Privacybeleid ANNO2040

Versie 2.0

Deze pagina is voor het laatst aangepast op 21 mei 2018

Wij zijn er van bewust dat je vertrouwen stelt in ons. Wij zien het dan ook als onze verantwoordelijkheid om je privacy te beschermen. Op deze pagina laten we je weten welke gegevens we verzamelen als je onze website gebruikt, waarom we deze gegevens verzamelen en hoe we hiermee je gebruikservaring verbeteren. Zo snapt je precies hoe wij werken.

Dit privacybeleid is van toepassing op de diensten van ANNO2040. Je dient je ervan bewust te zijn dat ANNO2040 niet verantwoordelijk is voor het privacybeleid van andere sites en bronnen. Door gebruik te maken van deze website geef je aan het privacy beleid te accepteren.

ANNO2040 respecteert de privacy van alle gebruikers van haar site en draagt er zorg voor dat de persoonlijke informatie die je ons verschaft vertrouwelijk wordt behandeld.

Ons gebruik van verzamelde gegevens

Gebruik van onze diensten

Wanneer je jezelf aanmeldt voor één van onze diensten vragen we je om persoonsgegevens te verstrekken. Deze gegevens worden gebruikt om de dienst uit te kunnen voeren. De gegevens worden opgeslagen op eigen beveiligde servers van ANNO2040 of die van een derde partij. Wij zullen deze gegevens niet combineren met andere persoonlijke gegevens waarover wij beschikken.

Communicatie

Wanneer je e-mail of andere berichten naar ons verzendt, is het mogelijk dat we die berichten bewaren. Soms vragen wij naar persoonlijke gegevens die voor de desbetreffende situatie relevant zijn. Dit maakt het mogelijk je vragen te verwerken en je verzoeken te beantwoorden. De gegevens worden opgeslagen op eigen beveiligde servers van ANNO2040 of die van een derde partij. Wij zullen deze gegevens niet combineren met andere persoonlijke gegevens waarover wij beschikken.

Cookies

Zie hiervoor ons cookie statement

Doeleinden

We verzamelen of gebruiken geen informatie voor andere doeleinden dan de doeleinden die worden beschreven in dit privacybeleid tenzij we van tevoren je toestemming hiervoor hebben verkregen.

Derden

De informatie wordt niet met derden gedeeld. In enkele gevallen kan de informatie intern gedeeld worden. Onze werknemers zijn verplicht om de vertrouwelijkheid van uw gegevens te respecteren.

Veranderingen

Deze privacyverklaring is afgestemd op het gebruik van èn de mogelijkheden op deze site. Eventuele aanpassingen en/of veranderingen van deze site, kunnen leiden tot wijzigingen in deze privacyverklaring. Het is daarom raadzaam om regelmatig deze privacyverklaring te raadplegen.

Keuzes voor persoonsgegevens

Wij bieden alle bezoekers de mogelijkheid tot het inzien, veranderen, of verwijderen van alle persoonlijke informatie die op elk moment aan ons is verstrekt.

Aanpassen/uitschrijven dienst nieuwsbrief

Onderaan iedere mailing vind je de mogelijkheid om je gegevens aan te passen of om je af te melden.

Aanpassen/uitschrijven communicatie

Als je jouw gegevens aan wilt passen of jezelf uit onze bestanden wilt laten verwijderen, kan je ook contact met ons op nemen. Zie onderstaande contactgegevens.

 

Verwerkersvoorwaarden ANNO2040

Deze verwerkersvoorwaarden zijn van toepassing op alle Opdrachten c.q. Overeenkomsten tussen Opdrachtgever en Opdrachtnemer, respectievelijk hun rechtsopvolgers, alsmede op alle daaruit voortvloeiende en/of samenhangende overeenkomsten, alsmede op alle door Opdrachtnemer gedane aanbiedingen en/of offertes. 

