtgever en Opdrachtnemer betreffende de (advies)dienstverlening door Opdrachtnemer ten behoeve van de Opdrachtgever op het gebied van accountancy, financiële administratie en boekhouding, fiscale dienstverlening (belastingaangiften en advisering), salarisadministratie en bedrijfsadvisering, dit in de meest brede zin des woords, zoals ook gespecificeerd op Bijlage 1.
  9. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  10. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de Overeenkomst worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  11. Medewerkers: personen die werkzaam zijn bij de Opdrachtnemer, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
  12. Sub-verwerker: een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
  13. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
  14. Derden: anderen dan de Opdrachtnemer, Opdrachtgever en/of de Medewerkers.
  15. Betrokkene(n): degene op wie een Persoonsgegeven betrekking heeft.
 

 2. Toepasselijkheid Privacy voorwaarden en Verwerkersovereenkomst

  1. Deze Privacy voorwaarden zijn van toepassing op iedere Verwerking van Gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer wordt gedaan voor Opdrachtgever.
  2. Deze Privacy voorwaarden omvatten tevens een Verwerkersovereenkomst indien en voor zover Opdrachtnemer bij de uitvoering van de Overeenkomst en de te verrichten Werkzaamheden als Verwerker dient te worden aangemerkt, dit conform artikel 28 lid 3 van de AVG.
  3. Bij de uitvoering van de Overeenkomst verwerkt Opdrachtnemer bepaalde persoonsgegevens voor Opdrachtgever. Opdrachtnemer is verantwoordelijk voor de verwerking van de Gegevens zoals omschreven in Bijlage 1.
  4. Dit zijn Privacy voorwaarden in de zin van de Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van Persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.
  5. Deze Privacy voorwaarden maken, net als de Algemene voorwaarden van Waasdorp, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen Opdrachtgever en Opdrachtnemer.
  6. Deze Privacy voorwaarden treden in werking op de datum waarop de Overeenkomst van kracht wordt en eindigt op het moment dat Waasdorp geen Persoonsgegevens meer onder zich heeft die zij in het kader van de Onderliggende Opdracht voor de Opdrachtgever verwerkt.
 

