Deze verwerkersovereenkomst is in werking getreden tussen:
1. Afier Accountants B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16c te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 68110146, hierbij rechtsgeldig vertegenwoordigd door haar directie

en/of

1.1.  Afier Auditors B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16d te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 02086462, hierbij rechtsgeldig vertegenwoordigd door haar directieen/of

1.2.  Afier Belastingadviseurs B.V., statutair gevestigd te Groningen en kantoorhoudende aan de Handelsweg 16c te Tynaarlo, ingeschreven in het handelsregister onder KvK-nummer 02086446, hierbij rechtsgeldig vertegenwoordigd door haar directie, hierna verder afzonderlijk of gezamenlijk met voornoemde vennootschappen te noemen ‘Afier

en

2. De cliënt, zoals benoemd in de Hoofdovereenkomst1, hierna verder te noemen ‘Cliënt’.

Afier en Cliënt zullen hierna gezamenlijk ‘Partijen’ worden genoemd.

Overwegende:

  • Afier heeft met Cliënt een overeenkomst gesloten (‘de Hoofdovereenkomst’) opgrond waarvan Afier aan Cliënt voor de daarin genoemde looptijd haar diensten verleent. Tot de Hoofdovereenkomst (hierna: HO) behoren naast deze verwerkersovereenkomst (hierna: VO) ook de Algemene Voorwaarden van Afier. De definities en terminologie uit deze VO hebben dezelfde betekenis als die in de Algemene Voorwaarden.
  • Het verlenen van de diensten brengt noodzakelijkerwijs met zich mee dat persoonsgegevens van of via Cliënt ter beschikking of ter kennis komen van Afier.
  • Gezien het bepaalde in de Algemene Verordening Gegevensbescherming (hierna: AVG) en gezien het bepaalde in overige van toepassing zijnde wet- en regelgeving ten aanzien van het verwerken van persoonsgegevens wensen Cliënt en Afier het volgende vast te leggen in onderhavige VO: de opdracht tot en de nadere afspraken omtrent het verwerken van persoonsgegevens door Afier in het kader van de verlening van de diensten door Afier aan Cliënt.

Partijen komen overeen als volgt

1. Ingansgsdatum en duur

1.1 Deze VO treedt tussen Partijen in werking op 25 mei 2018 dan wel op het moment van het sluiten van de HO indien Partijen die later dan 25 mei 2018 tussen Partijen wordt gesloten.

2.1 Deze VO is aangegaan voor een duur die gelijk is aan de duur van de HO. Bij een verlenging van deduur van de HO zal ook deze VO met dezelfde duur worden verlengd. Beëindiging van de HO doet deze VO op hetzelfde moment eindigen.

2. Persoonsgegevens

2.1. Afier verwerkt de door of via Cliënt ter beschikking gestelde persoonsgegevens uitsluitend in opdrachtvan Cliënt in het kader van de uitvoering van de HO. Afier zal de persoonsgegevens niet voor enig anderdoel verwerken, behoudens afwijkende wettelijke verplichtingen.

2.2. Afier verbindt zich om in het kader van die werkzaamheden de door of via Cliënt ter beschikkinggestelde persoonsgegevens zorgvuldig te verwerken.

3. Verplichtingen Afier

3.1. Afier zal bij de verwerking van persoonsgegevens in het kader van de uitvoering van de HO, handelen inovereenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. Afier zal de billijke instructies van Cliënt met betrekking tot de betreffende persoonsgegevens in redelijkheid opvolgen indien en voor zover dat voor Afier mogelijk is en behoudens afwijkende wettelijke verplichtingen. Partijen zullen in onderling overleg de gevolgen, de uitvoering en termijn van uitvoering van de betreffende billijke instructies bepalen.

3.2. Door de diensten te verlenen, stelt Afier Cliënt in staat om te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen.

4. Geheimhoudingsplicht

4.1. Personen in dienst van, dan wel werkzaam ten behoeve van Afier, evenals Afier zelf, zijn verplicht totgeheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudensvoor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht.

4.2. Indien Afier op grond van een wettelijke verplichting gegevens dient te verstrekken, zal Afier degrondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Afier Cliënt onmiddellijk, voorafgaand aan de verstrekking ter zake informeren, tenzij wettelijke bepalingen dit verbieden.

5. Meldplicht datalekken

5.1. Afier zal Cliënt zo spoedig mogelijk – informeren over inbreuken op haar beveiliging die op grond vanartikel 33 AVG moeten worden gemeld aan de Autoriteit Persoonsgegevens (hierna: AP) en/ofbetrokkene.

