Verwerkingsovereenkomst
Deze verwerkersovereenkomst is van toepassing op alle opdrachtgevers (“Verantwoordelijken”) die gebruikmaken van de diensten van:
(a) “Kaminada Fiscal Y Contable SL”, gevestigd aan Ctr. del Cap de la Nau 135, te Javea, Spanje, en geregistreerd onder CIF-nummer B70931993;
(b) “Kaminada B.V.”, gevestigd aan Dr. Lelykade 44K, te Scheveningen, Nederland, en geregistreerd onder KvK-nummer 88043479;
(c) “Kaminada Gestao e Fiscalidade unipessoal LDA”, gevestigd aan Avenida Conde de Oeiras 13ª, te Amadora, Portugal en geregistreerd onder NIF-nummer PT518205282;
en vertegenwoordigd door haar vennoot, de heer J. de Haas da Cruz (hierna: “Kaminada” of “Verwerker”).
Door het aangaan van een opdracht voor dienstverlening met Kaminada, gaat de Verantwoordelijke akkoord met de bepalingen van deze verwerkersovereenkomst. Deze overeenkomst vormt een integraal onderdeel van de overeenkomst van opdracht tussen Kaminada en de Verantwoordelijke en is van toepassing zolang Kaminada persoonsgegevens verwerkt ten behoeve van de Verantwoordelijke in het kader van die opdracht.
De overeenkomst is opgesteld conform de vereisten van de Algemene Verordening Gegevensbescherming (AVG), en sluit aan bij aanvullende nationale bepalingen in Nederland, Spanje en Portugal.
Overwegingen:
- Kaminada is met u de opdracht aangegaan vanwege het verrichten van de volgende diensten door Kaminada: het verzamelen, het verwerken, het rubriceren en het samenvatten van financiële gegevens (het voeren van een boekhouding) alsmede de indiening van de aangifte omzetbelasting en verzorgen van de afhandeling van verzoek- en bezwaarschriften betreffende fiscale aangelegenheden (de “Opdracht”). Kaminada Verwerkt daarbij de Persoonsgegevens die vermeld staan in de bijlage die bij deze overeenkomst hoort.
- Kaminada is – vanwege het uitvoeren van deze Opdracht én met betrekking tot de Persoonsgegevens die Kaminada hierbij zal Verwerken – aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze overeenkomst leggen partijen de wederzijdse rechten en verplichtingen vast.
Partijen komen het volgende overeen:
- Definities
In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgevingen op het gebied van privacy, de wet AVG.
Betrokkene: | Degene op wie een Persoonsgegeven betrekking heeft.
|
Verwerker: | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
|
Sub-verwerker: | Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten. Een sub-verwerker werkt onder toezicht van de Verwerker.
|
Verwerkingsverantwoordelijke: | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
|
Bijzondere Persoonsgegevens: | Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
|
Datalek/inbreuk persoonsgegevens: | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging. Het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
|
Derden: | Anderen dan U en Kaminada en Haar Medewerkers.
|
Meldplicht Datalekken: | De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
|
Medewerkers: | Personen die werkzaam zijn bij U of bij Kaminada, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
|
Opdracht: | De opdracht zoals hierboven bedoeld in de overwegingen onder A.
|
Overeenkomst: | Deze verwerkersovereenkomst.
|
Persoonsgegevens: | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificateur zoals een naam, een identificatienummer, locatiegegevens, een online identificateur of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
|
Persoonsgegevens van gevoelige aard: | Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer} stigmatisering of uitsluiting van betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits-) fraude. Tot deze categorieën van persoonsgegevens behoren, maar zijn niet beperkt tot: – Bijzondere persoonsgegevens – Gegevens over de financiële of economische situatie van de Betrokkene – {Andere} gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene – Gebruikersnamen, wachtwoorden en andere inloggegevens – Gegevens die kunnen worden misbruikt voor (identiteit)fraude
|
Verwerken/Verwerking: | Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of Vernietigen van gegevens.
|
AVG: | Algemene Verordening Gegevensbescherming, een regelgeving van de Europese Unie, inclusief de uitvoeringswet van deze verordening, De AVG vervangt de Wbp per 25 mei 2018.
|
- Toepasselijkheid en looptijd
2.1 Deze overeenkomst is van toepassing op iedere Verwerking die door Kaminada als
Verwerker wordt gedaan op basis van de Opdracht, gegeven door U als Verantwoordelijke.