  1. De besloten vennootschap met beperkte aansprakelijkheid Anno2020 B.V., statutair gevestigd te Amsterdam en kantoorhoudende te Haarlem aan Florapark 11, 2012 HK, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 60999829, hierna ‘opdrachtnemer’,

En

  1. Opdrachtgever, zoals benoemd in de klantovereenkomst hierna ‘opdrachtgever’,

 in aanmerking nemend dat:

  • opdrachtnemer diensten verricht ten behoeve van opdrachtgever, zoals beschreven in bijlage 1 bij deze overeenkomst (hierna: de diensten);
  • de diensten met zich brengen dat persoonsgegevens worden verwerkt, waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG);
  • opdrachtnemer de betreffende gegevens verwerkt louter in opdracht van opdrachtgever en niet voor eigen doeleinden. Opdrachtnemer is in dat kader aan te merken als verwerker in de zin van de AVG;
  • partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving afspraken te maken en deze vast te leggen met betrekking tot de verwerking van persoonsgegevens door opdrachtnemer;
  • partijen middels deze overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten wensen vast te leggen.

komen het volgende overeen.

 Artikel 1. Diensten waarbij persoonsgegevens worden verwerkt

  1. Opdrachtnemer verricht ten behoeve van opdrachtgever de in bijlage 1 beschreven diensten overeenkomstig de daartoe separaat gesloten overeenkomsten. Het verlenen van de diensten brengt verwerkingen van persoonsgegevens met zich waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de AVG. Opdrachtnemer fungeert daarbij als verwerker in de zin van de AVG.
  2. Opdrachtnemer en opdrachtgever verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 2. Uitgangspunten bij het verwerken van persoonsgegevens

  1. Opdrachtnemer zal de in artikel 1 bedoelde persoonsgegevens te allen tijde verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving (waaronder de AVG), de (specifieke) instructies en aanwijzingen van opdrachtgever alsmede een eventueel toepasselijke gedragscode van opdrachtgever.
  2. Opdrachtgever heeft de categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt opgenomen in bijlage 2.
  3. Opdrachtnemer zal de persoonsgegevens voorts louter verwerken voor zover noodzakelijk voor het verlenen van de diensten en/of het uitvoeren van de specifieke instructies en aanwijzingen van opdrachtgever. Het is opdrachtnemer niet toegestaan persoonsgegevens voor andere doeleinden te verwerken, tenzij daartoe een wettelijke verplichting bestaat.
  4. Opdrachtnemer zal de verwerking van persoonsgegevens louter binnen de grenzen van de Europese Economische Ruimte (“EER”) (doen) uitvoeren.

 Artikel 3. Beveiligings- en betrouwbaarheidsmaatregelen en gegevensbeschermingseffectbeoordeling

  1. Opdrachtnemer zal in overeenstemming met de geldende wettelijke regels de beveiliging van persoonsgegevens waarborgen en technische- en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen passend zijn, rekening houdend met de stand van de techniek en de kosten die ermee gemoeid zijn en zullen er mede op gericht zijn onnodige verzamelingen en verdere verwerking van persoonsgegevens te voorkomen. Opdrachtnemer zal in dat kader ten minste een niveau van beveiliging realiseren en de beveiligingsmaatregelen treffen zoals beschreven in bijlage 3 bij deze overeenkomst.
  2. Opdrachtnemer zal voorts maatregelen treffen teneinde een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de verwerkte persoonsgegevens te garanderen.
  3. Indien opdrachtgever een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de diensten, zal opdrachtnemer alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal opdrachtnemer alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de Autoriteit Persoonsgegevens nodig is op grond van de geldende privacywetgeving. Opdrachtgever zal opdrachtnemer de in dit kader gemaakte redelijke kosten vergoeden.

