AVG

In het kader van de Algemene Verordening Gegevensbescherming (AVG) willen wij graag een aantal aspecten aan u bevestigen.

Wij zijn met u overeengekomen dat wij voor uw organisatie de dienstverlening verzorgen, zoals omschreven in de opdrachtbevestiging(en). In het kader daarvan verwerken wij persoonlijke gegevens van een aantal van uw medewerkers en/of cliënten. U bent in dit kader te kenmerken als verwerkingsverantwoordelijke en wij als verwerker.

Het betreft de volgende persoonsgegevens:

  • NAW-gegevens;
  • geboortedatum en –plaats;
  • geslacht;
  • contactgegevens (e-mailadressen, telefoonnummers) en naam en functie van contactpersonen;
  • kopie identiteitsbewijzen;
  • burgerservicenummer (alleen indien nodig!);
  • pasfoto (alleen indien strikt nodig! Bijvoorbeeld voor personeelsdossier);
  • leeftijd;
  • salaris en andere gegevens die voor fiscale aangiften, salarisberekeningen e.d. nodig zijn;
  • huwelijkse staat, gegevens partner en evt. informatie over kinderen; voor zover nodig voor bijvoorbeeld fiscale aangiften);
  • De looptijd van deze verwerkersovereenkomst is gelijk aan de looptijd van uw opdracht(en) aan ons; zolang onze dienstverlening aan u (nog) voortduurt, loopt deze verwerkersovereenkomst ook door.


In het kader van de AVG zijn wij (mede) verantwoordelijk voor de geheimhouding en overigens een zorgvuldige bewaring c.q. verwerking van deze gegevens. Wij bevestigen u door ondertekening van deze brief betreffende deze persoonsgegevens verder het volgende:

  1. Wij zijn bekend met de AVG en de andere wet- en regelgeving op het gebied van privacy, en leven deze na; wij hebben hiertoe de passende organisatorische en technische maatregelen getroffen die in redelijkheid van ons kunnen worden verlangd; rekening houdend met het te beschermen belang, de stand van de techniek en de kosten van de relevante beveiligingsmaatregelen; desgewenst lichten wij u graag verder in over hoe wij dat hebben geregeld en ingericht;
  2. de betreffende persoonsgegevens worden uitsluitend en niet uitgebreider dan nodig verwerkt in het kader van de uitvoering van onderliggende opdracht(en) die wij schriftelijk met u zijn overeengekomen;
  3. indien de persoonsgegevens door ons worden vastgelegd:
    1. de persoonsgegevens worden niet langer bewaard dan strikt noodzakelijk;
    2. op uw verzoek zullen wij u inzage geven in de betreffende persoonsgegevens
    3. op uw verzoek (schriftelijk of per e-mail) zullen wij de betreffende persoonsgegevens opzoeken, wijzigen of verbeteren;
    4. als de onderliggende opdracht wordt beëindigd zullen wij de betreffende gegevens vernietigen (c.q. originele, niet-digitale stukken retourneren), behoudens een bewaarplicht conform voor ons geldende wet- of beroepsregelgeving;
  4. wij kunnen betrouwbaar te achten derden (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze derden over specialistische kennis of middelen beschikken die wij niet in huis hebben. Als het inschakelen van derden tot gevolg heeft dat deze toegang hebben tot de persoonsgegevens of die zelfs vastleggen en/of anderszins bewerken zullen wij met die derden (schriftelijk) overeenkomen dat zij alle verplichtingen zoals genoemd in deze verwerkersovereenkomst zullen naleven.
  5. wij dragen zorg voor vertrouwelijkheid betreffende de persoonsgegevens; en verplichten onze medewerkers en eventueel derden, zoals externe systeembeheerders, die noodzakelijkerwijs toegang hebben tot de persoonsgegevens schriftelijk tot geheimhouding;
  6. wij dragen er zorg voor dat onze medewerkers een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de AVG;
  7. als er sprake is van een datalek*) aangaande de betreffende persoonsgegevens dan stellen wij u daarvan onverwijld op de hoogte (ook als wij hiervan zelf een melding hebben gedaan bij de Autoriteit Persoonsgegevens en eventuele betroken personen**). Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt of daarover door onze sub-bewerkers zijn geïnformeerd. Wij zullen u daarbij voorzien van de informatie die voor u (indien niet wij maar u formeel de verantwoordelijke bent voor de juiste bewaring en verwerking van de gegevens) redelijkerwijs nodig is om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken. Het inlichten kan om redenen van snelheid eerst mondeling gebeuren, maar zal door ons daarna direct ook schriftelijk of per e-mail worden bevestigd. Ook van de door ons naar aanleiding van het datalek genomen maatregelen houden wij u op de hoogte, en verder van eventuele nieuwe ontwikkelingen rond het incident;
  8. wij zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, behalve als u hierover met ons andere schriftelijke afspraken overeenkomt;
  9. van het voorgaande kunnen wij afwijken indien en voor zover wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen, bijvoorbeeld indien wij een bindend verzoek of opdracht hiertoe ontvangen van een daartoe bevoegde instantie; als wij u volgens de regelgeving hiervan op de hoogte mogen stellen zullen wij dat (zo spoedig mogelijk) doen; waar mogelijk zullen wij ook met u overleggen over de wijze waarop en welke persoonsgegevens wij ter beschikking zullen stellen;
  10. voorgaande bepalingen gelden tijdens maar ook (voor zover relevant) na eventuele afloop van de onderliggende overeenkomst.
  11. en overigens bevestigen wij u bij te staan en ondersteuning te bieden bij het nakomen van alle verplichtingen rond de beveiliging van de persoonsgegevens, rond melding van eventuele datalekken, en rond (overige) verplichtingen die u in verband met de AVG naar betrokkenen of toezichthouders heeft.


*  Een datalek wordt als volgt gedefinieerd: ‘Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans
op ernstige nadelige gevolgen, dan wel die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’.

**   Het is onvoldoende helder wie bij een datalek primair verantwoordelijk is voor de eventuele melding(en). In die gevallen zullen wij de te volgen stappen uiteraard zorgvuldig met u afstemmen