BIJLAGE VERWERKERSOVEREENKOMST.
Wanneer u gebruik maakt van SRS Beveiliging, legt u diverse gegevens vast van u, uw klanten, leveranciers en anderen. Het gaat hierbij om persoonsgegevens, zoals namen, adressen, telefoonnummers, emailadressen en rekeningnummers. In de Algemene Verordening Gegevensbescherming (hierna; AVG) wordt u aangemerkt als verwerkingsverantwoordelijke voor de verwerking van die persoonsgegevens. Wij worden soms aangemerkt als verwerker, omdat wij de persoonsgegevens verwerken in ons systeem namens de verwerkingsverantwoordelijke.
In deze overeenkomst leest u wat onze taken zijn als verwerker tegenover de verwerkingsverantwoordelijke.
1. WAT BETEKENEN DE JURIDISCHE TERMEN?
U treft veel juridische termen aan in deze verwerkersovereenkomst. Voor de leesbaarheid leggen wij hier eerst uit wat deze termen betekenen.
ADMINISTRATIE:
PERSOONSGEGEVENS: alle gegevens die zijn opgenomen in de administratie en die informatie geven over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Denk hierbij aan een naam, (e-mail)adres of telefoonnummer.
BETROKKENE: de persoon op wie persoonsgegevens betrekking hebben, of zijn vertegenwoordiger. Dit kan zijn de klant, de leverancier of anderen waarvan gegevens zijn opgeslagen.
VERWERKINGSVERANTWOORDELIJKE: de persoon of organisatie die het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Deze beslist ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt.
VERWERKER: de persoon of organisatie die door de verwerkingsverantwoordelijke is ingeschakeld om persoonsgegevens te verwerken.
SUB-VERWERKERS: de persoon of organisatie die namens de verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke. Dit is vaak het geval wanneer verwerkers andere partijen inschakelen voor de uitvoering van de verwerking.
Verwerkersovereenkomst: De overeenkomst die de verwerkingsverantwoordelijke met de verwerker afsluit. Hierin worden afspraken vastgelegd over het verwerken van persoonsgegevens.
2. WIE ZIJN DE PARTIJEN?
Als u in de verwerkersovereenkomst ‘u of uw’ leest, dan hebben wij het over u als klant. Leest u
‘’SRS, wij of ons onze’, dan bedoelen wij SRS Beveiliging, gevestigd op Zuiderweg 53a, 1461 GD, in Zuidoostbeemster. Wij zijn ingeschreven bij de Kamer of Koophandel onder nummer 70477434.
3. WANNEER GELDT DEZE VERWERKERSOVEREENKOMST?
De verwerkersovereenkomst komt tot stand op het moment dat u akkoord gaat met onze algemene voorwaarden. Deze verwerkersovereenkomst is een onderdeel van de overeenkomst die wij met elkaar aangaan zodra u gebruikmaakt van één van de SRS diensten en/of producten. Op het moment dat u geen gebruik meer maakt van onze diensten of producten, zal de overeenkomst beëindigd worden en daarmee ook de verwerkersovereenkomst conform artikel 17.
4. WELKE PERSOONSGEGEVENS VERWERKEN WIJ EN MET WELKE DOELEN DOEN WIJ DAT?
Als verwerkingsverantwoordelijke verwerkt u persoonsgegevens via SRS. Wij verwerken deze persoonsgegevens alleen in opdracht van u. Als wij het over persoonsgegevens in uw administratie hebben, gaat het om de volgende groepen betrokkenen:
· Debiteuren (afnemers/klanten)
· Crediteuren (leveranciers)
· Medewerkers
· Ingehuurde externe medewerkers
Van deze betrokkenen worden zover nodig de volgende gegevens verwerkt:
· Contactgegevens (naam, adres, woonplaats, e-mail, telefoon, BTW- en KVK-nummers)
· Bankgegevens (gevoelig)
· Factuurgegevens (gevoelig)
· Declaratiegegevens (gevoelig)
Het doel van het verwerken van uw persoonsgegevens is dat u voldoet aan de wettelijke verplichting van het bijhouden van een financiële administratie.
5. AAN WELKE REGELS HOUDEN WIJ ONS?
Bij het verwerken van persoonsgegevens houden wij ons aan de wet. Wij zullen de persoonsgegevens beschermen en verwerken op een veilige, zorgvuldige en transparante manier, zoals de wet dat voorschrijft. Op basis van uw instructie verwerken wij hierbij alleen de persoonsgegevens van u, opdrachtgevers, leveranciers, medewerkers en overige belanghebbenden van u. Het gaat hierbij om persoonsgegevens zoals aangegeven in artikel 4.
