Verwerkersovereenkomst

Begrippen die in deze VO met een hoofdletter worden geschreven en niet hieronder gedefinieerd zijn, hebben de betekenis die daaraan in de AVG is gegeven.

Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Hoofdovereenkomst en uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. Het aanvaarden van deze VO en het gebruik van de Dienst gelden als algemene instructie.

Deze VO geldt voor de duur van de Hoofdovereenkomst en eindigt automatisch zodra de Hoofdovereenkomst is geëindigd, onverminderd de bepalingen die naar hun aard ook na beëindiging blijven gelden.

De verwerking vindt plaats met als doel: het synchroniseren van financiële, CRM- en abonnementsgegevens vanuit het Exact Online-account van Verwerkingsverantwoordelijke naar de Dienst, het beveiligd opslaan en presenteren van die gegevens, en het berekenen en visualiseren van SaaS KPI’s en andere financiële inzichten ten behoeve van Verwerkingsverantwoordelijke.

Verwerker zal de Persoonsgegevens niet voor andere doeleinden gebruiken, behoudens voor zover dit nodig is voor het beheer en de beveiliging van de Dienst zelf, of voor zover een wettelijke verplichting daartoe verplicht.

In het kader van de Dienst verwerkt Verwerker met name de volgende categorieën Persoonsgegevens van de volgende categorieën betrokkenen.

Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

Verwerker zal Verwerkingsverantwoordelijke onmiddellijk informeren indien naar haar oordeel een instructie inbreuk maakt op de AVG of andere toepasselijke wetgeving.

Verwerker zorgt ervoor dat personen die zijn gemachtigd om Persoonsgegevens te verwerken een geheimhoudingsplicht hebben.

Verwerker treft passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies, vernietiging, beschadiging en ongeoorloofde of onrechtmatige verwerking, conform artikel 32 AVG.

Hieronder vallen in elk geval:

Verwerkingsverantwoordelijke geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers voor de levering van de Dienst.

Op het moment van inwerkingtreding van deze VO maakt Verwerker gebruik van de volgende sub-verwerkers:

Verwerker verwerkt en bewaart Persoonsgegevens uitsluitend binnen de Europese Economische Ruimte. Doorgifte buiten de EER vindt niet plaats, tenzij Verwerkingsverantwoordelijke daar uitdrukkelijk schriftelijk mee instemt en partijen passende waarborgen treffen overeenkomstig hoofdstuk V AVG (zoals de actuele Standard Contractual Clauses van de Europese Commissie).

Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in elk geval binnen vierentwintig (24) uur na ontdekking, over een Inbreuk in verband met persoonsgegevens die de door haar voor Verwerkingsverantwoordelijke verwerkte Persoonsgegevens raakt.

De melding bevat ten minste, voor zover bekend: de aard van de inbreuk, de getroffen categorieën en aantallen betrokkenen, de waarschijnlijke gevolgen, de getroffen maatregelen en de contactgegevens van een aanspreekpunt bij Verwerker.

Verwerker verleent Verwerkingsverantwoordelijke redelijke medewerking om te kunnen voldoen aan haar verplichtingen onder artikel 33 en 34 AVG. De meldplicht aan de Autoriteit Persoonsgegevens en aan betrokkenen rust uitsluitend bij Verwerkingsverantwoordelijke.

Verwerker verleent Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en passend bij de aard van de verwerking, de medewerking die nodig is om te voldoen aan verzoeken van betrokkenen tot inzage, rectificatie, verwijdering, beperking, dataportabiliteit of bezwaar als bedoeld in hoofdstuk III AVG.

Verzoeken van betrokkenen die rechtstreeks bij Verwerker binnenkomen, worden zonder inhoudelijke behandeling doorgestuurd naar Verwerkingsverantwoordelijke.

Verwerker stelt Verwerkingsverantwoordelijke desgevraagd alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze VO en uit artikel 28 AVG worden nagekomen.

Verwerkingsverantwoordelijke heeft het recht maximaal eenmaal per kalenderjaar, op eigen kosten en op basis van een onafhankelijke gecertificeerde auditor, een audit te laten uitvoeren. De audit wordt ten minste dertig (30) dagen van tevoren schriftelijk aangekondigd, vindt plaats tijdens kantooruren en mag de bedrijfsvoering of vertrouwelijkheid van andere klanten van Verwerker niet onredelijk verstoren.

Verwerker mag in plaats van een audit volstaan met het verstrekken van een actueel onafhankelijk auditrapport (bijvoorbeeld ISO 27001 of vergelijkbaar) van haar relevante sub-verwerkers, voor zover dat de relevante punten dekt.

Bij beëindiging van de Hoofdovereenkomst stelt Verwerker Verwerkingsverantwoordelijke in staat de Persoonsgegevens binnen een termijn van dertig (30) dagen te exporteren in een gangbaar elektronisch formaat.

Na afloop van die termijn verwijdert Verwerker de Persoonsgegevens uit haar productie- en back-up-omgevingen, tenzij wet- of regelgeving langere bewaring vereist. Verwerker bevestigt de verwijdering op verzoek schriftelijk aan Verwerkingsverantwoordelijke.

De aansprakelijkheid van Verwerker uit hoofde van of in verband met deze VO is beperkt overeenkomstig de aansprakelijkheidsregeling in de Hoofdovereenkomst, voor zover dwingend recht zich daartegen niet verzet. Bestuurlijke boetes die rechtstreeks aan een van partijen worden opgelegd, komen voor rekening van de partij aan wie de boete is opgelegd.

Bij strijd tussen deze VO en de Hoofdovereenkomst prevaleert deze VO voor zover het de verwerking van Persoonsgegevens betreft.

Op deze VO is uitsluitend Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter overeenkomstig de Hoofdovereenkomst.