Inhoud

Verwerkersovereenkomst

Versie 18 december 2020 – 2e versie

ComplianceWise B.V., gevestigd en kantoorhoudende te 1059 CM Amsterdam aan de Anthony Fokkerweg 3, KvK nummer 59384999, hierna te noemen “Verwerker“, en de “Verwerkingsverantwoordelijke”, hierna gezamenlijk aangeduid als “Partijen”, nemen het volgende in overweging:

  1. Verwerkingsverantwoordelijke en Verwerker hebben door ondertekening van het Grub order formulier een overeenkomst gesloten, hierna te noemen “Overeenkomst”, tot het verlenen van diensten door Verwerker aan Verwerkingsverantwoordelijke;
  2. Op basis van de Overeenkomst zal Verwerker in opdracht en ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerken;
  3. De afspraken die in dat verband tussen Partijen gelden, zijn vastgelegd in deze Verwerkersovereenkomst;

En komen overeen als volgt:

1. Definities

Onderstaande begrippen worden met een hoofdletter geschreven en hebben de volgende betekenis:

  • AP: Autoriteit Persoonsgegevens
    Audit: Het onderzoek bedoeld in artikel 11 van deze Verwerkersovereenkomst
  • AVG: Algemene verordening gegevensbescherming (EU) 2016/679
  • Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon wiens Persoonsgegevens worden verwerkt
  • Bijlage: Een bijlage bij deze Verwerkersovereenkomst die daarvan integraal deel uitmaakt
  • Datalek: Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 sub 12 van de AVG
  • Overeenkomst: De overeenkomst genoemd in overweging A.
  • Partijen: Verwerker en Verwerkingsverantwoordelijke.
  • Persoonsgegevens: Alle informatie als bedoeld in artikel 4 sub 1 van de AVG die Verwerker op basis van de Overeenkomst en/of Verwerkersovereenkomst ten behoeve van Verwerkingsverantwoordelijke verwerkt.
  • PIA (Privacy impact assessment): Gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 van de AVG
  • Sub-verwerker: Een andere verwerker die door Verwerker wordt ingeschakeld
  • Verwerkingsverantwoordelijke: De partij met wie Verwerker de Overeenkomst bedoeld in overweging A heeft gesloten.
  • Uitvoeringswet: De uitvoeringswet Algemene verordening gegevensbescherming
  • Verwerkersovereenkomst: Onderhavige overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke, inclusief overwegingen en Bijlagen 

2. Duur van de Verwerkersovereenkomst

2.1. Deze Verwerkersovereenkomst vangt aan per de ingangsdatum van de Overeenkomst en zal van kracht zijn zolang de Overeenkomst van kracht is. Door ondertekening van de Overeenkomst verklaren Partijen zich tevens akkoord met deze Verwerkersovereenkomst. Bij beëindiging van de Overeenkomst eindigt deze Verwerkersovereenkomst van rechtswege zonder dat enige nadere (rechts)handeling vereist is.

3. Relatie partijen

3.1. Deze Verwerkersovereenkomst bevat de afspraken tussen Partijen over de verwerking van Persoonsgegevens in het kader van de verlening van diensten door Verwerker ter uitvoering van de Overeenkomst.

3.2. Verwerkingsverantwoordelijke stelt zelfstandig het doel en de middelen van de verwerking van de Persoonsgegevens vast.

3.3. Verwerker verwerkt de Persoonsgegevens in opdracht van en voor de doeleinden zoals bepaald door Verwerkingsverantwoordelijke. Verwerker is niet gerechtigd de Persoonsgegevens voor eigen doeleinden of eigen gebruik aan te wenden.

3.4. Partijen verstrekken elkaar alle in redelijkheid benodigde informatie om een goede naleving van de op hen rustende wet- en regelgeving ter zake bescherming van persoonsgegevens mogelijk te maken.