Wij zorgen voor integere verwerking en geheimhouding door onze medewerkers of diegenen die werkzaamheden voor ons uitvoeren, zoals de sub-verwerkers en derden. Als wij de persoonsgegevens voor een ander doel willen verwerken, dan vragen wij hiervoor vooraf om toestemming aan u, tenzij wij daartoe Unierechtelijk of lidstaatrechtelijk aangehouden zijn.
Als het gaat om verwerking van persoonsgegevens, zullen wij u direct in kennis stellen zodra een instructie van u een inbreuk oplevert op de AVG en/of andere toepasselijke wet- en regelgeving. Wij zullen de persoonsgegevens niet voor eigen doel gebruiken of bewaren.
6. MET WIE DELEN WIJ PERSOONSGEGEVENS?
Wij maken zonder uw toestemming geen gebruik van de diensten van andere organisaties. Wel maken wij voor het leveren van onze onlinedienstverlening gebruik van sub verwerkers. Dit zijn personen of organisaties die in opdracht van ons persoonsgegevens verwerken vanuit SRS.
Wij informeren u vooraf, en waar mogelijk in ieder geval één maand voorafgaand, bij veranderingen zoals het toevoegen van nieuwe sub verwerkers of de vervanging daarvan. Mocht u het niet eens zijn met de verandering, dan heeft u het recht om de overeenkomst per direct te beëindigen.
Wij zien erop toe dat de sub verwerkers dezelfde mate van bescherming van persoonsgegevens bieden, die wij verlangen op grond van deze verwerkersovereenkomst. Het gaat dan met name over de verplichting tot het toepassen van passende technische en organisatorische maatregelen voor het beveiligen van persoonsgegevens volgens deze verwerkersovereenkomst en het tijdig melden van incidenten.
7. WAAR WORDEN PERSOONSGEGEVENS OPGESLAGEN?
Wij streven ernaar om de verwerking van persoonsgegevens binnen de Europese Economische Ruimte te laten plaatsvinden, bij voorkeur in Nederland. Bij de sub verwerkers toetsen wij waar de gegevensverwerking plaatsvindt. Wij behouden ons het recht voor om de verwerking van persoonsgegevens buiten de Europese Economische Ruimte te laten plaatsvinden. Aanvullend op het voorgaande artikel zullen wij in dat geval zorgdragen dat de persoonsgegevens alleen worden doorgegeven aan een derde land of internationale organisatie indien:
a. Een adequaatheidsbesluit overeenkomstig artikel 45 lid 3 AVG is genomen ten aanzien van het betreffende derde land of betreffende internationale organisatie; ofwel
b. Passende waarborgen overeenkomstig artikel 46 AVG met inbegrip van bindende voorschriften zoals bedoeld in artikel 47 AVG zijn getroffen ten aanzien van het betreffende derde land of betreffende internationale organisatie; ofwel
c. Aan één van de specifieke voorwaarden uit artikel 49 lid 1 AVG is voldaan ten aanzien van het betreffende derde land of betreffende internationale organisatie.
8. HOE BEVEILIGEN WIJ UW PERSOONSGEGEVENS?
Om persoonsgegevens te beveiligen, hebben wij passende technische en organisatorische maatregelen genomen. Wij hebben hier rekening gehouden met de laatste stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen. Deze maatregelen omvatten, waar passend, onder meer het volgende:
a. De vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkingsprocessen en diensten te garanderen
b. Bij een technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen
c. Een periodiek onderzoek, test, beoordeling en evaluatie van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking uit te voeren.
Naast deze maatregelen zijn wij steeds op zoek naar het verbeteren van onze systemen. Mocht u hierover vragen hebben of ondersteuning nodig hebben bij een gegevensbeschermingseffectbeoordeling, neem dan contact op via info@srsbeveiliging.nl
9. WELKE RECHTEN HEBBEN BETROKKENEN?
Op basis van de AVG hebben de betrokkenen een aantal rechten. Het gaat hier om onder andere de volgende rechten:
a. De betrokkenen mogen vragen welke persoonsgegevens u van hen verwerkt en opslaat. U bent verplicht om deze informatie te verstrekken.
b. De betrokkenen mogen vragen om de persoonsgegevens die u van hen hebt opgeslagen te corrigeren of aan te vullen dan wel te vernietigen. Wij zullen u helpen deze vragen te beantwoorden. Verzoeken hiertoe kunt u richten aan info@srsbeveiliging.nl. Als dergelijke verzoeken van betrokkenen door ons worden ontvangen, zullen wij deze doorsturen naar u.
