Privacy voorwaarden

1. Algemeen

In deze privacyvoorwaarden wordt verstaan onder:

     1.1    Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van

             toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke

             Algemene voorwaarden deze privacyvoorwaarden onlosmakelijk deel uitmaken.

     1.2   Verwerker: de maatschap Daamen & van Sluis Accountants Belastingadviseurs, statutair

             gevestigd te Rotterdam en kantoorhoudende aan Fascinatio Boulevard 722, 2909 VA

             Capelle aan den IJssel en alle aan Daamen & van Sluis Accountants Belastingadviseurs

             gelieerde entiteiten, eveneens Opdrachtnemer, hierna te noemen D&vS.

   1.3     Gegevens: de gegevens die noodzakelijk zijn voor de uitvoering van de opdracht en

            in dat kader door Opdrachtgever aan Opdrachtnemer worden verstrekt, zoals nader

            omschreven in Annex 1.

     1.4  Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer opdracht

             heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.

     1.5   Opdrachtnemer: de maatschap Daamen & van Sluis Accountants Belastingadviseurs

             statutair gevestigd te Rotterdam en kantoorhoudende aan de Fascinatio Boulevard 722,

             2909 VA Capelle aan den IJssel, eveneens Verwerker.

     1.6   Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrichten

              van Werkzaamheden door Opdrachtnemer ten behoeve van de Opdrachtgever, conform

              het bepaalde in de opdrachtbevestiging.

     1.7   Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de

             Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van

             Werkzaamheden.

     1.8   Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door

             Opdrachtnemer uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste

             zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de

             opdrachtbevestiging.

     1.9  Opdracht: de opdracht tot het verrichten van Werkzaamheden die zowel mondeling als

            schriftelijkdoor Opdrachtgever aan Opdrachtnemer is verstrekt.

 

2. Toepasselijkheid privacyvoorwaarden

     2.1   Deze privacyvoorwaarden zijn van toepassing op alle gegevens die in het kader van de

             uitvoering van de Overeenkomst met Opdrachtgever door D&vS worden verzameld voor

             Opdrachtgever, alsmede op alle uit de Overeenkomst voor D&vS voortvloeiende

             Werkzaamheden en de in dat kader te verzamelen gegevens.

     2.2   Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals

             omschreven in Annex 1.

     2.3   Bij de uitvoering van de Overeenkomst verwerkt D&vS bepaalde persoonsgegevens voor

             Verantwoordelijke.

     2.4   Dit zijn privacyvoorwaarden in de zin van artikel 28 lid 3 van de Algemene Verordening

             Gegevensbescherming ( AVG ), waarin de rechten en verplichtingen ten aanzien van de

             verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van

             de beveiliging.

     2.5   Deze privacyvoorwaarden maken, net als de Algemene voorwaarden van D&vS, onderdeel

             uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

 

3. Verantwoordelijke en Verwerker

     3.1    Afhankelijk van de Werkzaamheden die Opdrachtnemer verricht voor Opdrachtgever,

             is Opdrachtnemer  ofwel Verwerker, ofwel gezamenlijk Verantwoordelijke met

             Opdrachtgever. Opdrachtgever is te allen tijde (gezamenlijk) Verantwoordelijke.

     3.2   In het kader van de verdeling van de verantwoordelijkheden bij gezamenlijke

             verantwoordelijkheid op grond van artikel 26 AVG, spreken partijen af dat Opdrachtgever te

             allen tijde wordt aangemerkt als Verantwoordelijke en alle bijbehorende verplichtingen op

             zich neemt. Opdrachtnemer wordt aangemerkt als Verwerker en neemt de daarbij

             behorende verplichtingen op zich.

     3.3   Waar in het vervolg van deze privacyvoorwaarden wordt gesproken over

             “Verantwoordelijke” wordt aldus Opdrachtgever bedoeld, en waar wordt gesproken over

             “Verwerker” wordt Opdrachtnemer bedoeld.

     3.4   Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals

             omschreven in artikel 5 van deze privacyvoorwaarden.