 Artikel 4. Meldplicht (beveiligings)incidenten

  1. Zodra zich een inbreuk op de beveiliging in verband met persoonsgegevens voordoet als bedoeld in artikel 33 AVG, die betrekking heeft (of kan hebben) op de persoonsgegevens waarvoor opdrachtgever verwerkingsverantwoordelijke is en die op grond van de AVG mogelijk moet worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkene, zal opdrachtnemer opdrachtgever hierover zo spoedig mogelijk na ontdekking informeren, doch uiterlijk binnen 48 uur na ontdekking, ongeacht of op het moment van ontdekking nog onduidelijk is of de inbreuk op grond van de AVG inderdaad gemeld dient te worden en onverminderd de eigen verplichtingen van opdrachtnemer in dat geval direct zelf doeltreffende maatregelen te nemen teneinde de uit de inbreuk voortvloeiende negatieve gevolgen zo veel mogelijk ongedaan te maken en verdere negatieve gevolgen zo veel mogelijk te beperken.
  2. Opdrachtnemer houdt een gedetailleerd logboek bij van alle incidenten als bedoeld in het vorige artikel, evenals de maatregelen die in vervolg op dergelijke incidenten zijn genomen, en geeft daar op eerste verzoek van opdrachtgever inzage in.
  3. Voor zover opdrachtgever het noodzakelijk acht de betrokkenen te informeren over één of meer incidenten als bedoeld in de voorgaande artikelen zal opdrachtnemer daar alle noodzakelijke medewerking aan verlenen.
  4. Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een “Procedure Meldplicht Datalekken”. De procedure is toegevoegd als bijlage 4. Deze bijlage kan te allen tijde in overleg door partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de meldplicht datalekken of de uitleg daarvan wijzigt.
  5. Opdrachtnemer is nimmer aansprakelijk voor de op opdrachtgever rustende (correcte en/of tijdige) meldplicht in de zin van de AVG. Het is opdrachtnemer toegestaan om met de Autoriteit Persoonsgegevens in contact te treden inzake een voorgevallen incident.

Artikel 5. Geheimhouding

  1. Opdrachtnemer zal de persoonsgegevens die in het kader van de diensten worden verwerkt, evenals alle andere informatie die opdrachtnemer in het kader van de uitvoering van de onderhavige overeenkomst ter kennis komt, tegenover derden strikt geheim houden en niet openbaar maken, anders dan voor zover noodzakelijk voor het verlenen van de diensten dan wel voor zover een wettelijk voorschrift of rechterlijk bevel opdrachtnemer tot mededeling c.q. verstrekking verplicht. Tevens zal opdrachtnemer alle nodige maatregelen treffen om geheimhouding van de persoonsgegevens te garanderen. Opdrachtnemer staat er voor in en garandeert dat alle personen die handelen onder zijn gezag en/of toegang hebben tot de persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.
  2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien opdrachtgever uitdrukkelijk schriftelijk toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken, of een wettelijke verplichting bestaat om de persoonsgegevens aan een derde te verstrekken.

Artikel 6. Bewaren van persoonsgegevens

Opdrachtnemer zal de persoonsgegevens die hij verwerkt in het kader van de diensten niet langer bewaren dan noodzakelijk. Uitgangspunt daarbij is dat het bewaren van persoonsgegevens niet langer noodzakelijk is nadat het verlenen van de diensten is voltooid, tenzij de verwerker op andere gronden gehouden is de persoonsgegevens te bewaren. Opdrachtnemer zal opdrachtgever informeren wanneer hij de gegevens niettemin langer wenst te bewaren, onder vermelding van de redenen hiertoe, evenals de wettelijke grondslag voor dit bewaren.

Artikel 7. Teruggave dan wel vernietiging persoonsgegevens

  1. Indien en zodra het bewaren van persoonsgegevens zoals bedoeld in artikel 6 niet langer plaats zal vinden, zal opdrachtnemer opdrachtgever de keuze geven de verwerkte persoonsgegevens hetzij (1) (terug) te leveren c.q. over te dragen, dan wel (2) te vernietigen. Opdrachtnemer zal hangende de keuze van opdrachtgever de persoonsgegevens blijven bewaren voor rekening en risico van opdrachtgever en met dien verstande dat opdrachtgever zijn keuze binnen een periode van één maand kenbaar moet maken aan opdrachtnemer.
  2. Het (terug) leveren van persoonsgegevens als bedoeld in lid 1, zal geschieden in een algemeen aanvaard bestandsformaat. Opdrachtnemer zal opdrachtgever daarbij tevens voorzien van deugdelijke en volledige documentatie met een gedetailleerde beschrijving van de (meer specifieke) bestandsindeling waarin opdrachtnemer de gegevens aanlevert. Opdrachtnemer is gerechtigd voor het (terug) leveren de in bijlage 5 beschreven tarieven in rekening te brengen.
  3. Het vernietigen van de persoonsgegevens als bedoeld in lid 1 geschiedt zo spoedig mogelijk nadat opdrachtgever daartoe de opdracht heeft gegeven. Opdrachtnemer zal opdrachtgever desgewenst bewijs verstrekken van de vernietiging van de betreffende persoonsgegevens. Opdrachtnemer zal voor de vernietiging van persoonsgegevens geen kosten in rekening brengen.