3. Reikwijdte Privacy voorwaarden

  1. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Opdrachtgever aan Opdrachtnemer de opdracht gegeven om de Gegevens te verwerken op de wijze zoals omschreven in Bijlage 1 in overeenstemming met de bepalingen van deze Privacy voorwaarden.
  2. Indien de Overeenkomst betrekking heeft op het door de Opdrachtnemer uitvoeren van Werkzaamheden met betrekking tot samenstel-, beoordelings- en/of controlewerkzaamheden, en/of overige Assurance opdrachten en/of overige opdrachten, zal Opdrachtnemer in beginsel als Verwerkingsverantwoordelijke optreden, een en ander conform ook de hierbij geldende richtsnoeren en/of regelgeving van onder meer de beroepsorganisatie voor Register Belastingadviseurs (hierna te noemen ‘de RB’), behoudens voor zover ingevolge de AVG of de door de RB aangegeven richtsnoeren of nadere regelgeving voortvloeit dat Opdrachtnemer als Verwerker heeft te gelden.
  3. Voor het opstellen en controleren van fiscale aangiften, belastingaanslagen en het verrichten van (fiscale) advieswerkzaamheden verricht de Opdrachtnemer deze Werkzaamheden als Verwerkingsverantwoordelijke. De Opdrachtnemer bepaalt hierbij het doel en de middelen van de verwerking van de persoonsgegevens.
  4. Indien de Overeenkomst en de uit te voeren Werkzaamheden door Opdrachtnemer (tevens) betrekking hebben op een salarisverwerkingsopdracht geldt daarbij – conform de geldende richtsnoeren van de RB - dat indien Opdrachtnemer een uitgebreidere vorm van salarisverwerking verricht (en niet alleen een ‘kale’ loonverwerking waarbij de IT-infrastructuur/loonpakket aan de Opdrachtgever ter beschikking is gesteld), zoals bijvoorbeeld controlerende en adviserende loonadministratieve werkzaamheden, de Opdrachtnemer als Verwerkingsverantwoordelijke optreedt en doel en middelen voor de verwerking van persoonsgegevens bepaalt.
  5. Indien de Overeenkomst en de uit te voeren Werkzaamheden door Opdrachtnemer (tevens) betrekking heeft op een administratie dienstverlening geldt daarbij – conform de geldende richtsnoeren van de RB - dat indien Opdrachtnemer namens de Opdrachtgever de administratie voert (in een eigen of door de klant aangeschaft boekhoudpakket), waarbij de Opdrachtnemer tevens adviseert of de financiële administratie van de Opdrachtgever op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke vereisten terzake, de Opdrachtnemer als Verwerkingsverantwoordelijke optreedt en doel en middelen voor de verwerking van persoonsgegevens bepaalt.
  6. De Opdrachtnemer treedt op als Verwerkingsverantwoordelijke indien de Opdrachtgever zelf een boekhoudpakket heeft aangeschaft en de Opdrachtnemer (uitsluitend) meekijkt met de door de Opdrachtgever zelf gevoerde administratie waarbij de Opdrachtnemer tevens adviseert of de financiële administratie van de Opdrachtgever op de juiste wijze wordt gevoerd en of de klant voldoet aan de wettelijke vereisten terzake.
  7. Daar waar de Opdrachtnemer enkel een boekhoudpakket aan zijn klant (Opdrachtgever) ter beschikking stelt, kwalificeert de Opdrachtnemer als Verwerker. Op de klant (Opdrachtgever) rust de plicht tot het voeren van een deugdelijke administratie en het is de klant (Opdrachtgever) die het doel en de middelen voor de verwerking van de gegevens bepaalt. De Opdrachtnemer verwerkt de gegevens overeenkomstig de instructies van de klant (Opdrachtgever) en onder diens verantwoordelijkheid.
  8. Opdrachtnemer verwerkt de Gegevens uitsluitend in overeenstemming met deze Privacy voorwaarden, met name met hetgeen is opgenomen in Bijlage 1. Opdrachtnemer bevestigt de Gegevens niet voor andere doeleinden te verwerken.
  9. De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
  10. De Verwerkingsverantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
  11. Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte, tenzij hierover andere afspraken zijn gemaakt.
  12. De Verwerking van de Gegevens zal de Verwerker niet langer of uitgebreider doen dan noodzakelijk voor de uitvoering van de Overeenkomst. De Verwerking vindt plaats volgens schriftelijke instructies van de Opdrachtgever, tenzij de Opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie naar de mening van de Opdrachtnemer een inbreuk maakt op de AVG stelt de Opdrachtnemer de Opdrachtgever daarvan zo spoedig mogelijk in kennis.
 

4. Verplichtingen Verwerkingsverantwoordelijke en rechten Betrokkene

  1. Verwerkingsverantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.
  2. De Verwerking vindt plaats onder de verantwoordelijkheid van de Verwerkingsverantwoordelijke. De Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. De Verwerkingsverantwoordelijke moet ervoor zorgen dat deze het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij de Verwerker. Als de Opdrachtnemer een zelfstandige verplichting mocht hebben op basis van wettelijke voorschriften met betrekking tot Verwerking van Persoonsgegevens, dan leeft de Opdrachtnemer deze verplichtingen na.

Een overzicht van het Reglement Beroepsuitoefening voor de Register Belastingadviseur is te vinden op de website van de RB (www.rb.nl).

  1. Zowel de Opdrachtgever als de Opdrachtnemer is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient de Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. De Verwerker zorgt ervoor dat zij voldoen aan de op de Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in de Overeenkomst.
  2. Als Waasdorp (rechtstreeks) verzoeken ontvangt van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan kan het voorkomen dat Waasdorp deze verzoeken aan Opdrachtgever doorstuurt voor verdere afhandeling. Vanwege de aard van de onderliggende Overeenkomst, en de daarbij op Waasdorp mogelijkerwijs rustende contextuele verwerkingsverantwoordelijkheid voor de verwerking, is het niet altijd passend als Waasdorp (rechtstreeks) aan haar gerichte verzoeken van Betrokkene(n) om uitoefening van hun rechten zelf af zouden handelen. In dergelijke gevallen zendt Waasdorp deze verzoeken door naar Opdrachtgever. Opdrachtgever handelt deze verzoeken zelf af, waarbij Waasdorp de Opdrachtgever behulpzaam kan zijn als Waasdorp in het kader van de onderliggende Overeenkomst toegang heeft tot deze Persoonsgegevens.
 

