Hoofdstuk Privacy / Verwerkersregeling
De AVG / privacywetgeving verplicht Adminoor om met haar opdrachtgevers afspraken te maken omtrent het verwerken van persoonsgegevens. Deze afspraken zijn vastgelegd in deze regeling. Deze regeling geldt voor de gevallen waarin Adminoor als verwerker wordt gezien. Naast deze verwerkersregeling is de privacyverklaring van toepassing, die te vinden is op de website van Adminoor.
Artikel 18 Doeleinden van verwerking
- Adminoor verbindt zich onder de voorwaarden van deze verwerkersregeling in opdracht van Opdrachtgever persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de opdracht/overeenkomst tussen partijen en/of de dienstverlening door Adminoor aan Opdrachtgever.
- De persoonsgegevens die door Adminoor in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn
- naam, functie en contactgegevens (zoals adres, e-mail en telefoonnummers) van de contactpersoon / derden;
- geboortedatum en/of BSN nummer van deze personen voor zover dit voor de dienstverlening door Adminoor noodzakelijk is;
- indien er administratie wordt gevoerd ten aanzien van overige personen (zoals werknemers): naam, functie, adresgegevens, geboortedata en BSN nummers ten aanzien van deze personen;
- ID bewijzen, uitsluitend voor zover noodzakelijk en voor zover de wet dit voorschrijft;
- bankrekeningnummers;
- medische gegevens, zoals bijvoorbeeld kosten en facturen voor medische (hulp)middelen en slechts indien en voor zover dit in het kader van de te leveren dienst (bijv. belastingaangifte en opgeven aftrekposten) noodzakelijk is;
- burgerlijke staat;
- andere gegevens en stukken voor zover dit voor de werkzaamheden door Adminoor noodzakelijk is of de wet dit voorschrijft.
- Adminoor zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals hiervoor genoemd. Opdrachtgever zal Adminoor op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze verwerkersregeling zijn genoemd.
- De in opdracht van Opdrachtgever te verwerken persoonsgegevens blijven eigendom van Opdrachtgever en/of de betreffende betrokkenen.
Artikel 19 Verplichtingen Adminoor
- Ten aanzien van de op grond van de overeenkomst verrichte verwerkingen, zal Adminoor zorg dragen voor de naleving van de voorwaarden die op grond van de AVG worden gesteld aan het door Adminoor verwerken van persoonsgegevens.
- Adminoor zal Opdrachtgever op diens eerste verzoek binnen een redelijke termijn informeren over de door Adminoor genomen maatregelen aangaande zijn verplichtingen onder de AVG en eventuele andere toepasselijke privacywet- en regelgeving.
- De verplichtingen van Adminoor die ten aanzien van de privacy uit deze voorwaarden voortvloeien, gelden tevens ten aanzien van diegenen die persoonsgegevens verwerken onder het gezag van Adminoor, waaronder werknemers.
Artikel 20 Doorgifte van persoonsgegevens
- Adminoor mag de persoonsgegevens verwerken (op servers) in landen binnen de Europese Unie. Daarnaast mag Adminoor de persoonsgegevens ook doorgeven naar (servers in) een land buiten de Europese Unie, mits dat land een passend beschermingsniveau waarborgt en ze voldoet aan de overige verplichtingen die op haar rusten op grond van deze regeling en de AVG.
- Adminoor zal Opdrachtgever op diens verzoek melden om welk land of welke landen het gaat. Adminoor staat er voor in dat, gelet op de omstandigheden die op de doorgifte van de persoonsgegevens of op een categorie gegevensdoorgiften van invloed zijn, er bij landen buiten de Europese Unie sprake is van een passend beschermingsniveau.
- In het bijzonder zal Adminoor bij het bepalen van een passend beschermingsniveau rekening houden met de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming.