10. WANNEER KUN U EEN INSPECTIE EN AUDIT LATEN UITVOEREN?
U hebt het recht om periodiek audits uit te (laten) voeren om zo na te gaan of wij ons houden aan de verwerking van persoonsgegevens zoals beschreven in deze verwerkersovereenkomst. Wij zullen alle informatie ter beschikking stellen die hiervoor nodig is. Indien u gebruik wil maken van een inspectie of audit op locatie, dient u uiterlijk vier weken voor aanvang van de audit een verzoek bij ons in. Onze kosten voor de ondersteuning van de audit zullen wij aan u doorbelasten.
11. HOE GAAN WIJ OM MET VERZOEKEN VAN DERDEN?
Wij zullen de persoonsgegevens niet onthullen aan enige derde, tenzij u toestemming hebt gegeven of tenzij wij hiertoe wettelijk verplicht zijn. Indien een overheidsinstelling of toezichthoudende instantie toegang tot de persoonsgegevens van u eist, zullen wij u hiervan voorafgaand aan de toegang op de hoogte stellen, tenzij dit wettelijk verboden is.
12. WAT ZIJN UW VERPLICHTINGEN?
U draagt er zorg voor dat de inhoud, het gebruik en/of de verwerking van de persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde. Wij zijn niet verantwoordelijk voor elke aanspraak van derden in verband met de persoonsgegevens die wij verwerken, tenzij u kunt aantonen dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan ons toegerekend kunnen worden.
13. WANNEER INFORMEREN WIJ U BIJ INBREUKEN OP DE PERSOONSGEGEVENS?
Wij informeren u zonder onredelijke vertraging zodra wij kennis hebben genomen van een inbreuk in verband met persoonsgegevens. In deze melding wordt ten minste het volgende omschreven of meegedeeld:
a. De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en het aantal betrokkenen
b. De contactgegevens van de contactpersoon waar meer informatie kan worden verkregen
c. De waarschijnlijke gevolgen van de Inbreuk in verband met persoonsgegevens, mits deze op dat moment reeds duidelijk zijn. Aanvullende informatie zal, als dit bekend wordt, worden verstrekt aan u.
d. De maatregelen die wij voorstellen of hebben genomen om de inbreuk in verband met persoonsgegevens aan te pakken en eventuele nadelige gevolgen daarvan te beperken Wij zullen u ondersteunen bij verder analyse van de inbreuk en eventueel vervolgacties richting betrokkenen dan wel Autoriteit Persoonsgegevens.
14. WANNEER RETOURNEREN OF VERNIETIGEN WIJ PERSOONSGEGEVENS?
U kunt tot drie maanden na afloop van de overeenkomst de persoonsgegevens verkrijgen. Na afloop van deze periode zullen wij alle persoonsgegevens vernietigen, tenzij er op ons een wettelijke plicht tot opslag van persoonsgegevens rust. Gedurende de overeenkomst kunt u zelf ervoor zorgdragen dat de persoonsgegevens binnen de administratie voldoen aan u eigen bewaartermijnen.
15. WIE IS ER AANSPRAKELIJKHEID BIJ SCHADE?
Om misverstanden te voorkomen is onze aansprakelijkheid beperkt. U zult volledig en effectief gevrijwaard worden tegen alle vorderingen, onkosten, verliezen en schade en aansprakelijkheden geleden door u vanwege het niet-naleven van vereisten uit hoofde van de verwerkersovereenkomst door verwerker of sub verwerkers met een maximum van € 500,00
16. HOE GAAN WIJ OM MET CONFLICTERENDE BEPALINGEN?
In geval van conflicterende bepalingen met de overeenkomst tussen ons en u gelden de bepalingen in deze verwerkersovereenkomst. In geval een bepaling nietig blijkt, zal deze worden aangepast door een wederzijds goedgekeurde bepaling. Deze ligt zoveel mogelijk in de lijn of geest van de originele bepaling.
17. WANNEER WORDT DE VERWERKERSOVEREENKOMST BEËINDIGD?
Op het moment dat u geen gebruik meer maakt van onze producten of diensten, zal de verwerkersovereenkomst beëindigd worden. Alle bepalingen van deze verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van de verwerkersovereenkomst, waaronder geheimhouding, melden inbreuk, vrijwaring en boete, bijhouden van bescheiden en retour persoonsgegevens, blijven volledig van kracht.