 5. Geheimhouding

  1. Verwerker en de personen die in dienst zijn van dan Verwerker wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verwerkingsverantwoordelijke behoudens afwijkende wettelijke verplichtingen.
  2. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak al dan niet voortvloeiende uit de overeenkomst de noodzaak tot mededeling voortvloeit.
  3. De Opdrachtnemer zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 6 en artikel 10 (Sub-verwerkers). Opdrachtnemer beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. De Opdrachtnemer zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
 

6. Geen verdere verstrekking

  1. Als Opdrachtnemer een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan zal Opdrachtnemer dit alleen doen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt de Opdrachtnemer eerst of zij van mening zijn dat het verzoek bindend is, of dat zij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen.
  2. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de Opdrachtnemer de Opdrachtgever op de hoogte van het verzoek als genoemd in lid 1. Opdrachtnemer zal proberen dat op zodanig korte termijn te doen, dat het voor de Opdrachtgever mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als de Opdrachtnemer de Opdrachtgever op de hoogte mag stellen dan zal ook overleg plaatsvinden over de wijze waarop en welke gegevens ter beschikking zullen worden gesteld.
 

 7. Beveiligingsmaatregelen

  1. Opdrachtnemer zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen die thans zijn genomen, zijn in Bijlage 2 genoemd.
  2. De Opdrachtgever heeft zich goed geïnformeerd over de door Opdrachtnemer genomen beveiligingsmaatregelen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking door de Verwerker. De Opdrachtnemer zal de Opdrachtgever informeren als één van de beveiligingsmaatregelen substantieel wijzigt.
  3. Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
  4. Bij het nemen van de beveiligingsmaatregelen is door Opdrachtnemer rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. De Opdrachtnemer biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen.
 

8. Toezicht op naleving

  1. Waasdorp stelt Opdrachtgever in staat om na een daartoe strekkend verzoek eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van Waasdorp te controleren van de Privacy voorwaarden en met name van de beveiligingsmaatregelen die zijn genomen zoals genoemd in artikel 7.
  2. Als de Opdrachtgever de wijze waarop de Opdrachtnemer de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan hiertoe een verzoek aan de Opdrachtnemer worden gedaan conform artikel 8.1, waarover vervolgens nadere afspraken gemaakt kunnen worden. De kosten van een inspectie of uit te voeren audit – ook bij eventuele Sub-verwerkers - zijn voor rekening van de Opdrachtgever en een kopie van het inspectierapport zal aan de Opdrachtnemer ter beschikking worden gesteld. Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken. 
 

9. Datalek

  1. Zo spoedig mogelijk nadat Waasdorp kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, c.q. de melding hierover van een Sub-bewerker heeft ontvangen, stelt Waasdorp de Opdrachtgever hiervan op de hoogte via de bekende contactgegevens van Opdrachtgever en zal Waasdorp informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Waasdorp heeft getroffen en zal treffen. Waasdorp streeft ernaar dit te doen binnen 48 uur nadat wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat Waasdorp daarover door haar Sub-verwerkers is geïnformeerd.
  2. Waasdorp zal Opdrachtgever zonodig ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
  3. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
  4. Indien Opdrachtnemer in het kader van de Opdracht als Verwerkingsverantwoordelijke optreedt zal zij in het geval van een Datalek, indien nodig, zelfstandig melding doen aan de Autoriteit Persoonsgegevens. Vanwege de aard van de onderliggende opdracht, en de daarbij op haar rustende contextuele verwerkingsverantwoordelijkheid voor de verwerking, is het niet altijd logisch dat de Opdrachtnemer Betrokkenen - indien nodig - rechtstreeks informeren over een Datalek. In voorkomende gevallen zal de Opdrachtnemer met de Opdrachtgever gezamenlijk bepalen welke partij, bezien vanuit het perspectief van Betrokkenen, de meest logische is om het Datalek te melden aan Betrokkenen.
  5. Het (bij)houden van een register van Datalekken is altijd de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
 