5.2. Op verzoek van Cliënt zal Afier in het geval van een inbreuk hem in ieder geval de volgende informatieverstrekken:

  • de aard van de inbreuk en van de getroffen persoonsgegevens;
  • de waarschijnlijke gevolgen van de inbreuk; en
  • de maatregelen die in dat verband worden of zijn getroffen.
    Indien het voor Afier niet mogelijk is om deze informatie direct te verstrekken, dan zal zij dat in stappen doen.

5.3. Afier zal het doen van meldingen aan de toezichthouder(s) overlaten aan Cliënt.

5.4.  Afier zal alle noodzakelijke medewerking verlenen aan het zo nodig verschaffen van aanvullendeinformatie aan de toezichthouder(s) en/of betrokkene(n).

5.5.  Afier houdt een overzicht bij van de feiten en gevolgen van de inbreuken op de beveiliging

6. Beveiligingsmaatregelen en controle

6.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context enhet doel van de verwerking van de persoonsgegevens alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen die aan de verwerking zijn verbonden, neemt Afier passende technische en organisatorische maatregelen om de persoonsgegevens die worden verwerkt ten dienste van Cliënt te beveiligen en beveiligd te houden.

6.2. Cliënt is gerechtigd de verwerking van persoonsgegevens één keer per kalenderjaar te doen controleren door een daartoe erkende en EDP-gecertificeerde auditor, als er gerede twijfel bij Cliënt is ontstaan over de adequate nakoming van deze VO door Afier en de grond voor de twijfel aantoonbaar is. Afier zal onder voorafgaande overeengekomen geheimhouding, de betreffende auditor toelaten tot haarbedrijf en systemen en hem medewerking verlenen.

6.3 Cliënt zal de audit slechts kunnen laten uitvoeren na een minimaal 30 dagen daaraan voorafgaande schriftelijke melding aan Afier.

6.4.  Afier staat er voor in dat de door Cliënt ingeschakelde auditor aangegeven aantoonbare ernstige tekortkomingen in de overeengekomen beveiligingsmaatregelen worden verholpen binnen een daartoe door Cliënt en Afier gezamenlijk te bepalen termijn. Over (overige) door de auditor aangegeven aanbevelingen zullen Partijen in overleg treden over het verhelpen of verbetering daarvan alsmede over kosten die daarmee gemoeid zullen zijn.

6.5.  De kosten van de audit worden gedragen door Cliënt.

7. Inschakeling derden

7.1. Afier is gerechtigd de uitvoering van de diensten geheel of ten dele uit te besteden aan derden. IndienEen wezenlijke verandering optreedt, zal Afier Cliënt zo spoedig mogelijk inlichten over de beoogde derde. Gebruiker kan schriftelijk en op redelijke gronden, binnen 7 werkdagen na de bedoelde inlichting, bezwaar maken.

7.2. Afier blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze VO.

7.3. Cliënt is ermee bekend en heeft erin toegestemd dat Afier PPS te Winschoten als salarisverwerker heeft ingeschakeld, waarbij PPS gebruik maakt van de online-applicatie Nmbrs.

7.4. Cliënt is ermee bekend en heeft erin toegestemd dat Afier gebruik maakt van ExactOnline als financiële online verwerkingsapplicatie.

7.5. Cliënt is ermee bekend en heeft erin toegestemd dat Afier gebruik maakt van cloudoplossingen (bijvoorbeeld klantportaal).

7.6. Cliënt is ermee bekend en heeft erin toegestemd dat Afier gebruik maakt van elektronische uitwisseling met de Belastingdienst en de Kamer van Koophandel.

8. Wijziging en beëindigen Verwerkersovereenkomst

8.1. Wijziging van deze VO kan slechts schriftelijk plaatsvinden middels een door beide partijengeaccordeerd voorstel.

8.2. Zodra deze VO, om welke reden en op welke wijze dan ook, is beëindigd, zullen de bepalingen ervantussen Partijen van kracht blijven indien en voor zover Afier nog persoonsgegevens ten behoeve van Cliënt verwerkt.

9. Aansprakelijkheid

9.1. De aansprakelijkheid van Afier voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de VO of de HO, dan wel uit onrechtmatige daad of anderszins, is beperkt. De aansprakelijkheid en de beperking daarvan is geregeld in artikel 12 van de Algemene Voorwaarden, dat als alhier herhaald en geïnsereerd wordt beschouwd.

10. Overige bepalingen

10.1. Indien de persoonsgegevens onder de verantwoordelijkheid van een derde behoren, dan zullen deartikelen uit deze VO mutatis mutandis als derdenbedingen ten behoeve van deze derde te zijnovereengekomen.

10.2. Indien en voor zover er in deze VO geen regeling is getroffen voor bepaalde onderwerpen, geldthetgeen dat ten aanzien van dat onderwerp is vastgelegd in de HO en/of de Algemene Voorwaarden.