Artikel 21 Verdeling van verantwoordelijkheid
- Partijen zullen zorg dragen voor de naleving van de AVG. De toegestane verwerkingen zullen door Adminoor worden uitgevoerd binnen een geautomatiseerde omgeving. Tevens kunnen verwerkingen worden opgenomen door Adminoor in een fysiek dossier, welke op correcte wijze wordt opgeslagen.
- Adminoor is uitsluitend verantwoordelijk voor de verwerking van de persoonsgegevens onder de overeenkomst, overeenkomstig de instructies en de uitdrukkelijke (eind)verantwoordelijkheid van Opdrachtgever.
- Voor alle overige verwerkingen van persoonsgegevens, bijvoorbeeld in geval Adminoor persoonsgegevens verwerkt die niet noodzakelijk zijn in het kader van de uitvoering van de overeenkomst maar die desalniettemin door Opdrachtgever aan Adminoor worden toegezonden, blijft de verantwoordelijkheid voor deze verwerkingen rusten bij Opdrachtgever. Het staat Adminoor vrij om deze niet ter zake doende informatie, zonder nader overleg met Opdrachtgever en zonder enig gevolg of aansprakelijkheid, te verwijderen en verwijderd te houden. Verwijderen is een vorm van verwerken. Opdrachtgever vrijwaart Adminoor voor dit soort verwerkingen.
- Opdrachtgever staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerken van persoonsgegevens, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden. Opdrachtgever vrijwaart Adminoor voor alle aanspraken van derden die voortvloeien uit het niet voldoen aan de voornoemde garantie.
Artikel 22 Inschakelen van derden of subverwerkers
- Opdrachtgever geeft Adminoor hierbij toestemming om, in het kader van de overeenkomst en de in hier bedoelde gegevensverwerking, derden (subverwerkers) in te schakelen. Adminoor zal Opdrachtgever op verzoek informeren over welke subverwerkers zij inschakelt, die toegang hebben tot persoonsgegevens. Adminoor zorgt er in ieder geval voor dat deze derden ten minste dezelfde plichten op zich nemen als tussen Opdrachtgever en Adminoor zijn overeengekomen. Adminoor staat in voor een correcte naleving van de plichten uit deze regeling door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
- Indien Opdrachtgever gemotiveerd en met redenen omkleed tegen een bepaalde subverwerker bezwaar maakt, dan zullen beide partijen zich inspannen om in goed overleg tot een redelijke oplossing te komen.
Artikel 23 Beveiliging
- Adminoor zal zich inspannen passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens).
- Opdrachtgever bepaalt welke persoonsgegevens door Adminoor verwerkt worden. De verantwoordelijkheid voor de soort gegevens die verwerkt worden, ligt derhalve bij Opdrachtgever. Door persoonsgegevens toe te sturen / te overhandigen aan Adminoor, verklaart Opdrachtgever akkoord te zijn met de verwerking enerzijds, en in te stemmen met door Adminoor gehanteerde technische en organisatorische (beveiligings)maatregelen anderzijds.
Artikel 24 Datalekken
- In het geval van inbreuk in verband met persoonsgegevens, zal Adminoor zich naar beste kunnen inspannen om Opdrachtgever daarover onverwijld, maar uiterlijk binnen 48 uur na ontdekking, te informeren naar aanleiding waarvan Opdrachtgever beoordeelt of hij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Adminoor spant zich naar beste kunnen in om volledige, correcte en accurate informatie te verstrekken.
- Onder een inbreuk in verband met persoonsgegevens wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
- Opdrachtgever zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet-en/of regelgeving dit vereist zal Adminoor meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.
- De meldplicht behelst in ieder geval het melden van het feit dat er een inbreuk is geweest, alsmede (voor zover deze gegevens voorhanden zijn):
- wat de (vermeende) oorzaak is;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- contactgegevens voor de opvolging van de melding;
- wie geïnformeerd is (zoals betrokkene zelf en/of de toezichthouder); en
- wat de reeds genomen maatregelen zijn.