10. Sub-verwerkers

  1. De Opdrachtnemer kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Overeenkomst, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover de Verwerker niet beschikt.
  2. Als het inschakelen van Sub-verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zal de Opdrachtnemer die Sub-verwerkers (schriftelijk) de verplichtingen uit deze Privacy voorwaarden opleggen dan wel een subverwerkersovereenkomst aangaan met de subverwerker die zoveel mogelijk dezelfde plichten bevat als deze Privacy voorwaarden. Op verzoek van Opdrachtgever zal Opdrachtnemer een overzicht van de Sub-verwerkers toesturen.
  3. Voor het inschakelen van overige Sub-verwerkers zal de Opdrachtnemer eerst om toestemming vragen van de Opdrachtgever. De Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen betekenen dat de Opdrachtnemer de Overeenkomst moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan de Opdrachtnemer. Opdrachtnemer zal een actueel overzicht van de Sub-verwerkers bijhouden en op verzoek van Opdrachtgever een geactualiseerd overzicht aan haar toesturen.
 

11. Aansprakelijkheid

  1. Opdrachtnemer is slechts aansprakelijk, een en ander overeenkomstig hetgeen in de AVG is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid en met inachtneming van het in dit artikel bepaalde. Opdrachtnemer is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze Privacy voorwaarden en/of niet-nakoming van verplichtingen door Opdrachtnemer onder deze Privacy voorwaarden.
  2. Opdrachtnemer is niet aansprakelijk voor schade die het gevolg is van het door de Opdrachtgever (als Verwerkingsverantwoordelijke of anderszins) niet naleven van de AVG of andere wet- of regelgeving. De Opdrachtgever vrijwaart de Opdrachtnemer ook voor aanspraken van derden of Betrokkene(n) op grond van zulke schade en stelt Opdrachtnemer op eerste verzoek volledig schadeloos voor alle schaden en kosten. De vrijwaring geldt niet alleen voor de schade die derden of Betrokkene(n) hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die de Opdrachtnemer in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan de Opdrachtnemer worden opgelegd ten gevolge van het handelen van de Opdrachtgever. Het voorgaande geldt evenzo voor aanspraken van Betrokkene(n) of derden waarmee Opdrachtgever een samenwerking is aangegaan of waarvan Opdrachtgever de Gegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van de Opdrachtgever.
  3. De in de Overeenkomst en daarbij behorende algemene voorwaarden van Waasdorp  overeengekomen beperking van de aansprakelijkheid van Opdrachtnemer is van kracht op de verplichtingen zoals opgenomen in deze Privacy voorwaarden, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Privacy voorwaarden en /of de Overeenkomst nimmer tot overschrijding van de beperking kan leiden.
 

12. Duur en beëindiging

  1. Deze Privacy voorwaarden zijn geldig zolang Opdrachtnemer de opdracht heeft van Opdrachtgever om Gegevens te verwerken of Gegevens onder zich heeft op grond van de Overeenkomst tussen Opdrachtgever en Opdrachtnemer. Zolang door Opdrachtnemer Werkzaamheden worden verricht ten behoeve van Opdrachtgever zijn deze Privacy voorwaarden op deze relatie van toepassing.
  2. Het is niet mogelijk om deze Privacy voorwaarden tussentijds – zolang de Overeenkomst nog voortduurt - op te zeggen. De Opdrachtnemer kan op basis van wet- en regelgeving een lange(re) bewaartermijn hebben.
  3. Indien Opdrachtnemer op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Opdrachtnemer zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers na beëindiging van de wettelijke bewaarplicht.
  4. De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van de Opdrachtgever. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als de Opdrachtgever daarom vraagt dan geeft de Opdrachtnemer daarover vooraf een kosteninschatting.
  5. Bij beëindiging van de Overeenkomst tussen Opdrachtgever en Opdrachtnemer kan Verwerkingsverantwoordelijke aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verwerkingsverantwoordelijke, voor rekening van Verwerkingsverantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig.
  6. Opdrachtnemer zal uitsluitend een kopie van de Persoonsgegevens bewaren als zij hiertoe op grond van wet- of (beroeps)regelgeving gerechtigd of verplicht zijn.
 