2.2 Deze overeenkomst treedt in werking op de datum waarop de Opdracht van kracht wordt en eindigt op het moment dat Kaminada geen Persoonsgegevens meer onder haar heeft die Kaminada in het kader van de Opdracht voor u verwerkt. Het is niet mogelijk om deze overeenkomst tussentijds op te zeggen met inachtneming van een opzegtermijn van drie kalendermaanden. Opzegging dient schriftelijk te gebeuren.
2.3 Artikel 6 en 7 van deze overeenkomst blijven gelden, ook nadat de overeenkomst (of de Opdracht) is geëindigd.
- Verwerking
3.1 Kaminada Verwerkt de Persoonsgegevens uitsluitend op de manier die Kaminada met u heeft afgesproken in de Opdracht. Dit Verwerken doet Kaminada niet langer al ‘uitgebreider dan noodzakelijk is voor de uitvoering van deze Opdracht. De Verwerking vindt plaats volgens Uw schriftelijke instructies, tenzij Kaminada op grond van de wet— of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet Worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme. Indien een instructie, naar de mening van Kaminada, een inbreuk maakt op de AVG stelt zij U daarvan onmiddellijk in kennis.
3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. Kaminada heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden, U moet ervoor zorgen dat U het doelen de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De Verantwoordelijke en de Verwerker stemmen, voor zover wettelijk vereist, bewaartermijnen per categorie persoonsgegevens schriftelijk af of leggen deze vast in een intern beleid, beschikbaar voor controle. De zeggenschap over de Persoonsgegevens berust nooit bij Kaminada. Als Kaminada een zelfstandige verplichting mocht hebben op basis van wet- en regelgeving met betrekking tot Verwerking van Persoonsgegevens, dan leeft Kaminada deze verplichtingen na.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens, Kaminada zorgt ervoor dat zij voldoet aan de op haar als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die Kaminada heeft gemaakt in deze overeenkomst.
3.4 Kaminada zorgt ervoor dat alleen haar Medewerkers toegang heeft tot de
Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Kaminada beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Kaminada zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 Onder haar verantwoordelijkheid kan Kaminada andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover Kaminada niet beschikt. Als het inschakelen van Sub-verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zal Kaminada die Sub-verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen.. Voor het inschakelen van overige Sub-Verwerkers vraagt Kaminada eerst om Uw toestemming. In dit toestemmingsformulier worden de namen, locaties en aard(en) van de samenwerking van de Sub-Verwerkers benoemd. U kunt toestemming weigeren maar dit kan in sommige gevallen betekenen dat Kaminada de Opdracht moeten beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan Kaminada.
3.6 Voor zover mogelijk verleent Kaminada U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen afte handelen. Als Kaminada (rechtstreeks) verzoeken ontvangen van Betrokkenen om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zendt Kaminada deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Kaminada U natuurlijk behulpzaam kan zijn als Kaminada Administraties in het kader van de Opdracht toegang hebben tot deze Persoonsgegevens. Voor ondersteuning bij het afhandelen van verzoeken van betrokkenen kunnen redelijke kosten in rekening worden gebracht, mits sprake is van een kennelijk ongegrond of buitensporig verzoek
3.7 Kaminada zal geen Persoonsgegevens verwerken buiten de Europese Economische Ruimte (EER), tenzij daartoe een geldige wettelijke grondslag bestaat conform de Wet AVG. Deze afspraken leggen partijen schriftelijk vast, of per e-mail.
3.8 Verzoeken van bevoegde autoriteiten worden behandeld conform de procedures opgenomen in het Privacy Statement van Kaminada.
3.9 Op verzoek van de Verantwoordelijke biedt Kaminada de mogelijkheid tot inspectie of audit bij Sub-Verwerkers voor zover redelijk en noodzakelijk, met inachtneming van de contractuele verplichtingen van die Sub-Verwerker en tegen vergoeding van de kosten.
- Beveiligingsmaatregelen
4.1 Kaminada heeft de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Kaminada heeft genomen en bent van mening dat deze maatregelen een beveiligingsniveau heeft dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 Kaminada informeert U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 Kaminada biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Kaminada de beveiligingsmaatregelen naleeft wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Kaminada doen, Kaminada zal hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening U stelt aan Kaminada een kopie van het inspectierapport ter beschikking.
- Datalekken
5.1 Als er sprake is van een Datalek dan stelt Kaminada U daarvan op de hoogte Kaminada streeft ernaar dit te doen binnen 72 uur nadat Kaminada dit Datalek heeft ontdekt, of zo snel mogelijk nadat Kaminada daarover door haar Sub Verwerkers is geïnformeerd.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Meldingen van datalekken verlopen conform het interne datalekbeleid zoals uiteengezet in het Privacy Statement van Kaminada.
- Geheimhoudingsplicht
6.1 Partijen verplichten zich tot geheimhouding overeenkomstig de bepalingen opgenomen in de Algemene Voorwaarden van Kaminada en de geldende beroepsregels.
- Aansprakelijkheid
7.1 U staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 De aansprakelijkheid van Verwerker is beperkt tot het bedrag waarvoor zij verzekerd is, tenzij sprake is van opzet of grove nalatigheid, conform artikel 82 van de Wet AVG. De Verantwoordelijke vrijwaart de Verwerker uitsluitend voor schade die rechtstreeks voortvloeit uit het niet naleven van diens eigen verplichtingen onder de AVG. U vrijwaart Kaminada ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Kaminada in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Kaminada worden opgelegd ten gevolge van Uw handelen.
7.3 De in de Opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Kaminada is van kracht op de verplichtingen zoals opgenomen in deze overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze overeenkomst er/of de Opdracht nimmer tot overschrijding van de beperking kan leiden.
- Overdraagbaarheid Overeenkomst
8.1 Het is voor U en Kaminada, behalve als partijen gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
- Beëindiging en teruggave/vernietiging Persoonsgegevens
9.1 Als de Opdracht wordt beëindigd dan zal Kaminada de door U aan
Kaminada verstrekte Persoonsgegevens aan U terug overdragen of – als U Kaminada daarom verzoekt – vernietigen. Kaminada zal uitsluitend een kopie van de Persoonsgegevens bewaren als Kaminada hiertoe op grond van wet- of regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens Als U daarom vraagt dan geeft Kaminada U vooraf een kosteninschatting.
- Aanvullingen en wijzigingen Overeenkomst
10.1 Wijzigingen geschieden overeenkomstig de Algemene Voorwaarden.
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of Uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen ofte wijzigen. Indien dit leidt tot significante aanpassingen in de Opdracht, of wanneer Kaminada niet kan voorzien in een passend niveau van bescherming, kan dit voor Kaminada reden zijn om de Opdracht te beëindigen.
- Slotbepalingen
11.1 Op Uw verzoek stelt Kaminada U alle informatie ter beschikking die nodig is om de nakoming van de in deze overeenkomst neergelegde verplichtingen aan te tonen Kaminada maakt audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen eraan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij onze Sub bewerkers zijn voor Uw rekening.
11.2 Samenwerking met toezichthoudende autoriteiten vindt plaats overeenkomstig de AVG en het interne privacybeleid.
11.3 Deze overeenkomst wordt beheerst door het recht van de lidstaat waarin de Verantwoordelijke gevestigd is, met erkenning van toepasselijk dwingend EU-recht.
11.4 Voor verzoeken van betrokkenen in Spanje of Portugal voorziet Kaminada in lokale contactpersonen die communiceren in de respectieve landstaal.