Artikel 8. Medewerking aan verzoeken van betrokkenen

Opdrachtgever heeft op grond van de AVG verplichtingen tegenover de betrokkenen (de personen wier persoonsgegevens door de opdrachtnemer ten behoeve van opdrachtgever worden verwerkt). Die verplichtingen zien onder meer op het verstrekken van informatie, het geven van inzage in persoonsgegevens, het corrigeren van persoonsgegevens, het verwijderen van persoonsgegevens, het beperken van verwerking en overdracht van de persoonsgegevens. De verantwoordelijkheid van de nakoming van deze verplichtingen rust op opdrachtgever. Indien opdrachtnemer een verzoek of bezwaar van een betrokkene ontvangt, stuurt opdrachtnemer dat verzoek onmiddellijk door naar opdrachtgever.

Opdrachtnemer zal alle noodzakelijke medewerking verlenen aan de door opdrachtgever na te komen verplichtingen. Opdrachtnemer staat er in dat kader voor in dat hij een opdracht van opdrachtgever tot het uitvoeren van een bepaalde persoonsgegevensverwerking of tot het verschaffen van bepaalde informatie omtrent door hem uitgevoerde persoonsgegevensverwerkingen steeds binnen 3 werkdagen zal uitvoeren. Opdrachtnemer is gerechtigd voor deze werkzaamheden de in bijlage 5 beschreven tarieven in rekening te brengen.

Artikel 9. Inschakeling subverwerkers

Opdrachtnemer kan, met behoud van volledige aansprakelijkheid voor de naleving van de verplichtingen uit de onderhavige overeenkomst, de verwerking van persoonsgegevens of delen daarvan uitbesteden aan een derde, een zogenaamde subverwerker, mits:

  1. opdrachtnemer middels een overeenkomst met de subverwerker borgt dat de betreffende subverwerker zich eveneens richt naar de instructies van opdrachtgever; en
  2. opdrachtnemer middels een overeenkomst met de subverwerker borgt dat alle verplichtingen die op grond van deze overeenkomst rusten op opdrachtnemer mede komen te rusten op deze subverwerker; en
  3. opdrachtnemer opdrachtgever tijdig vooraf informeert over het inschakelen van de subverwerker en in dat kader ten minste de naam en afschrift van de met de betreffende subverwerker (reeds of bijna) gesloten overeenkomst verstrekt; en
  4. opdrachtgever heeft ingestemd met inschakeling van de subverwerker. In bijlage 2 worden de relevante gegevens over de subverwerker(s) opgenomen waarvoor opdrachtnemer toestemming heeft verleend.

Artikel 10. Controle

  1. Opdrachtgever is gerechtigd, al dan niet door een externe partij, te (laten) controleren of en zo ja in hoeverre opdrachtnemer de verplichtingen uit deze overeenkomst naleeft. Opdrachtnemer zal aan een dergelijke controle zijn volledige medewerking verlenen, waaronder uitdrukkelijk wordt verstaan het verlenen van toegang tot de locatie waarop de diensten worden verleend, het geven van inzage in de administratie met betrekking tot de diensten en al het overige dat noodzakelijk is om te kunnen controleren in hoeverre opdrachtnemer zich aan de verplichtingen uit onderhavige overeenkomst houdt.
  2. In geval van een onderzoek door de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit zal opdrachtnemer alle redelijke medewerking verlenen en opdrachtgever zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de vergoeding van de door opdrachtnemer gemaakte kosten.

Artikel 11. Aansprakelijkheid

  1. Ten aanzien van de aansprakelijkheid van opdrachtnemer onder deze overeenkomst en de in deze overeenkomst opgenomen vrijwaringsverplichtingen voor opdrachtnemer geldt onverkort de in artikel (verwijzen naar artikel dat ziet op beperking van de aansprakelijkheid en is opgenomen in de overeenkomst van opdracht met betrekking tot de dienstverlening) van de overeenkomst van opdracht opgenomen regeling inzake de beperking van aansprakelijkheid.
  2. Onverminderd het bepaalde in dit artikel, is opdrachtnemer slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de opdrachtnemer gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van opdrachtgever is gehandeld.

Artikel 12. Vrijwaring

Opdrachtgever is aansprakelijk voor de verwerking van persoonsgegevens in het kader van deze overeenkomst. Opdrachtgever garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met de geldende wet- en regelgeving. Opdrachtgever vrijwaart opdrachtnemer tegen alle aanspraken van derden, waaronder de toezichthouder(s), welke voortvloeien uit het niet naleven van deze garantie.

Artikel 13. Duur van de overeenkomst

De duur van deze overeenkomst is gelijk aan de duur van de overeenkomst(en) met betrekking tot de diensten, met dien verstande dat de duur van de onderhavige overeenkomst naar rato wordt verlengd zolang het terug leveren dan wel vernietigen van gegevens overeenkomstig artikel 7 nog niet is voltooid.

Artikel 14. Wijzigingen en aanvullingen op de overeenkomst

In geval van wijzigingen in de diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de persoonsgegevens zullen partijen in overleg treden over de eventueel benodigde wijziging van de verwerkersovereenkomst. Eventuele aanvullingen of wijzigingen op deze overeenkomst zijn alleen geldig voor zover ze schriftelijk (waaronder per e-mail) zijn vastgelegd. Mondelinge mededelingen, toezeggingen of afspraken zullen schriftelijk (dan wel per e-mail) worden bevestigd.

Wijzigingen in de bijlagen kunnen door partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

 Artikel 15. Wijziging overeenkomst bij gewijzigde omstandigheden

Indien een wijziging in de verwerkte persoonsgegevens of een wijziging in de betrouwbaarheidseisen opdrachtgever aanleiding geeft deze overeenkomst (waaronder de bijlagen) te wijzigen en opdrachtnemer niet bereid is op redelijke voorwaarden met die wijziging in te stemmen c.q. te kennen geeft deze (gewijzigde) diensten niet te kunnen verrichten, is opdrachtgever gerechtigd deze overeenkomst en de bijbehorende overeenkomst met betrekking tot de diensten met onmiddellijke ingang op te zeggen.

Artikel 16. Gevolgen van het beëindigen van de overeenkomst

  1. Artikel 7 is van overeenkomstige toepassing bij het, op welke grond dan ook, eindigen van de overeenkomst. Artikel 5 en artikel 19 blijven ook na het beëindigen van de overeenkomst van kracht.
  2. Opdrachtnemer zal bij beëindiging van de overeenkomst op verzoek van opdrachtgever en tegen vergoeding van de redelijke kosten de persoonsgegevens in een gangbaar formaat ter beschikking stellen aan opdrachtgever of aan een door opdrachtgever aangewezen derde.
  3. Opdrachtnemer zal na overdracht van de persoonsgegevens aan opdrachtgever de nog aanwezige persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Opdrachtnemer zal tevens zorgdragen voor vernietiging van de persoonsgegevens bij de subverwerkers.

Artikel 17. Rangorde

Voor zover enige bepaling van deze overeenkomst en/of de daarbij horende bijlagen in strijd is met hetgeen in de overeenkomst(en) met betrekking tot de diensten is bepaald, prevaleert hetgeen in de onderhavige overeenkomst c.q. de bijlagen is bepaald.