13. Nietigheid en wijzigingen

  1. Indien één of meerdere bepalingen uit deze Privacy voorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze Privacy voorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
  2. Aanvullingen en wijzigingen op deze Privacy voorwaarden zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd. Opdrachtnemer is bevoegd wijzigingen in deze Privacy voorwaarden aan te brengen. Deze wijzigingen treden in werking op het aangekondigde tijdstip van in werking treden. Opdrachtnemer zal de gewijzigde Privacy voorwaarden tijdig aan de opdrachtgever toezenden. Indien geen tijdstip van in werking treden is medegedeeld, treedt een wijziging jegens de opdrachtgever in werking zodra hem de wijziging door Opdrachtnemer is medegedeeld.
  3. Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of andere eisen kan voor Opdrachtnemer aanleiding zijn om deze Privacy voorwaarden aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Overeenkomst, of wanneer Opdrachtnemer niet kan voorzien in een passend niveau van bescherming, kan dit voor Opdrachtnemer reden zijn om de Overeenkomst te beëindigen. 
 

14. Overige bepalingen

  1. Op deze Privacy voorwaarden is Nederlands recht van toepassing.
  2. Alle geschillen in verband met de Privacy voorwaarden of de uitvoering daarvan worden voorgelegd aan de daartoe bevoegde Nederlandse rechter.
  3. Indien en voor zover de Opdrachtnemer in afwijking van het gestelde in deze Privacy voorwaarden als Sub-verwerker of als Verwerkingsverantwoordelijke dient te worden aangemerkt zullen de bepalingen in deze Privacy voorwaarden zoveel mogelijk als wettelijk is toegestaan ook van toepassing zijn op de relatie tussen de Opdrachtnemer als Sub-verwerker of als Verwerkingsverantwoordelijke en de Opdrachtgever (als Verwerker).
  4. De Opdrachtnemer wordt uitsluitend als Verwerkingsverantwoordelijke aangemerkt indien zij vanwege de Werkzaamheden doel en middelen voor de verwerking bepaalt. De Opdrachtnemer wordt uitsluitend als Verwerker volgens deze Privacy voorwaarden aangemerkt indien zij bij de uitvoering van de Overeenkomst tussen Opdrachtgever en Opdrachtnemer als Verwerker optreedt in de zin van de AVG.
  5. Deze Privacy voorwaarden zijn hoger in rang dan andere door Opdrachtnemer met de Opdrachtgever gesloten overeenkomsten. Als de Opdrachtgever algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Privacy voorwaarden. De bepalingen uit deze Privacy voorwaarden gaan boven de bepalingen in de algemene voorwaarden van de Opdrachtnemer, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

 

Opheusden, april 2020

 

Bijlagen:

  1. Gegevens en doeleinden
  2. Beveiligingsmaatregelen
  3. Overzicht Sub-verwerkers
 

Bijlage 1

Gegevens en doeleinden

Waasdorp zal bij de uitvoering van de Werkzaamheden handelen conform de geldende Privacy voorwaarden. Deze Privacy voorwaarden zijn van toepassing op de aangehechte Annexen. Afhankelijk van de aard van de Werkzaamheden en de Overeenkomst tussen Opdrachtgever en Opdrachtnemer zal Waasdorp hierbij als Verwerkingsverantwoordelijke of als Verwerker kunnen optreden. Voor zover Waasdorp als Verwerker optreedt bevatten de Privacy voorwaarden tevens een verwerkersovereenkomst met Opdrachtgever in de zin van artikel 28 lid 3 AVG.

