Ondergetekenden:
CJV Administratie, een eenmanszaak opgericht naar het recht van Nederland, statutair gevestigd te 2991 XL Barendrecht aan de Kamerlingh Onnesweg 10 en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 24473455 (hierna te noemen: ’Verwerker’), en [Naam Verantwoordelijke], een vennootschap opgericht naar het recht van Nederland, statutair gevestigd te ([postcode]) [plaats] aan de [adres en huisnummer] en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [nummer KvK] (hierna te noemen: ’Verantwoordelijke’), hierna gezamenlijk te noemen: ‘Partijen’ en elk afzonderlijk: een ‘Partij’, verklaren te zijn overeengekomen als volgt:
Partijen zijn overeengekomen dat Verantwoordelijke gebruikt maakt van Verwerker als [software leverancier van bijvoorbeeld de boekhoudsoftware invullen]. Verwerker verwerkt persoonsgegevens van de Verantwoordelijke in het kader van de uitvoering van de overeenkomst. Teneinde Partijen in staat te stellen uitvoering te geven aan hun relatie op een manier die in overeenstemming is met de wet, zijn Partijen deze Gegevensverwerkingsovereenkomst (“DPA”) aangegaan, als volgt:
In het kader van deze DPA betekent:
’Toepasselijke Gegevensbeschermingswet’ | de wetgeving die bescherming biedt voor de fundamentele rechten en vrijheden van personen en met name hun recht op privacy met betrekking tot de Verwerking van Persoonsgegevens, welke wetgeving van toepassing is op Verantwoordelijke en Verwerker; de term Toepasselijke Gegevensbeschermingswet omvat tevens de AVG in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing van af 25 mei 2018. |
’Verantwoordelijke’ | de klant van CJV Administratie die, als natuurlijke of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; |
’Algemene Verordening Gegevensbescherming‘ of ’AVG’ | de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing van af 25 mei 2018 |
’Internationale organisatie’ | een organisatie en de daaronder vallende internationalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen; |
’Lidstaat‘ | een land dat tot de Europese Unie behoort; |
’Persoonsgegevens‘ | alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene); |
’Betrokkene’ | een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; |
’Inbreuk in verband met persoonsgegevens’ | een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens; |
’Verwerken/verwerking’ | een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; |
’Verwerker’ | CJV Administratie |
’Overeenkomst van dienstverlening’ | de hoofdovereenkomst die is gesloten tussen Verantwoordelijke en Verwerker en waarin de voorwaarden voor het verlenen van de Diensten zijn uiteengezet; |
’Diensten’ | de diensten verleend door Verwerker aan Verantwoordelijke en beschreven onder ‘onderwerp van de verwerking’ in Bijlage 1 bij deze DPA; |
’Bijzondere Categorieën Gegevens’ | gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken; genetische gegevens, biometrische gegevens die worden Verwerkt met het oog op de unieke identificatie van een natuurlijke persoon; gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid; |
’Subverwerker’ | een gegevensverwerker die door Verwerker wordt ingeschakeld en die zich bereid verklaart Persoonsgegevens van Verwerker te ontvangen die uitsluitend zijn bedoeld voor Verwerkingsactiviteiten die moeten worden uitgevoerd ten behoeve van Verantwoordelijke in overeenstemming met diens instructies, de voorwaarden van deze DPA en de voorwaarden van een schriftelijke subverwerkingsovereenkomst; |
’Toezichthoudende autoriteit’ | een door een Lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie; en |
’Technische en Organisatorische Beveiligingsmaatregelen’ | de maatregelen gericht op de bescherming van Persoonsgegevens tegen onopzettelijke vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking of toegang, met name waar de Verwerking de doorzending van gegevens via een netwerk behelst, en tegen alle andere onrechtmatige vormen van Verwerking. |
’Derde Land' | een land met betrekking waartoe de Europese Commissie niet heeft beslist dat, dat land, of een gebied of een of meer gespecificeerde sectoren binnen dat land, een passend beschermingsniveau garandeert. |
De details van de Verwerkingsactiviteiten die door Verwerker ten behoeve van Verantwoordelijke worden verricht als gegevensverwerker die daartoe opdracht heeft gekregen (zoals het onderwerp van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en categorieën van betrokkenen) zijn vermeld in Bijlage 1 bij deze DPA.
Verantwoordelijke blijft de verantwoordelijke gegevensverantwoordelijke voor de Verwerking van de Persoonsgegevens conform de instructies aan Verwerker op grond van de [Overeenkomst van Dienstverlening], deze DPA en eventuele andere instructies.