3.5. Indien Verwerker meent dat de instructies van Verwerkingsverantwoordelijke in strijd zijn met de geldende wet- en regelgeving, stelt Verwerker Verwerkingsverantwoordelijke daarvan in kennis.

4. Verwerking

4.1. Partijen hebben in Bijlage I de aard en het doel van de verwerking, het soort Persoonsgegevens dat wordt verwerkt en de categorieën van Betrokkenen beschreven.

5. Beveiliging

5.1. Verwerker dient de door Partijen overeengekomen passende technische en organisatorische maatregelen te treffen en in stand te houden ter beveiliging van de Persoonsgegevens die op basis van de Overeenkomst worden verwerkt.

5.2. Partijen nemen bij het vaststellen van passende technische en organisatorische maatregelen de risico’s in aanmerking die een beveiligingsincident of Datalek zou kunnen veroorzaken ten aanzien van de betreffende verwerking en kijken voorts naar de actuele technische beveiligingsmogelijkheden, de uitvoeringskosten en de aard, omvang en context van de verwerking van de Persoonsgegevens.

5.3. Partijen hebben in Bijlage II opgenomen welke technische en organisatorische beveiligingsmaatregelen Verwerker dient te treffen. Verwerkingsverantwoordelijke heeft de in Bijlage II opgenomen maatregelen geaccepteerd als zijnde van een passend niveau als bedoeld in artikel 5.1.

6. Hulp bij Datalekken

6.1. Verwerker informeert Verwerkingsverantwoordelijke onverwijld en in ieder geval binnen 24 uur zodra hij bekend is met een Datalek ten aanzien van Persoonsgegevens die Verwerker op basis van de Overeenkomst verwerkt. Daarbij geeft Verwerker zo spoedig mogelijk aan welke gebeurtenissen en omstandigheden tot het Datalek hebben geleid en welke maatregelen zijn getroffen om het Datalek te dichten.

6.2. Indien Verwerkingsverantwoordelijke het Datalek aan de AP en/of Betrokkenen moet melden, verleent Verwerker aan Verwerkingsverantwoordelijke redelijke assistentie om Verwerkingsverantwoordelijke in staat te stellen om binnen de daaraan gestelde wettelijke termijnen deze melding(en) te doen.

6.3. Partijen nemen bij een Datalek de in Bijlage III opgenomen procedure in acht.

7. Hulp bij uitoefening van rechten van de betrokkenen, PIA’s en voorafgaande raadpleging

7.1. Verwerker verleent Verwerkingsverantwoordelijke redelijke assistentie om Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijnen aan verzoeken van Betrokkenen tot uitoefening van hun rechten op grond van de AVG te voldoen.

7.2. Indien een Betrokkene een verzoek als bedoeld in het eerste lid rechtstreeks aan de Verwerker richt, zal Verwerker Verwerkingsverantwoordelijke hierover informeren door betreffend verzoek aan Verwerkingsverantwoordelijke te zenden.

7.3. Indien Verwerkingsverantwoordelijke ingevolge de AVG een PIA dient te verrichten, dan wel de PIA uitwijst dat de AP dient te worden geraadpleegd, dan verleent Verwerker aan Verwerkingsverantwoordelijke alle redelijke bijstand die in dit verband van Verwerker verwacht mag worden.

7.4. Verwerker kan kosten verbonden aan het verlenen van de redelijke bijstand als bepaald in dit artikel 7 bij Verwerkingsverantwoordelijke in rekening brengen na voorafgaande schriftelijke opgave van deze kosten aan Verwerkingsverantwoordelijke.

8. Vertrouwelijkheid

8.1. Verwerker houdt de Persoonsgegevens die hij op basis van de Overeenkomst en/of de Verwerkersovereenkomst verwerkt geheim, evenals alle andere informatie die hem krachtens deze Verwerkersovereenkomst bekend is of wordt, tenzij een wettelijke verplichting of een gerechtelijke beslissing hem tot openbaring van de Persoonsgegevens of andere informatie verplicht. CW is echter wel gerechtigd vertrouwelijk informatie te delen met haar Sub-verwerkers en andere derden die zij inschakelt ter uitvoering van de Overeenkomst.