De Opdrachtgever laat Waasdorp de volgende Gegevens verwerken in het kader van de

Overeenkomst, waaronder maar niet uitsluitend in ieder geval kunnen vallen de Werkzaamheden

zoals vermeld in de Overeenkomst tussen Opdrachtgever en Opdrachtnemer op het gebied van:

-          accountancy, financiële administratie en boekhouding

-          fiscale dienstverlening (belastingaangiften en advisering)

-          salarisadministratie (waaronder begrepen aangiften loonbelasting) en advies inzake personeel en verzuimbegeleiding,

-          bedrijfsadvisering in de meest brede zin des woords, waaronder begrepen advisering inzake bedrijfsopvolging, overnames, ondernemingsstructuur en begeleiding startende ondernemers

-          financiële en fiscale planning

-          advisering betreffende financieringen

-          diverse informatievoorziening en marketinguitingen zoals het versturen van nieuwsbrieven,

het voorgaande in de meest brede zin des woords.

(1) Naam (initialen, achternaam)

(2) Telefoonnummer

(3) E-mailadres

(4) Geboortedatum en geslacht

(5) Woonplaats, postcode en huisnummer

(6) Gegevens ID-bewijs (in verband met de Wwft)

(7) Financiële en inkomensgegevens, zowel zakelijk als privé

(8) NAW-gegevens en BSN van personeelsleden van Opdrachtgever

(9) Kadastergegevens en Kamer van Koophandel informatie en uittreksels

(10) Overige overeenkomsten, statuten en akten

Het samenstellen van diverse soorten financiële- en adviesrapportages, belastingaangiften en loonstroken vormt een belangrijk onderdeel van de dienstverlening van Waasdorp.

Voor het verzorgen van belastingaangiften en toeslagen, (subsidie)aanvragen en de salarisadministratie is Waasdorp vanuit de wet mogelijk verplicht het BSN-nummer te verwerken. Een volledige kopie van het identiteitsbewijs is daarnaast verplicht vanuit de loonbelasting. De Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht Waasdorp om de identiteit van de klant vast te stellen en een bewijs daarvan te bewaren.

De Opdrachtgever geeft expliciet haar toestemming aan Waasdorp om Gegevens te kunnen delen met derden zoals bijvoorbeeld de belastingdienst, bankinstellingen, pensioenfondsen, het UWV en/of verzekeraars voor zover nodig ter uitvoering van de Overeenkomst, uit een wettelijke verplichting voortvloeit of anderszins ingevolge de AVG is toegestaan. Hiermee wordt uiterst zorgvuldig omgegaan. Vertrouwelijkheid en geheimhouding naar derden is hiervoor het uitgangspunt. Dit geldt uiteraard ook voor inloggegevens zoals gebruikersnamen en wachtwoorden. De technische en organisatorische beveiliging is hierop afgestemd.

Waasdorp verwerkt geen bijzondere gegevens over bijvoorbeeld ras, politieke opvattingen, geloofsovertuiging en medische informatie. Mocht er om een bijzondere reden noodzaak zijn dit wel te doen, dan zal Waasdorp dit specifiek met de Opdrachtgever opnemen in de Overeenkomst.

Waasdorp verwerkt persoonsgegevens uitsluitend op de manier die met de Opdrachtnemer is afgesproken in de Overeenkomst. Dit verwerken doet Waasdorp niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Overeenkomst. De verwerking vindt plaats volgens instructies van de Opdrachtgever, tenzij Waasdorp op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

(1)   de Werkzaamheden, te beschouwen als de primaire dienstverlening van Waasdorp, in het kader waarvan Opdrachtgever een opdracht heeft verstrekt aan Waasdorp en een Overeenkomst is aangegaan;

(2)   het onderhoud, waaronder updates en releases van het door Verwerker dan wel Sub-verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;

(3)   het gegevens- en technische beheer, ook door een Sub-verwerker;

(4)   de hosting, ook door een Sub-verwerker.

 De Gegevens die verwerkt worden betreffen de volgende categorieën van betrokkenen:

(1)   Personeelsleden van Opdrachtgever

(2)   Ondernemers / eigenaren van besloten vennootschappen, eenmanszaken, vennootschap onder firma, maatschappen e.d.