     3.5   Bij de uitvoering van de Overeenkomst verwerkt Verwerker persoonsgegevens in opdracht

             van c.q. voor Verantwoordelijke

 

4. Reikwijdte privacyvoorwaarden

     4.1   Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft

             Verantwoordelijke aan D&vS ( de verwerker ) de opdracht gegeven om de Gegevens te

             verwerken namens de Verantwoordelijke op de wijze zoals omschreven in artikel 5 van

             deze privacyvoorwaarden en  in overeenstemming met de overige bepalingen van deze

             privacyvoorwaarden.

     4.2   D&vS verwerkt de Gegevens uitsluitend in overeenstemming met deze

             privacyvoorwaarden, met name met hetgeen is opgenomen in artikel 5. D&vS bevestigt de

             Gegevens niet voor andere doeleinden te verwerken.

     4.3   De zeggenschap over de Gegevens komt nooit bij D&vS te rusten.

     4.4   De Verantwoordelijke kan additionele, schriftelijke instructies aan D&vS geven vanwege

             aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van

             bescherming van persoonsgegevens.

     4.5   D&vS verwerkt de Gegevens enkel in de Europese Economische Ruimte.

     4.6   Verantwoordelijke staat ervoor in dat voor de verwerking van de Gegevens door Verwerker

             een adequate wettelijke grondslag aanwezig is en deze geen inbreuk maakt op rechten

             van

 

5. Gegevens en doeleinden verwerking

     5.1  De Verantwoordelijke laat de (medewerkers van) Verwerker de Gegevens verwerken die

             noodzakelijk zijn voor    de uitvoering van de Opdracht.

     5.2   De werkzaamheden waarvoor de in het eerste lid genoemde Gegevens mogen worden

             verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

             a. de werkzaamheden, te beschouwen als de primaire dienstverlening van Opdrachtnemer,

                 in het kader waarvan Verantwoordelijke Opdracht heeft verstrekt aan Verwerker;

             b. het onderhoud, waaronder updates en releases van het door Verwerker dan wel

                 subverwerker aan Verantwoordelijke ter beschikking gestelde systeem;

             c. het gegevens- en technische beheer, ook door een subverwerker;

             d. de hosting, ook door een subverwerker;

             e. de verzending van gegevens, ook door een subverwerker;

             f. overige werkzaamheden die noodzakelijk zijn voor de uitvoering van de Opdracht.

 

6. Verplichting Verantwoordelijke

     6.1   Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de

             doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en

             nauwkeurig zijn en als zodanig ook aan D&vS worden verstrekt.

 

7. Rechten betrokkenen

     7.1    Verantwoordelijke is verantwoordelijk voor het faciliteren van de rechten van betrokkenen.

     7.2    Verwerker verleent Verantwoordelijke – op verzoek – in alle redelijkheid bijstand bij het

             vervullen van diens plicht om verzoeken van betrokkenen tot inzage, rectificatie,

             gegevenswissing, beperking van verwerking en/of data-export in te willigen.

 

8. Geheimhouding

     8.1   D&vS en de personen die in dienst zijn van D&vS danwel werkzaamheden voor hem

             verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken

             de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke

             verplichtingen.

     8.2   D&vS en de personen die in dienst zijn van D&vS danwel werkzaamheden voor hem

             verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht

             tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor

             zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak

             tot mededeling voortvloeit.

 

9. Geen verdere verstrekking

     9.1   D&vS zal de gegevens niet delen met of verstrekken aan derden, tenzij D&vS daartoe

             voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van

             Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is.

             Indien D&vS op grond  van dwingendrechtelijke regelgeving verplicht is om de Gegevens

             te delen met of te verstrekken aan derden, dan zal D&vS de Verantwoordelijke hierover

             schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.

 

10. Sub-Bewerkers

     10.1 D&vS zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van

             bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging

             – technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te

             beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De

             beveiligingsmaatregelen die thans zijn genomen, zijn bij D&vS op te vragen.

     10.2 D&vS zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere

             verwerking van persoonsgegevens te voorkomen.

     10.3 Indien ondanks de beveiligingsmaatregelen een ongeautoriseerde verwerking van

             Gegevens plaatsvindt, rust de bewijslast bij Verantwoordelijke dat Verwerker niet adequaat

             heeft gehandeld.

     10.4 Verwerker verleent Verantwoordelijke op verzoek in alle redelijkheid bijstand bij diens

             verplichtingen uit hoofde van de artikelen 35 en 36 AVG.

 

11.  Toezicht op naleving

  11.1     D&vS stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van

             een redelijke termijn, de naleving van D&vS te controleren van de privacyvoorwaarden en

             met name van de beveiligingsmaatregelen die zijn genomen zoals genoemd in artikel 10.

  11.2     D&vS is verplicht in het kader van de controle genoemd in lid 1 een overzicht te

             verstrekken van de Gegevens die worden verwerkt.

  11.3     D&vS verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan

             Verantwoordelijke waarin D&vS informeert over de stand van de beveiligingsmaatregelen

             zoals omschreven in artikel 10.

  11.4     Verantwoordelijke en D&vS kunnen naar aanleiding van de onder artikel 11.3 benoemde

             rapportage samen nadere beveiligingsmaatregelen overeenkomen.

 

12.  Datalek

  12.1     Zo spoedig mogelijk nadat D&vS kennis neemt van een incident of datalek dat (mede)

             betrekking heeft of kan hebben op de Gegevens, stelt D&vS Verantwoordelijke hiervan op

             de hoogte via de bij D&vS bekende contactgegevens van Verantwoordelijke en zal D&vS

             informatie verstrekken over: de aard van het incident of het datalek, de getroffen Gegevens

             de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de

             maatregelen die D&vS heeft getroffen en zal treffen.

  12.2    D&vS zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of

             autoriteiten.

 

13. Sub-Verwerkers

    13.1   Indien D&vS op grond van de Overeenkomst zijn verplichtingen uitbesteedt aan

             derden, legt D&vS aan de betreffende derde deze privacy voorwaarden op, dan wel sluit

             D&vS met deze subVerwerker een (sub)Verwerkersovereenkomst betreffende de

             verantwoordelijkheden en verplichtingen van de sub-Verwerker.

 

14.  Aansprakelijkheid

    14.1   D&vS is slechts aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 AVG

             is bepaald, voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid.

             D&vS is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het

             kader van zijn werkzaamheden volgens deze privacyvoorwaarden en/of niet-nakoming

             van verplichtingen door D&vS onder deze privacy voorwaarden.

 

15.  Duur en beëindiging

     15.1  Deze privacyvoorwaarden zijn geldig zolang D&vS de opdracht heeft van

             Verantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen

             Verantwoordelijke en D&vS. Zolang door D&vS werkzaamheden worden verricht ten

             behoeve van Verantwoordelijke zijn deze privacyvoorwaarden op deze relatie van

             toepassing.

     15.2 Indien D&vS op grond van een wettelijke bewaarplicht bepaalde gegevens en/

             documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens

             bevinden gedurende een wettelijke termijn moet bewaren, dan zal D&vS zorgdragen voor

             de vernietiging van deze gegevens of documenten, computerdisks of andere

             gegevensdragers binnen 4 weken na beëindiging van de wettelijke bewaarplicht.

     15.3 Verwerker is gerechtigd deze privacyvoorwaarden te wijzigen of aan te vullen.

             Wijzigingen van ondergeschikt belang kunnen te alle tijden worden doorgevoerd.

             Grote inhoudelijke wijzigingen worden ( bij voorbaat ) met Verantwoordelijke besproken.

     15.4 Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en D&vS kan

             Verantwoordelijke aan D&vS verzoeken om alle documenten, computerdisks en andere

             gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan

             Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal

             D&vS de gegevens verstrekken in de vorm zoals bij D&vS aanwezig.

     15.5 Onverlet hetgeen voor het overige in dit artikel 15 is bepaald, zal D&vS na beëindiging van

             de Overeenkomst geen Gegevens houden noch gebruiken.

 

16.  Nietigheid

     16.1 Indien één of meerdere bepalingen uit deze privacyvoorwaarden nietig zijn of vernietigd

             worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling

             van deze privacyvoorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een

             nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke

             bepaling zo dicht mogelijk benaderd.