8.2. Verwerker zorgt er voor dat zijn medewerkers of andere personen of Sub-verwerkers die hij inzet bij de uitvoering van de Overeenkomst en/of de Verwerkingsovereenkomst geheimhouding betrachten van Persoonsgegevens als bedoeld artikel 8.1.

9. Sub-verwerker

9.1. Verwerkingsverantwoordelijke geeft Verwerker hierbij algemene toestemming als bedoeld in artikel 28 lid 2 van de AVG voor het inschakelen van Sub-verwerker(s) bij de uitvoering van de Overeenkomst.

9.2. Verwerker zal met Sub-verwerker(s) een overeenkomst aangaan, waarin Sub-verwerker -met name ten aanzien van beveiliging en het melden van Datalekken- aan vergelijkbare eisen wordt gebonden als neergelegd in deze Verwerkersovereenkomst.

9.3. Verwerker blijft bij inschakeling van een Sub-verwerker verantwoordelijk voor de nakoming van zijn verplichtingen uit deze Verwerkersovereenkomst.

10. Internationale aspecten

10.1. Verwerker verwerkt de Persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER), tenzij Verwerkingsverantwoordelijke heeft ingestemd met doorgifte naar landen buiten de EER en is voorzien in één van de maatregelen die zorgen voor een adequaat beschermingsniveau voor deze Persoonsgegevens.

11. Audit

11.1. Verwerkingsverantwoordelijke is gerechtigd bij Verwerker na voorafgaande schriftelijke kennisgeving met inachtneming van een periode van vier weken onderzoek (hierna: Audit) te verrichten om te controleren of aan de toepasselijke wet -en regelgeving en de bepalingen van deze Verwerkersovereenkomst wordt voldaan. Verwerkingsverantwoordelijke is gerechtigd hiertoe een onafhankelijke derde in te schakelen, mits deze derde geheimhouding betracht. Verwerkingsverantwoordelijke draagt de kosten van de Audit.

11.2. Een Audit zal maximaal één maal per kalenderjaar plaatsvinden, tenzij Verwerkingsverantwoordelijke concrete aanwijzingen heeft dat Verwerker zijn wettelijke of contractuele verplichtingen niet nakomt en hij de Verwerker hierover schriftelijk en gedocumenteerd bericht.

11.3. Verwerker zal Verwerkingsverantwoordelijke of de ingeschakelde onafhankelijke derde toegang verschaffen tot zijn gebouwen, kantoren, systemen, informatie en documentatie en redelijke medewerking verlenen indien en voor zover dit noodzakelijk is voor de Audit die door of namens Verwerkingsverantwoordelijke wordt verricht. De hiermee gepaard gaande kosten zijn voor rekening van Verwerkingsverantwoordelijke.

11.4. Verwerkingsverantwoordelijke zal binnen een redelijke termijn na afronding van de Audit de resultaten met Verwerker delen. Indien onregelmatigheden zijn aangetroffen, bepalen Partijen in onderling overleg op welke wijze en binnen welke termijn deze zullen worden aangepast en hersteld.

11.5. Indien de AP of een andere toezichthouder bij Verwerker een onderzoek start, informeert Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk schriftelijk of per email, tenzij Verwerker hiertoe op grond van een wettelijke verplichting, een gerechtelijke uitspraak of een opdracht van de AP niet gerechtigd is.  Partijen zullen in gezamenlijk overleg hun medewerking verlenen aan het onderzoek.

12. Aansprakelijkheid

12.1 Voor de aansprakelijkheid van elk der Partijen voortvloeiend uit of samenhangend met deze Verwerkersovereenkomst en de Overeenkomst in totaal, gelden de uitsluitingen en beperkingen van aansprakelijkheid zoals deze door Partijen in de Overeenkomst zijn overeengekomen.

13. Einde Verwerkersovereenkomst

13.1 Bij einde van de Verwerkersovereenkomst heeft Verwerkingsverantwoordelijke gedurende een in de Overeenkomst beschreven periode de mogelijkheid om door middel van een export functionaliteit  de Persoonsgegevens te verkrijgen. Na afloop van die periode verwijdert Verwerker de Persoonsgegevens, tenzij Verwerker op basis van een wettelijke verplichting of gerechtelijke uitspraak gehouden is betreffende Persoonsgegevens te bewaren.

14. Overig

14.1. Bij enige tegenspraak tussen de bepalingen uit deze Verwerkersovereenkomst en de Overeenkomst, prevaleren de bepalingen uit deze Verwerkersovereenkomst, tenzij Partijen uitdrukkelijk en schriftelijk anders zijn overeengekomen.

14.2. Verwerkingsverantwoordelijke is niet gerechtigd rechten en verplichtingen uit deze Verwerkersovereenkomst aan een derde over te dragen, behoudens voorafgaande schriftelijke toestemming van de Verwerker.

14.3. Partijen kunnen deze Verwerkersovereenkomst uitsluitend schriftelijk wijzigen.

14.4. Verplichtingen uit hoofde van deze Verwerkersovereenkomst welke naar hun aard bestemd zijn om ook na het einde van deze Verwerkersovereenkomst voort te duren, zoals maar niet beperkt tot het artikel inzake aansprakelijkheid, blijven na het einde van deze Verwerkersovereenkomst bestaan.

15. Toepasselijk recht en bevoegde rechter

15.1. Deze Verwerkersovereenkomst wordt uitsluitend beheerst door Nederlands recht.

15.2. Alle geschillen die uit deze Verwerkersovereenkomst mochten voortvloeien, zullen bij uitsluiting worden voorgelegd aan de instantie die ook bevoegd is te oordelen over geschillen die uit de Overeenkomst mochten voortvloeien. Bij gebreke daarvan zal de daartoe bevoegde rechter te Amsterdam bij uitsluiting bevoegd zijn.

Door ondertekening van de Overeenkomst verklaren Partijen zich tevens akkoord met deze Verwerkersovereenkomst.

Bijlage 1: Verwerking van persoonsgegevens

Deze Bijlage beschrijft welke verwerkingsactiviteiten plaatsvinden in het kader van de uitvoering van de diensten door Verwerker ten behoeve van Verwerkingsverantwoordelijke als overeengekomen in de Overeenkomst.

Contactgegevens van de Verwerker (inclusief land waar de gegevens worden verwerkt):

  • ComplianceWise B.V.
  • Anthony Fokkerweg 3
  • 1059 CM Amsterdam
  • Contactpersoon: Vincent Glazenburg
  • Telefoon: 020-2044538
  • E-mail: services@grubvooraccountants.nl
  • Land waar de persoonsgegevens worden verwerkt: Nederland

Aard, duur en doel van de verwerking:

  • De applicatie GRUB faciliteert de Verwerkingsverantwoordelijke bij het voldoen aan anti-witwasregelgeving, zoals know your customer (KYC) en transactiemonitoring tijdens de duur van de Overeenkomst.

Soort Persoonsgegevens dat wordt verwerkt

  • Persoonsgegevens die verzameld en gecontroleerd worden om te voldoen aan anti-witwas regelgeving, zoals contactgegevens, gegevens betreffende identificatie, KvK-gegevens, PEP (politically exposed person) gegevens, of personen voorkomend op internationale sanctielijsten en relevante gegevens gegenereerd door online onderzoek.

Categorieën van betrokkenen:

  • Klanten en potentiële klanten van de afnemer en/of personen werkzaam bij of betrokken bij de klanten en potentiële klanten van afnemer.

Indien van toepassing: Gegevens van de Sub-verwerker(s)

  • v.t.

Internationaal: verwerking van Persoonsgegevens buiten de EER? Zo ja, welke landen betreft het en welke waarborgen zijn er / of zijn getroffen teneinde een adequaat beschermingsniveau te waarborgen.

  • v.t.

Bijlage 2: Beveiliging

Deze Bijlage beschrijft welke technische en organisatorische maatregelen zijn getroffen ter beveiliging van de Persoonsgegevens.

Om de Persoonsgegevens te beveiligen heeft ComplianceWise een aantal organisatorische en technische maatregelen getroffen.

Om toegang te hebben tot de Persoonsgegevens moet de Gebruiker de juiste autorisatie hebben. Autorisatie binnen het systeem wordt geregeld op user niveau aan de hand van de wensen van de klant. Wanneer beheerders of werknemers van ComplianceWise toegang nodig hebben tot de omgeving dienen zij hiervoor toestemming te vragen. Bij de aanvraag moet het doel en de termijn van de toegang duidelijk worden omschreven.

Naast de toegangsbeveiliging binnen het ComplianceWise systeem zijn de gegevens ook encrypted. Er wordt gebruikt gemaakt van een AES256 encryption key zowel in transit als at rest. Op deze manier kunnen de gegevens binnen het systeem niet onderschept of door derden gelezen worden. Meer informatie over de beveiliging van Persoonsgegevens binnen ComplianceWise kan worden verstrekt door de Security Officers. Mail hiervoor naar services@grubvooraccountants.nl.

Om te zorgen dat de integriteit en beschikbaarheid van de Client data gegarandeerd is, maakt ComplianceWise elke dag een versleutelde back-up van de Client data.

ComplianceWise monitort continu of de Applicatie en de Client data nog bereikbaar zijn. Wanneer er door een Incident of disaster (tijdelijk) geen toegang is tot de Client data wordt er door ComplianceWise kennis gegeven aan de eigenaar van de Client data via het aangegeven contactpersoon. Vervolgens streeft ComplianceWise ernaar om zo snel mogelijk de service te herstellen, conform de overeengekomen service levels.

ComplianceWise hanteert het continual service improvement-principe om periodiek de opgestelde processen te evalueren en waar nodig verbeteringen aan te brengen.

Meer informatie over de back-up en disaster recovery processen van ComplianceWise zijn op te vragen via services@gruvooraccountants.nl.

Bijlage 3: Procedure bij datalekken

Verwerker informeert Verwerkingsverantwoordelijke binnen 24 uur nadat hij bekend is geworden met een Datalek.

Verwerker meldt een Datalek per email en telefonisch aan de hem bekende contactpersoon van Verwerkingsverantwoordelijke.
Contactgegevens van de Verwerker:

Verwerker verschaft op verzoek van Verwerkingsverantwoordelijke de door Verwerkingsverantwoordelijke aangegeven noodzakelijke gegevens om Verwerkingsverantwoordelijke in staat te stellen aan zijn wettelijke verplichtingen bij een Datalek te voldoen. Hierbij wordt uitdrukkelijk opgemerkt dat Verwerker uitsluitend deze informatie aan Verwerkingsverantwoordelijke verstrekt, maar niet zelf melding doet bij de AP en/of aan de Betrokkenen.

Verwerkingsverantwoordelijke beslist op basis van de wettelijke criteria en de richtlijnen van de AP of het Datalek aan de AP en eventueel ook aan de Betrokkenen moet worden gemeld.

Verwerker houdt een beveiligde registratie bij van de Datalekken die zich hebben voorgedaan ten aanzien van Verwerkingsverantwoordelijke. Deze registratie wordt op eerste verzoek van Verwerkingsverantwoordelijke aan deze ter beschikking gesteld.

Artikel 8 van de Verwerkersovereenkomst is onverkort van toepassing.