(3)   Bestuurders van stichtingen, verenigingen en andere rechtspersonen

(4)   Particulieren ten behoeve van belastingaangiften en advisering, alsmede hun partners en minderjarige kinderen.

 Voor zover nodig ter uitvoering van de Overeenkomst, of voor zover dit uit een wettelijke verplichting voortvloeit of anderszins ingevolge de AVG is toegestaan verleent de Opdrachtgever (natuurlijke personen) tevens toestemming voor de verwerking van Gegevens van haar minderjarige kinderen tot 16 jaar.

Bijlage 2

Technische en organisatorische maatregelen

Waasdorp heeft passende beveiligingsmaatregelen genomen met een beveiligingsniveau dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

Waasdorp heeft de volgende technische en organisatorische maatregelen getroffen:

  • Logische toegangscontrole door middel van periodiek te wijzigen wachtwoorden
  • Gebruik van tokenauthenticatie
  • Digitale wachtwoordenkluis
  • Schermbeveiliging met wachtwoord
  • Beveiligingsbeleid met onder andere firewall, spamfilter en virusscanner
  • Veilige wijze van opslaan van gegevensbestanden alsmede backup- en recovery procedures
  • Zakelijke laptops beveiligd met wachtwoord, tokenauthenticatie en schijfencryptie
  • Interne richtlijnen gebruik elektronica, internet en social media door werknemers en clean desk policy
  • Geheimhoudingsverklaringen in arbeidscontracten en met derden
  • Addendi op (arbeids-)contracten terzake van meldplicht datalekken door werknemers en derden aan Werkgever en/of Opdrachtgever
  • Beveiligde website voorzien van certificaat (wordt nu opgepakt nog niet in de lucht)
  • Gebruik disclaimer in e-mailberichten en publicatie op website
  • Gecertificeerd vernietigen van documenten met persoonsgegevens
  • Voor zover vereist een Sub-verwerkersovereenkomsten met derden

 Bewaartermijnen

Waasdorp zal de persoonsgegevens niet langer bewaren dan strikt nodig is om de doelen te realiseren waarvoor de gegevens worden verzameld, waarbij echter minimaal de geldende wettelijke bewaartermijnen zullen worden gehanteerd. Waasdorp zal zich in deze aan de bepalingen van de AVG houden en mag daarbij ook persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Voor zover mogelijk voldoet Waasdorp aan verzoeken om inzage of wijziging of verwijdering van persoonsgegevens. Het verwijderen van persoonsgegevens is een recht vanuit de AVG, maar Waasdorp heeft te maken met wetgeving ten aanzien van bewaarplicht van gegevens en die wetgeving gaat voor. De wettelijke bewaartermijn is vaak 7 jaar en in sommige gevallen langer dan 7 jaar. 

Gezien de wettelijke bewaarplicht en andere wet- of (beroeps)regelgeving kan Waasdorp over het algemeen niet voldoen aan een eventueel verzoek van de Opdrachtgever tot vernietiging of teruggave van de persoonsgegevens bij einde van de Overeenkomst. Mocht dit wel mogelijk zijn dan zal Waasdorp aan dit verzoek meewerken. Mocht het voldoen aan verzoeken kosten met zich meebrengen voor Waasdorp of de sub-verwerker dan kan Waasdorp die kosten in rekening brengen.

Bijlage 3

Overzicht sub-verwerkers

Waasdorp Administratie & Advies schakelt sub-verwerkers in bij het uitvoeren van de Overeenkomst.

Subverwerkers zijn bedrijven die uw gegevens verwerken in onze opdracht. Subverwerkers waar wij mee samenwerken zijn:

- Microsoft Office

- Elsevier Nextens belastingpakket

- Loon salarissoftware

- Snelstart



Waarom Waasdorp Administratie & Advies?

  • Vaste contactpersoon Vaste contactpersoon
  • Taal van de ondernemer Taal van de ondernemer
  • Bekend in de regio Bekend in de regio
  • Vernieuwende werkwijze Vernieuwende werkwijze