Artikel 25 Afhandeling verzoeken van betrokkenen
- In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Adminoor, zal Adminoor het verzoek doorsturen aan Opdrachtgever, en zal Opdrachtgever het verzoek verder afhandelen. Adminoor mag de betrokkene daarvan op de hoogte stellen.
- Adminoor zal Opdrachtgever de redelijkerwijs mogelijke en noodzakelijke medewerking verlenen bij het afhandelen van het verzoek. Indien blijkt dat de Opdrachtgever hulp nodig heeft van Adminoor voor de uitvoering van een verzoek van een betrokkene, dan kan Adminoor hiervoor kosten in rekening brengen.
Artikel 26 Geheimhouding en vertrouwelijkheid
Op alle persoonsgegevens die Adminoor van Opdrachtgever ontvangt en/of zelf verzamelt in het kader van deze regeling, rust een geheimhoudingsplicht jegens derden. Adminoor zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
Deze geheimhoudingsplicht is niet van toepassing voor zover Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze verwerkersregeling, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken, dan wel indien persoonsgegevens worden verstrekt aan derden in hun hoedanigheid als subverwerker.
Artikel 27 Audit
- Opdrachtgever kan maximaal ééns per jaar Adminoor verzoeken inzage te geven in de getroffen maatregelen in het kader van de beveiliging van privacy / AVG. Adminoor zal hierop schriftelijk antwoorden binnen een termijn van 4 weken na dit verzoek. Adminoor kan deze termijn 1x verlengen met 4 weken. Adminoor kan – in plaats van het geven van een schriftelijke reactie – besluiten om Opdrachtgever op haar kantoor uit te nodigen om de privacy maatregelen te bespreken.
- Indien Opdrachtgever het antwoord van Adminoor ontoereikend acht, zal Opdrachtgever dit gemotiveerd aangeven. Opdrachtgever is vervolgens gerechtigd een audit uit te laten uitvoeren door een deskundige / onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van deze overeenkomst en alles wat daar direct verband mee houdt.
- Partijen overleggen vooraf op welk moment deze audit plaats zal vinden. De door Opdrachtgever geïnitieerde audit vindt niet eerder dan vier weken na voorgaande aankondiging en maximaal eens per kalenderjaar plaats.
- Adminoor zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie ter beschikking stellen.
- De bevindingen naar aanleiding van de uitgevoerde audit zullen door partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.
- Alle kosten en de door Adminoor bestede tijd in het kader van het onderzoek als bedoeld in lid 1, dan wel de audit, komen volledig voor rekening van Opdrachtgever. Deze bedragen worden op voorschotbasis in rekening gebracht. Eventuele nog niet berekende bedragen worden tussentijds en/of achteraf gefactureerd.
Artikel 28 Aansprakelijkheid en boetebepalingen
De aansprakelijkheid van Adminoor voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de regeling, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Adminoor ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersregeling over drie maanden voorafgaande aan de schadeveroorzakende gebeurtenis. Hetgeen verder hierover in artikel 14 van deze algemene voorwaarden is opgenomen, is van overeenkomstige toepassing.
Artikel 29 Duur en beëindiging
- Deze verwerkersregeling is aangegaan voor onbepaalde tijd, ook als partijen zo nu en dan met elkaar handelen, en geldt zolang de relatie niet expliciet door één der partijen is beëindigd.
- Zodra deze regeling (of een vervangende regeling), om welke reden en op welke wijze dan ook, is beëindigd, zal Adminoor – naar keuze van Opdrachtgever – alle persoonsgegevens die bij haar aanwezig zijn, in originele of kopievorm retourneren aan Opdrachtgever, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen. Adminoor behoudt alleen die informatie die Adminoor op grond van de wet of volgens de beroepsregels dient te bewaren. Deze informatie zal niet langer worden bewaard dan strikt noodzakelijk is.
Einde hoofdstuk Privacy