Artikel 18. Leesbaarheid

Omwille van de leesbaarheid is steeds “hij, hem of zijn” gebruikt in de tekst. Uiteraard kan hiervoor ook “zij of haar” worden gelezen.

Artikel 19. Toepasselijk recht en bevoegde rechter

Op deze overeenkomst is Nederlands recht uitsluitend van toepassing. Behoudens voor zover de overeenkomst(en) met betrekking tot de diensten een exclusief bevoegde rechter aanwijzen, is de rechter gevestigd in het arrondissement waar opdrachtnemer woonplaats heeft exclusief bevoegd.

 Overzicht bijlagen:

  1. Beschrijving diensten
  2. Overzicht van categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt en subverwerkers
  3. Beschrijving beveiliging
  4. Procedure Meldplicht Datalekken
  5. Beschrijving tarieven

Bijlage 1 bij verwerkersovereenkomst: Beschrijving diensten

Deze verwerkersovereenkomst heeft betrekking op de volgende door opdrachtnemer te verrichten diensten:

  • Financiële administratie
  • Salarisadministratie
  • Fiscale aangiftes
  • Deponering kamer van koophandel
  • Overige financiële en fiscale diensten

De specifieke diensten die betrekking hebben op de opdrachtgever zijn opgenomen in de individuele klantovereenkomst.

Bijlage 2 bij verwerkersovereenkomst: Overzicht van categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt en subverwerkers

A. Categorieën betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:

  • medewerkers van opdrachtgever
  • klanten van opdrachtgever
  • leveranciers van opdrachtgever

B. Soort persoonsgegevens

De Persoonsgegevens die door opdrachtnemer worden verwerkt zijn in ieder geval:

  • (Bedrijfs)Naam
  • KvK-nummer
  • NAW-gegevens
  • E-mailadres
  • Geslacht
  • Burgerlijke staat
  • Telefoonnummer
  • BSN
  • Geboortedatum
  • Profielfoto
  • IP-adres
  • Factuurgegevens
  • Financiële bedrijfsdata in de ruimste zin van het woord
  • Financiële privé data in de ruimste zin van het woord
  • Salarisgegevens in de ruimste zin van het woord
  • alle overige persoonsgegevens voor zover die door opdrachtgever in de software betrokken in de opdracht zijn opgeslagen.

Daarnaast is het mogelijk dat medewerkers van verwerker in contact komen met bijzondere persoonsgegevens voor zover die door opdrachtgever in de software zijn opgeslagen of op een andere manier worden gedeeld door opdrachtgever.

C. Aard en doel van de verwerking

De aard van de verwerking is het verzorgen van belastingaangiftes en voldoen aan overige wettelijke verplichtingen voor opdrachtgever alsmede het bieden van (financieel) inzicht aan opdrachtgever.

De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt:

  • verwerking financiële administratie voor opdrachtgever
  • verzorgen van belastingaangiftes voor opdrachtgever
  • voldoen aan overige wettelijke verplichtingen van opdrachtgever
  • salarisverwerking voor opdrachtgever

D. Verwerking buiten de EER

De persoonsgegevens worden binnen de EER verwerkt.

E. Gegevens subverwerkers

Verwerker maakt voor de Diensten gebruik van de volgende subverwerkers:

  • Reeleezee
  • Yuki
  • NMBRS
  • Fiscaal Gemak (Unit 4)
  • KBP aangiftesoftware
  • Google (mail en drive)
  • Dropbox
  • Enormail
  • Mailchimp

Bijlage 3 bij verwerkersovereenkomst: Beschrijving beveiliging

A. Beveiligingsniveau

Opdrachtnemer maakt gebruik van softwarediensten beschreven in bijlage 2, alle gegevens worden in deze beveiligde omgevingen opgeslagen. Gegevens worden nooit op lokale hardware van opdrachtnemer opgeslagen.

B. Maatregelen van opdrachtnemer om te zorgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens:

  • In de aanmeldpagina’s van de SAAS diensten is ‘brute force protection’ ingebouwd, zodat wachtwoorden niet oneindig geprobeerd kunnen worden.
  • Alleen ‘sterke’ wachtwoorden zijn toegestaan (minimaal 8 karakters, minimaal 1 cijfer, minimaal 1 hoofdletter).
  • Alle wachtwoorden worden versleuteld opgeslagen. Medewerkers van opdrachtnemer kunnen geen wachtwoorden van gebruikers achterhalen.
  • Medewerkers van opdrachtnemer zijn contractueel gebonden aan geheimhouding van al datgene wat zij gedurende hun werkzaamheden kennis van kunnen nemen.
  • Opdrachtnemer draagt er zorg voor dat alleen medewerkers die betrokken zijn bij een specifieke opdracht voor opdrachtgever de gegevens kunnen benaderen. De inlog van de software is alleen bekend bij betrokkenen bij de opdracht en kan niet door andere medewerkers van opdrachtnemer worden achterhaald.

Bijlage 4 bij verwerkersovereenkomst: procedure meldplicht datalekken

Tussen partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

  1. Opdrachtnemer registreert alle beveiligingsincidenten. Onder beveiligingsincident wordt verstaan een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
  1. In geval van een beveiligingsincident informeert opdrachtnemer opdrachtgever zonder onredelijke vertraging, doch uiterlijk binnen 48 uur, en zal de relevante informatie over het incident melden aan de hand van de hieronder opgenomen vragenlijst.
  1. Opdrachtgever zal beoordelen of een melding verricht dient te worden bij de Autoriteit Persoonsgegevens. Opdrachtgever zal daarbij in overleg treden met opdrachtnemer.
  1. Voordat opdrachtgever de melding bij de AP verricht zal opdrachtgever de inhoud van de melding met opdrachtnemer bespreken.
  1. Indien opdrachtgever oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal opdrachtgever de inhoud van die informatie met opdrachtnemer bespreken.

 Vragenlijst Beveiligingsincident – bij de Procedure Meldplicht Datalekken

Opdrachtnemer zal bij een Beveiligingsincident de volgende vragen beantwoorden:

  • Geef een samenvatting van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest. Vermeld daarbij de fysieke locatie waar de inbreuk plaatsvond en de opslagmedia waarop de inbreuk betrekking heeft

……………………………………………………………………………………………………………………….

 

  • De persoonsgegevens van hoeveel personen zijn getroffen door de inbreuk?

 ……………………………………………………………………………………………………………………….

(geef een minimum en maximum aantal aan)

  • Omschrijf de groep personen van wie persoonsgegevens zijn betrokken bij de inbreuk.

 ……………………………………………………………………………………………………………………….

Is er sprake van één van deze specifieke groepen personen (omcirkel het antwoord):

Ouderen: JA / NEE

Kinderen: JA / NEE

Zieken of mensen met een verstandelijke beperking: JA / NEE

  • Datum en tijdstip van het incident:

……………………………………………………………………………………………………………………….

(kan een vast tijdstip zijn of een periode, als dit niet bekend is “onbekend” invullen)

  • Wanneer is het beveiligingsincident ontdekt?

……………………………………………………………………………………………………………………….

  • Wat is de aard van de inbreuk? Omcirkel de antwoorden en vul in waar nodig

Kan een onbevoegde de gegevens lezen: JA / NEE

Kunnen/zijn de gegevens (worden) gekopieerd door een onbevoegde: JA / NEE

Kunnen/zijn de (bron)gegevens (worden) gewijzigd (bijv. hack in het systeem): JA / NEE

Kunnen/zijn de (bron)gegevens (worden) verwijderd of vernietigd (bijv. ransom ware of brand datacenter): JA / NEE

Zijn de gegevens gestolen: JA / NEE

Overig: ……………………………………………………………………………………………………………

(invullen, of als de aard niet bekend is: “onbekend” invullen)

  • Om welk type gegevens gaat het? Omcirkel de antwoorden en vul in waar nodig:

Naam-, adres- en woonplaatsgegevens: JA / NEE

Telefoonnummer: JA / NEE

E-mailadres of andere adres voor elektronische communicatie: JA / NEE

Inloggegevens (gebruikersnaam/wachtwoord, klantnummer of ander identificatienummer): JA / NEE, zo ja; welke gegevens zijn het: ………………………………………………………………………(invullen)

Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer): JA / NEE

Burgerservicenummer (BSN) of sofinummer: JA / NEE

Paspoortkopieën of kopieën van andere legitimatiebewijzen: JA / NEE

Geslacht: JA / NEE

Geboortedatum en/of leeftijd: JA / NEE

(Pas)foto: JA / NEE

Geboorteland: JA / NEE

Gegevens over iemands godsdienst of levensovertuiging: JA / NEE

Gegevens over iemands ras: JA / NEE

Gegevens over iemands politieke gezindheid: JA / NEE

Medische gegevens (waaronder ook medicijnen of medische hulpmiddelen): JA / NEE

Biometrische gegevens (bijv. vingerafdruk, DNA): JA / NEE,

zo ja; welke gegevens zijn het: ……………………………………………………………………… (invullen)

Gegevens over schulden/kredieten: JA / NEE

Inkomensgegevens: JA / NEE

Gegevens over iemands betalingsverkeer: JA / NEE

Gegevens over wettelijke vertegenwoordiging (bewindvoerder/mentor): JA / NEE

Verslavingsgegevens: JA / NEE

School/werkprestaties: JA / NEE

Gegevens over relationele problemen: JA / NEE

Gegevens over (vermoeden van) mishandeling: JA / NEE

Religie: JA / NEE

Strafrechtelijke gegevens (ook bijv. straatverboden): JA / NEE

Politieke overtuiging: JA / NEE

Vakbondslidmaatschap: JA / NEE

Seksuele voorkeur/geaardheid: JA / NEE

Overige gegevens: ……………………………………………………………………………………. (invullen)

  • Welke gevolgen kan de inbreuk hebben voor de getroffen personen? Omcirkel de antwoorden en vul in waar nodig:

 Stigmatisering of uitsluiting: JA / NEE

Schade aan de gezondheid: JA / NEE

Kans op identiteitsfraude: JA / NEE

Kans op financiële schade (bijv. fraude met creditcardgegevens): JA / NEE

Blootstelling aan spam of phishing: JA / NEE

Andere gevolgen, namelijk: …………………………………………………………………………… (invullen)

 Omschrijf welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

 ……………………………………………………………………………………………………………………….

 Zijn de gelekte persoonsgegevens beveiligd? Omcirkel de antwoorden en vul in waar nodig:

 Zijn de gegevens versleuteld: JA /NEE,

zo ja; welke versleuteling: ……………………………………………………………………………. (invullen)

geldt deze versleuteling voor alle persoonsgegevens of voor een deel? Indien voor een deel, voor welk deel: ………………………………………………………………………………………….…… (invullen)

Zijn de gegevens gehasht: JA /NEE,

zo ja; op welke wijze: …………………………………………………………………………………. (invullen)

Kunnen de gegevens vanaf afstand worden gewist: JA /NEE,

zo ja; is dat gebeurd en wanneer is dat gebeurd: ……………………………………………….… (invullen)

Zijn de gegevens op een andere manier onbegrijpelijk of ontoegankelijk gemaakt: JA /NEE,

zo ja; op welke manier: ………………………………………………………………………………. (invullen)

  • Zijn er persoonsgegevens van personen in andere EU-landen getroffen door het beveiligingsincident? Zo ja, welke uit welke landen:

 ……………………………………………………………………………………………………………………….

 Bijlage 5 bij verwerkersovereenkomst: Beschrijving tarieven

Voor het verlenen van medewerking aan inzageverzoeken en voor het terug leveren van persoonsgegevens wordt door opdrachtnemer een tarief in rekening gebracht op basis van nacalculatie voor zover deze diensten niet zijn opgenomen in de overeengekomen tarieven.

 

Vragen en feedback

We controleren regelmatig of we aan dit privacybeleid voldoen. Als je vragen hebt over dit privacybeleid, neem dan gerust contact met ons opnemen.