Zzp en klein mkb Midden en groot mkb RA-/AA-accountant of fiscalist?
Doe mee aan onze franchiseformule!
Bel me terug

Wat staat er in de verwerkersovereenkomst voor de AVG?

Niet iedereen vindt juridische taal makkelijk. Er wordt je als klant gevraagd om een verwerkersovereenkomst te tekenen, maar wat teken je eigenlijk?

Hieronder vind je de belangrijkste punten uit de verwerkersovereenkomst voor de AVG in normaal Nederlands:

Als klant ben je verantwoordelijk voor je gegevens

Als klant ben je de verantwoordelijke, je wordt in de AVG de verwerkers verantwoordelijke genoemd. Aan wie je je administratie, je belastingaangiftes uitbesteedt, wordt de verwerker genoemd. Jij bepaalt als klant wat er met je gegevens gebeurt en dat leg je vast in de verwerkersovereenkomst.

De verwerker gebruikt alleen de hoognodige gegevens

Alleen de gegevens die de verwerker nodig heeft om de opdracht uit te voeren mag hij opvragen.

De verwerker gebruikt de gegevens alleen voor de opdracht

Jouw persoonlijke gegevens mogen door de verwerker alleen gebruikt worden voor de opdracht die je gegeven hebt, tenzij er sprake is van fraude en de verwerker deze moet melden.

De verwerker bewaart gegevens niet langer dan nodig

Als de verwerker de gegevens niet meer nodig heeft, dan moeten ze worden verwijderd, tenzij er een wettelijke bewaartermijn bestaat. Bij belastingaangiften is dat 7 jaar tenzij er sprake is van onroerend goed dan is de bewaartermijn 10 jaar.

Alleen geautoriseerde personen hebben toegang tot je gegevens

Die geautoriseerde personen zijn medewerkers en sub-verwerkers. Medewerkers moeten een aanvullende overeenkomst krijgen om de autorisatie en geheimhouding te waarborgen en met subverwerkers wordt om dezelfde redenen een overeenkomst gesloten: een subverwerkersovereenkomst. Beiden moeten bewust en geïnformeerd zijn over de afspraken m.b.t. bescherming van privacy van gegevens van personen en met name over bijzondere persoonsgegevens als burgerservicenummer (BSN).

Als klant ben je ook verantwoordelijk voor de gegevens van je medewerkers

Jij als klant beslist wat er met de gegevens van je medewerkers moet gebeuren. Rechtstreekse verzoeken van jouw medewerkers aan ons worden niet zonder jouw toestemming beantwoord.

De wet geldt voor de EER (Europese Economische Ruimte)

Dat betekent dat wij de gegevens bij voorkeur binnen Europa verwerken en buiten Europa moeten er extra beschermingsmaatregelen worden getroffen, omdat bedrijven buiten Europa niet voldoen aan de AVG.   Verwerkingen mogen in de Verenigde Staten worden verricht als de verwerker zich heeft gecommitteerd aan het EU-US Privacy Shield afspraken stelsel. Andere landen die zijn toegestaan vind je hier. Dit kun je controleren op https://www.privacyshield.gov/welcome  

Aan wie mogen wij jouw gegevens verstrekken?

In de eerste plaats niet zonder jouw toestemming, tenzij er een wettelijke instantie is die “overruled”. Wij zullen nagaan of er geen juridische of wettelijke belemmeringen zijn om de gegevens te verstrekken op dat moment en we zullen je altijd eerst op de hoogte stellen als het verzoek er is.

Wat doen wij aan beveiliging van je gegevens?

De maatregelen om je gegevens te beveiligen staan onderaan als laatste punt.

Wat als er een datalek is?

Als er een datalek wordt geconstateerd dan stellen wij je zo snel mogelijk, in ieder geval binnen 48 uur, op de hoogte. Jij, als klant, bent dan degene die melding doet bij de Autoriteit Persoonsgegevens. We houden je op de hoogte van de maatregelen die wij en de subverwerker nemen.

Wie is er aansprakelijk?

Als je als klant je niet aan de AVG houdt, dan kunnen wij niet aansprakelijk gehouden worden voor schade. Onze aansprakelijkheid staat gedefinieerd in onze algemene voorwaarden.

Wat als de klantrelatie wordt beëindigd?

Dan zullen wij de gegevens op verzoek vernietigen of aan je overdragen. Wij moeten ons dossier wel 7 jaar bewaren en in geval van onroerend goed, 10 jaar.

Welke medewerkers hebben nu toegang?

In de overeenkomst leggen we dat vast. Als een medewerker verandert, dan lichten we elkaar in.  

Welke beveiligingsmaatregelen nemen we?

  • geïmplementeerd beveiligingsbeleid en het periodiek updaten en implementeren van het geüpdatete beveiligingsbeleid;
  • geïmplementeerde gedragscode;
  • geheimhoudingsverplichtingen in arbeidscontracten;
  • indringeralarm (alleen bij fysiek/lokaal opgeslagen gegevens);
  • veilige wijze voor het opslaan van gegevensbestanden;
  • logische toegangscontroles door middel van kennis, zoals password of persoonlijke toegangscodes;
  • logische toegangscontroles door middel van fysieke toegangsmiddelen, zoals bijvoorbeeld maar niet beperkt tot veiligheidssleutels;
  • controleren van toegekende rechten van medewerkers van Verwerkingsverantwoordelijke (en logging van toegang);
  • logging en controle van toegang tot het systeem door medewerkers van Verwerker (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens door medewerkers van Verwerker (of derden);
  • herstelprocedures door bijvoorbeeld een restore vanuit een back up;
  • voldoen aan de geheimhoudingsbepaling van deze Verwerkersovereenkomst; en
  • het aanwijzen van een beperkt aantal personen, die met de uitvoering van de Verwerking van Persoonsgegevens zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen tot de Persoonsgegevens, welke personen uitdrukkelijk alleen gerechtigd zijn om de voor de uitvoering van deze Verwerkersovereenkomst noodzakelijke handelingen te verrichten.

Wat betekenen de begrippen? 

Betrokkene:

Degene op wie een persoonsgegeven betrekking heeft.

Verwerker:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Sub-verwerker:

Een andere verwerker die door de verwerker wordt ingezet om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

Verwerkingsverantwoordelijke / Verantwoordelijke:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Bijzondere Persoonsgegevens:

Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksuele gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Datalek / Inbreuk in verband met persoonsgegevens:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Derden: Anderen dan jij als klant en je medewerkers en wij en onze medewerkers.
Meldplicht Datalekken:

De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan betrokkenen.

Medewerkers

Personen die werkzaam zijn bij jou of bij ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

Onderliggende opdracht:

De opdracht die wij voor jou uitvoeren.

Persoonsgegevens:

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”) die in het kader van de “onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Persoonsgegevens van gevoelige aard: Persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
  • bijzondere persoonsgegevens
  • gegevens over de financiële of economische situatie van de Betrokkene
  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene
  • gebruikersnamen, wachtwoorden en andere inloggegevens
  • gegevens die kunnen worden misbruikt voor (identiteits)fraude
Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
AVG: Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wbp per 25 mei 2018.

Meer weten

Kijk hieronder voor meer informatie: