English
Verwerkersovereenkomst Founders Finance B.V.
De besloten vennootschap met beperkte aansprakelijkheid Founders Finance B.V., gevestigd en kantoorhoudende te Amsterdam aan Nieuwe Teertuinen 25a (1013 LV), ingeschreven bij de Kamer van Koophandel onder het handelsregisternummer: 69951276, (hierna ook te noemen: “Dienstverlener” of “wij” of “ons”), verwerken persoonsgegevens.
Wij hechten belang aan de bescherming van uw privacy en verwerkt persoonsgegevens daarom geheel in overeenstemming met de Algemene verordening gegevensbescherming (hierna ook te noemen: “Avg”) die per 25 mei 2018 van kracht is in alle EU-lidstaten.
Wanneer een verantwoordelijke (u als ondernemer) een verwerker (een partij zoals in het onderhavige geval Dienstverlener) inschakelt voor de verwerking van persoonsgegevens dan bent u als verantwoordelijke wettelijk verplicht schriftelijke (of gelijkwaardige) afspraken te maken met de verwerker (Dienstverlener) over een aantal in de Avg genoemde onderwerpen.
Voor uw gemak hebben wij deze verwerkersovereenkomst opgesteld, zodat u en wij in overeenstemming met de Avg handelen.
De partijen van deze overeenkomst zijn derhalve Dienstverlener en de Opdrachtgever, (hierna te noemen: de “Verantwoordelijke”), zoals benoemd in de initiële Opdracht die Verantwoordelijke aan Dienstverlener (hierna ook te noemen: de “Verwerker”), heeft gegeven. Verwerker en Verantwoordelijke zullen hierna gezamenlijk als: “Partijen” worden aangeduid.
IN OVERWEGING NEMENDE DAT:
A. Dienstverlener een financieel- en administratief adviesbureau exploiteert en ten behoeve van Verantwoordelijke de diensten verricht;
B. Dienstverlener bij de uitvoering van de Opdracht gebruik maakt van het door binnen de groep ontwikkelde digitale platform voor herkenning, verwerking en archivering van administratieve documenten in een boekhoudkundige omgeving;
C. Dienstverlener bij de uitvoering van de Opdracht gebruik maakt van het loonaangifteprogramma van Nmbrs;
D. Dienstverlener bij de uitvoering van de Opdracht gebruik maakt van het fiscale aangifteprogramma van Exact;
E. Het verlenen van diensten noodzakelijkerwijs met zich meebrengt dat persoonsgegevens van of via Verantwoordelijke ter beschikking komen van Dienstverlener en door Dienstverlener worden verwerkt in de applicaties zoals genoemd onder B, C en D;
F. Verantwoordelijke bepaalde vormen van verwerking van de Persoonsgegevens wil laten verrichten door Dienstverlener en Dienstverlener bereid is tot verwerking van de Persoonsgegevens;
G. Dienstverlener de betreffende Persoonsgegevens louter in opdracht van Verantwoordelijke zal verwerken en niet voor eigen doeleinden;
H. Gezien het bepaalde in de Avg ten aanzien van het verwerken van persoonsgegevens, hun afspraken over de werkzaamheden en de onderlinge rechtsverhouding in deze verwerkersovereenkomst wensen vast te leggen (hierna mede te noemen: de “Verwerkersovereenkomst”).
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
1. Definities:
AVG: De Algemene verordening gegevensbescherming (2016/679), inclusief uitvoeringswet van deze verordening;
Betrokkene: een geïdentificeerde of identificeerbare natuurlijk persoon. Degene op wie een Persoonsgegeven betrekking heeft.
Datalek: Elke situatie waarin door een beveiligingsincident Persoonsgegevens onbedoeld worden ingezien door een onbevoegde, kwijtraken, vernietigd worden, aangepast worden of onrechtmatig worden verwerkt, zoals gedefinieerd in artikel 4.12 AVG.
Opdracht: De dienstverlening van Dienstverlener aan Verantwoordelijke, waaronder het verwerken van de administratie van Verantwoordelijke en de daaraan aanverwante diensten, en iedere andere vorm van samenwerking, waarbij Dienstverlener Persoonsgegevens verwerkt waarvoor Verantwoordelijke verantwoordelijk is in de zin van de AVG, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt.
DPIA: Data Protection Impact Assessement (gegevensbeschermingseffectbeoordeling) zoals bedoeld in de AVG.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker bij of in verband met het uitvoeren van de Opdracht van Verantwoordelijke verkrijgt.
Subverwerker: Elke partij die door Dienstverlener wordt ingeschakeld om, in opdracht van Dienstverlener, de Persoonsgegevens te verwerken waarvoor Dienstverlener bij deze Verwerkersovereenkomst door de Verantwoordelijke is gemachtigd.
2. De Betrokkenen
1. Ter uitvoering van de Opdracht verwerkt Dienstverlener Persoonsgegevens van Betrokkenen. De Betrokkenen van wie Persoonsgegevens worden verwerkt, zijn:
a. Werknemers die in dienst zijn bij de Verantwoordelijke
b. Klanten van de Verantwoordelijke
c. Bezoekers van de website van de Verantwoordelijke
d. Leveranciers die goederen of diensten leveren aan de Verantwoordelijke
e. Partners en/of overige gezinsleden van de Verantwoordelijke
2. Gegevens van andere Betrokkenen worden niet door Dienstverlener voor de Verantwoordelijke verwerkt.
3. Uitvoering verwerking
1. Dienstverlener verbindt zich om onder de voorwaarden van deze Verwerkersovereenkomst en in overeenstemming met de AVG en/of andere toepasselijke wet- en regelgeving de Opdracht uit te voeren voor Verantwoordelijke.
2. Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. Dienstverlener verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
3. Dienstverlener verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de schriftelijke instructies van Verantwoordelijke, in overeenstemming met de door Verantwoordelijke bepaalde doeleinden en middelen en met inachtneming van de door de Verantwoordelijke vastgestelde bewaartermijnen.
4. Dienstverlener schakelt geen andere dan de reeds onder B, C en D reeds genoemde Subverwerker(s) in zonder de voorafgaande schriftelijke toestemming van de Verantwoordelijke. Verantwoordelijke geeft bij deze schriftelijk toestemming aan Dienstverlener om de reeds onder B, C en D reeds genoemde Subverwerkers in te schakelen bij de verwerking van Persoonsgegevens.
5. KbB legt jegens Subverwerkers dezelfde verplichtingen op als Verantwoordelijke in deze Verwerkersovereenkomst aan Dienstverlener heeft opgelegd.
6. Dienstverlener blijft jegens Verantwoordelijke verantwoordelijk voor de correcte nakoming van deze Verwerkersovereenkomst.
7. Dienstverlener informeert Verantwoordelijke op het moment dat Dienstverlener begint met het delen van Persoonsgegevens aan de Subverwerker.
4. Rechten van betrokkenen
1. Voor zover mogelijk verleent Dienstverlener de Verantwoordelijke bijstand bij het vervullen van de verplichtingen van Verantwoordelijke om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Dienstverlener (rechtstreeks) verzoeken ontvangt van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zendt Dienstverlener deze verzoeken door naar Verantwoordelijke. Verantwoordelijke handelt deze verzoeken zelf af, waarbij Dienstverlener behulpzaam zal zijn als Dienstverlener in het kader van de Opdracht toegang heeft tot deze Persoonsgegevens. Hiervoor kan Dienstverlener kosten in rekening brengen.
5. Data Protection Impact Assessment
1. Dienstverlener ondersteunt en verleent medewerking aan de Verantwoordelijke om te voldoen aan de uitvoering van een DPIA, indien de verantwoordelijke een DPIA moet uitvoeren.
2. Dienstverlener ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings)maatregelen die genomen moeten worden naar aanleiding van een DPIA.
3. Dienstverlener brengt bij de Verantwoordelijke slechts redelijke gemaakte kosten in rekening voor het voldoen aan deze verplichtingen. Deze redelijke kosten bedragen EUR 60,– per uur (prijspeil 1 juli 2024 en jaarlijks geïndexeerd op basis van de dienstenprijsindex zoals die door het CBS wordt vastgesteld en gepubliceerd).
4. Dienstverlener ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings)maatregelen die genomen moeten worden naar aanleiding van overige analyses en veranderingen, zoals veranderende (inzichten in de) wetgeving.
6. Beveiligingsmaatregelen
1. Dienstverlener neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek. De technische en organisatorische maatregelen zijn opgenomen in Bijlage 2. Door deze verwerkersovereenkomst te accorderen, verklaart Verantwoordelijke kennis te hebben genomen van de door Dienstverlener genomen technische en organisatorische maatregelen en dat deze maatregelen naar mening van Verantwoordelijke passend zijn.
2. Dienstverlener staat ervoor in dat personen die handelen onder haar gezag contractueel zijn gebonden tot geheimhouding en de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken.
3. Indien Dienstverlener tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze Verwerkersovereenkomst en/of uit de wet, deze maatregelen op kosten van Dienstverlener uit te voeren of te laten voeren.
4. Dienstverlener zal Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen van ieder Datalek betreffende de Persoonsgegevens. Dienstverlener doet dit uiterlijk binnen 24 uur na ontdekking van het Datalek. Dienstverlener brengt hier geen kosten voor in rekening.
5. Dienstverlener zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en regelgeving, deze Verwerkersovereenkomst en de overige instructies van Verantwoordelijke te voldoen.
6. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n), alsmede het tijdig afhandelen van verzoeken van betrokkenen is de verantwoordelijkheid van Verantwoordelijke.
7. Overzicht van verwerkingen
1. Dienstverlener zal indien noodzakelijk een verwerkingsregister bijhouden van alle Persoonsgegevens die zij vanwege de Opdracht voor de Verantwoordelijke verwerkt. In dit overzicht legt zij in ieder geval haar naam, contactgegevens en de naam van de Verantwoordelijke waarvoor zij Persoonsgegevens verwerkt, de categorieën Persoonsgegevens die zij voor de Verantwoordelijke verwerkt en een beschrijving van de genomen beveiligingsmaatregelen, vast.
8. Aansprakelijkheid
1. Indien Dienstverlener ten gevolge van een toerekenbare tekortkoming van Verantwoordelijke in de uitvoering van deze Verwerkersovereenkomst schade lijdt, dan is Verantwoordelijke daarvoor jegens Dienstverlener aansprakelijk.
2. Verantwoordelijke verklaart door ondertekening van deze Verwerkersovereenkomst zich adequaat te verzekeren voor haar eventuele aansprakelijkheid jegens Dienstverlener of derden, waaronder doch niet beperkt Betrokkene(n).
3. Dienstverlener is jegens Verantwoordelijke niet aansprakelijk voor eventuele schade van Verantwoordelijke ten gevolge van de uitvoering en/of beëindiging van deze Verwerkersovereenkomst en/of de Opdracht, daaronder begrepen maar niet beperkt tot eventuele door de Autoriteit Persoonsgegevens opgelegde boetes. Dienstverlener is jegens Verantwoordelijke evenmin aansprakelijk voor indirecte schade, daaronder begrepen maar niet beperkt tot gevolgschade, gederfde winst, schade door bedrijfsstagnatie en/of schade van derden.
4. Voorts is Dienstverlener jegens Verantwoordelijke niet aansprakelijk voor eventuele overige schade van Verantwoordelijke die op enigerlei wijze verband houdt met dan wel voortvloeit uit deze Verwerkersovereenkomst althans de uitvoering ervan, behoudens voor zover sprake is van opzet of grove schuld aan de zijde van Dienstverlener.
5. aansprakelijkheid van Dienstverlener jegens Verantwoordelijke is in ieder geval beperkt tot het bedrag dat in het desbetreffende geval onder de aansprakelijkheidsverzekering van Dienstverlener wordt uitbetaald.
6. In het geval dat de aansprakelijkheidsverzekering van Dienstverlener geen uitkering doet, is de aansprakelijkheid van Dienstverlener in ieder geval beperkt tot het totaalbedrag van de ontvangen vergoeding van de Verantwoordelijke die uit hoofde van de Opdracht.
7. Verantwoordelijke vrijwaart Dienstverlener voor aanspraken van wie dan ook die jegens Verantwoordelijke te gelde worden gemaakt en verband houden met of voorvloeien uit de uitvoering van de Dienstverlener Diensten voor de Verantwoordelijk of derden.
9. Doorgifte van persoonsgegevens
1. Dienstverlener verwerkt de Persoonsgegevens enkel in landen binnen de Europese Unie, tenzij Verantwoordelijke toestemming voor een doorgifte van persoonsgegevens buiten de Europese Unie heeft gegeven.
2. Dienstverlener meldt Verantwoordelijke binnen welk land of welke landen de Persoonsgegevens worden verwerkt. Dit doet Dienstverlener ook als de Persoonsgegevens door een Datalek of anderszins abusievelijk in een land terecht zijn gekomen.
10. Geheimhouding
1. Op alle Persoonsgegevens die Dienstverlener in het kader van de Opdracht ontvangt en/of verzamelt, rust een geheimhoudingsplicht jegens derden. Dienstverlener en alle personen in dienst van, dan wel werkzaam ten behoeve van Dienstverlener, zijn verplicht tot geheimhouding van de Persoonsgegevens.
2. Dienstverlener draagt er zorg voor dat alle mensen die voor Dienstverlener werkzaam zijn verplicht worden tot geheimhouding.
3. Deze geheimhoudingsplicht is niet van toepassing indien in deze Verwerkersovereenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
4. Dienstverlener zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht. Dienstverlener doet dit uiterlijk binnen 24 uur na ontdekking van de schending van de geheimhouding.
11. Duur en beëindiging
1. Deze Verwerkersovereenkomst treedt tussen Partijen in werking op de datum dat de Verantwoordelijke deze Verwerkersovereenkomst online via het dashboard van Dienstverlener voor akkoord heeft geaccepteerd.
2. Deze Verwerkersovereenkomst is aangegaan voor een duur die gelijk is aan de duur van de Opdracht. Bij een verlenging van de duur van de Opdracht zal ook deze Verwerkersovereenkomst met dezelfde duur worden verlengd. Beëindiging van de Opdrachtovereenkomst doet deze Verwerkersovereenkomst op hetzelfde moment eindigen.
3. Als deze Verwerkersovereenkomst eindigt of wordt ontbonden blijft het bepaalde in deze Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze Verwerkersovereenkomst voort te duren, van kracht.
12. Vernietiging Persoonsgegevens
1. Dienstverlener stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, maar uiterlijk binnen tien werkdagen na het einde van deze Verwerkersovereenkomst of de Opdracht, ter beschikking aan Verantwoordelijke.
2. Dienstverlener is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.
3. Zodra na het einde van deze Verwerkersovereenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een door Verantwoordelijke schriftelijk geaccepteerd formaat bezit, verwijdert Dienstverlener alle Persoonsgegevens volledig en onherroepelijk binnen veertien dagen.
4. Dienstverlener kan afwijken van het bepaalde in lid 1 en 2 van dit artikel, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.
13. Controle
1. Verantwoordelijke is gerechtigd de naleving van het bepaalde in deze Verwerkersovereenkomst ten hoogste eenmaal per jaar te controleren. Verantwoordelijke kan de controle na toestemming van Dienstverlener daartoe zelf doen of kan het laten uitvoeren door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.
2. Verantwoordelijke draagt de kosten van controle. Indien Dienstverlener tekortschiet in de nakoming van een verplichting uit hoofde van deze verwerkersovereenkomst, dan zal Dienstverlener die tekortkoming op zo kort mogelijke termijn herstellen.
3. Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan Dienstverlener, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.
14. Onverbindende bepaling
1. Indien één of meer bepalingen van deze Verwerkersovereenkomst in rechte onverbindend worden verklaard of om welke reden dan ook anderszins onverbindend mocht(en) blijken te zijn, zal daardoor de geldigheid van de overige bepalingen van de Verwerkersovereenkomst niet worden aangetast. In een dergelijk geval zullen Partijen in overleg treden teneinde de niet-verbindende bepaling(en) te vervangen door een bepaling die wel verbindend is (zijn) doch die zo min mogelijk afwijkt van de onverbindend geachte bepaling(en), mede gelet op het doel en de strekking van die bepaling alsmede van de Verwerkersovereenkomst.
15. Overig
1. Deze Verwerkersovereenkomst kan alleen schriftelijk worden gewijzigd door de Partijen.
2. Deze Verwerkersovereenkomst bevat de gehele overeenstemming tussen Partijen met betrekking tot de in deze Verwerkersovereenkomst neergelegde onderwerpen en afspraken. Deze Verwerkersovereenkomst vervangt iedere vroegere schriftelijke dan wel mondelinge overeenkomst tussen Partijen.
16. Toepasselijk recht en forumkeuze
1. Op deze Verwerkersovereenkomst en alle eventuele aanpassingen daarop is Nederlands recht van toepassing.
2. Partijen verklaren de Rechtbank Amsterdam bij uitsluiting bevoegd om van geschillen, direct of indirect voortvloeiende uit deze Verwerkersovereenkomst, kennis te nemen.
Klik hier voor de bijlage.