 

17.  Toepasselijk recht en forumkeuze

     17.1  Op deze privacyvoorwaarden is Nederlands recht van toepassing.

     17.2  Alle geschillen in verband met de privacyvoorwaarden of de uitvoering daarvan worden

             voorgelegd aan de bevoegde rechter bij de rechtbank Rotterdam.

 

Capelle aan den IJssel, 25 mei 2018

 

 

ANNEX 1

GEGEVENS EN DOELEINDEN

 

GEGEVENS EN DOELEINDEN

 

De Verantwoordelijke laat D&vS de o.a de volgende Gegevens door D&vS verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële verslaglegging:

 

(1)      Naam (initialen, achternaam)

(2)      Telefoonnummer

(3)      E-mailadres

(4)      Geboortedatum

(5)      Woonplaats

(6)      Gegevens ID-bewijs (in verband met de Wwft)

(7)      Financiële gegevens, zowel zakelijk als privé

(8)      NAW-gegevens en BSN van personeelsleden van Verantwoordelijke

 

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

 

(1)      De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan

          Verantwoordelijke een opdracht heeft verstrekt aan D&vS;

(2)      het onderhoud, waaronder updates en releases van het door D&vS dan wel subVerwerker

          aan Verantwoordelijke ter beschikking gestelde systeem;

(3)      het gegevens- en technische beheer, ook door een subVerwerker;

(4)      de hosting, ook door een subVerwerker.

 

BEVEILIGINGSMAATREGELEN

 

De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:

 

De gebruikte glasvezelverbindingen worden continue gemonitord op beschikbaarheid en

   integriteit.

Daamen & Van Sluis heeft een backup-lijn.

Alle applicatie- en dataservers zijn gevirtualiseerd op een cluster.

De servers staan in een fysiek, en met alarm beveiligde ruimte.

Serverruimtes zijn geconditioneerd.

Belangrijke onderdelen van de infrastructuur (fysieke hosts, switches, routers) zijn voor

  stroomuitval of spanningspieken beschermd middels UPS-sen.

Toegang tot gegevens kan alleen vanaf het kantoornetwerk van Daamen & Van Sluis of via een

  met two-pass beveiligde VPN-verbinding naar het kantoornetwerk.

De software van alle componenten (inclusief maar niet beperkt tot servers, werkstations,

  firewalls, spamfilters, applicatieservers en andere systemen) wordt met regelmaat en

  gestructureerd geüpdatet.

Er wordt gebruik gemaakt van persoonsgebonden accounts waarbij een wachtwoordbeleid

  wordt afgedwongen.

Er wordt gebruik gemaakt van virus- en malwarescanners op alle relevante onderdelen van de

  infrastructuur. Deze worden automatisch en met grote regelmaat (meerdere keren per dag)

  geüpdatet.

Een dagelijkse backup van alle systemen (inclusief een kopie naar een tweede serverruimte op

  een andere vestiging) beveiligen de omgeving tegen gegevensverlies en het niet beschikbaar

  zijn van de omgeving.

De werking van de backup wordt met regelmaat getest.

Ontsluiting naar het Internet gebeurt middels één centrale next generation firewall die beheerd

  en gemonitord wordt.

Op diverse systemen (zowel op bestandsniveau als binnen applicaties) zijn rechten voor

  medewerkers beperkt ter beperking van de risico’s.

Het is niet mogelijk en toegestaan om software op het kantoornetwerk te installeren. Installaties

  dienen altijd via de ICT-afdeling te worden aangevraagd en uitgevoerd.

Alle systemen en applicaties die worden geïnstalleerd worden vooraf op het vlak van beveiliging

  beoordeeld en waar nodig worden configuraties aangepast.

Er is een e-mail en internet reglement die nieuwe medewerkers ontvangen als bijlage bij de

  arbeidsovereenkomst.

In de arbeidsovereenkomst is een artikel opgenomen over geheimhouding.

Voor bepaalde functies (bijvoorbeeld systeembeheer) geldt een extra

  geheimhoudingsverklaring.

Storingen worden geregistreerd in een ticketsysteem wat met regelmaat geëvalueerd wordt.

Er is een calamiteitenplan wat continu verder wordt ontwikkeld.