Verantwoordelijke heeft Verwerker opdracht gegeven, en zal Verwerker gedurende de looptijd van de gegevensverwerking waartoe opdracht is gegeven opdracht blijven geven, de Persoonsgegevens uitsluitend te verwerken ten behoeve van Verantwoordelijke en in overeenstemming met de Toepasselijke Gegevensbeschermingswet, de [Overeenkomst van Dienstverlening], deze DPA en instructies van Verantwoordelijke. Verantwoordelijke is gerechtigd en verplicht om Verwerker instructies te geven in verband met de Verwerking van de Persoonsgegevens, zowel in het algemeen als in individuele gevallen. Instructies kunnen ook betrekking hebben op het rectificeren, wissen en blokkeren van de Persoonsgegevens. Instructies worden in het algemeen schriftelijk gegeven, tenzij de urgentie of andere specifieke omstandigheden een andere (bijvoorbeeld mondelinge of elektronische) vorm vereisen. Niet-schriftelijke instructies moeten onverwijld door Verantwoordelijke schriftelijk worden bevestigd. Voor zover de uitvoering van een instructie leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten. Pas nadat Verantwoordelijke heeft bevestigd dat de kosten voor de uitvoering van een instructie voor zijn rekening komen, zal Verwerker die instructie uitvoeren.
Verwerker zal:
Alle aansprakelijkheid voortvloeiend uit of verband houdend met deze DPA volgt, en wordt uitsluitend beheerst door, de aansprakelijkheidsbepalingen uiteengezet in, of anderszins van toepassing op, de [Overeenkomst van Dienstverlening]. Derhalve, en ter berekening van aansprakelijkheidslimieten en/of ter bepaling van de toepassing van andere beperkingen van aansprakelijkheid, wordt elke aansprakelijkheid die zich uit hoofde van deze DPA voordoet, geacht zich voor te doen uit hoofde van de desbetreffende [Overeenkomst van Dienstverlening].
De looptijd van deze DPA is gelijk aan die van de desbetreffende [Overeenkomst van Dienstverlening]. Tenzij in deze overeenkomst anders is bepaald zijn rechten en verplichtingen op het gebied van beëindiging dezelfde als de rechten en verplichtingen die zijn opgenomen in de desbetreffende [Overeenkomst van Dienstverlening]. Verwerker dient, naar keuze van Verantwoordelijke, alle Persoonsgegevens na het einde van de verlening van de Diensten te wissen of aan Verantwoordelijke te retourneren, en alle bestaande kopieën te wissen tenzij Verwerker op grond van EU-wetgeving of wetgeving van een Lidstaat verplicht is die Persoonsgegevens te bewaren.
In het geval van strijdigheid tussen het bepaalde in deze DPA en enige andere overeenkomsten tussen Partijen, prevaleert het bepaalde in deze DPA met betrekking tot de gegevensbeschermingsverplichtingen van Partijen. In geval van twijfel over de vraag of clausules in die andere overeenkomsten betrekking hebben op de gegevensbeschermingsverplichtingen van Partijen prevaleert deze DPA. Ongeldigheid of onafdwingbaarheid van enige bepaling in deze DPA heeft geen gevolgen voor de geldigheid of afdwingbaarheid van de overige bepalingen van deze DPA. De ongeldige of onafdwingbare bepaling wordt (i) zo gewijzigd dat de geldigheid of afdwingbaarheid ervan wordt gegarandeerd en tegelijkertijd de intenties van Partijen zo veel mogelijk bewaard blijven of – indien dit niet mogelijk is – (ii) zo uitgelegd alsof het ongeldige of onafdwingbare gedeelte daarin nooit was opgenomen. Het vorenstaande is ook van toepassing indien deze DPA een omissie bevat. Deze DPA wordt beheerst door dezelfde wetgeving als de [Overeenkomst van Dienstverlening] behalve voor zover dwingend Toepasselijke Gegevensbeschermingswet van toepassing is.
De doorgegeven Persoonsgegevens betreffen de volgende categorieën Betrokkenen:
Verwerker verzamelt, verwerkt en gebruikt de Persoonsgegevens van de Betrokkenen ten behoeve van Verantwoordelijke teneinde uitvoering van de overeenkomst.
De Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke zijn verzameld, verwerkt en gebruikt betreffen de volgende categorieën persoonsgegevens:
Verantwoordelijke | |
Verwerker | Cees-Jan Vrolijk |
eschrijving van de Technische en Organisatorische Beveiligingsmaatregelen die door Verwerker zijn doorgevoerd in overeenstemming met Toepasselijke Gegevensbeschermingswet: In deze Bijlage worden de Technische en Organisatorische Beveiligingsmaatregelen en procedures beschreven die Verwerker ten minste moet aanhouden ter bescherming van de veiligheid van persoonsgegevens die zijn gecreëerd, verzameld, ontvangen, of anderszins verkregen.
Technische en organisatorische maatregelen kunnen worden beschouwd als de stand der techniek op het moment van sluiten van de Overeenkomst van Dienstverlening. Verwerker zal technische en organisatorische maatregelen na verloop van tijd evalueren, daarbij rekening houdend met kosten voor doorvoering, aard, omvang, context en doelstellingen van verwerking, en het risico van verschillen in de mate van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
De beveiliging van de digitaal aangeleverde gegevens gebeurt via de individuele bedrijving/programma’s die gebruikt worden voor het verwerken van deze gegevens.
Tevens heeft CJV administratie met al deze programma’s een AVG afgesloten.
Hier volgt een lijst van de verschillende bedrijving/programma’s die gebuikt worden:
Fysieke/schriftelijke gegevens worden per klant in individuele mappen bewaard in afsluitbare kasten, waar alleen Cees-Jan Vrolijk de sleutel van heeft.