Privacy statement
Werkwijze AVG (aanvulling op Algemene Voorwaarden)
Werkwijze AVG
Aanvulling op Algemene voorwaarden TRFC Accountants te Drachten
Algemene toelichting:
Vanaf 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) geldig. Deze verordening vervangt de
Wet Bescherming Persoonsgegevens.
U heeft TRFC Accountants ingeschakeld voor werkzaamheden waarbij
persoonsgegevens door ons worden verwerkt. De AVG stelt aanzienlijke formele eisen aan de verwerking van
persoonsgegevens en kent een rolverdeling.
Wanneer een verantwoordelijke een verwerker inschakelt voor de
verwerking van persoonsgegevens is de verantwoordelijke wettelijk verplicht schriftelijke (of
gelijkwaardige) afspraken te maken met de verwerker over een aantal in de wet genoemde onderwerpen.
Voor
administratieve werkzaamheden (bijvoorbeeld het doen van fiscale aangiften en het verwerken van
salarisadministraties) zijn wij verwerker. U blijft verwerkingsverantwoordelijke. U heeft hierbij op
basis van de verordening in de meeste gevallen ook een eigen verantwoordelijkheid. In verband met de
identificatieplicht op grond van de WWFT (Wet ter voorkoming van witwassen en financieren van terrorisme)
zijn wij overigens zelf ook verplicht persoonsgegevens vast te stellen. Ook bepalen wij de werkwijze en
de te gebruiken software bepalen. Naast een rol als verwerker is heeft TRFC Accountants daarom ook zelf
een rol als verwerkingsverantwoordelijke. Via deze aanvulling op onze Algemene voorwaarden maken wij met
u de wettelijk verplichte afspraken en leggen wij deze schriftelijk vast.
Definities:
Betrokkene:
degene op wie een persoonsgegeven betrekking heeft.
Verwerker: een natuurlijke persoon of rechtspersoon,
een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van
de verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn
onderworpen.
Sub-verwerker: een andere verwerker die door de verwerker wordt ingezet om ten behoeve van
de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te
verrichten.
Verwerkingsverantwoordelijke/verantwoordelijke: een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en
de middelen voor de verwerking van persoonsgegevens vaststelt.
Bijzondere Persoonsgegevens: dit zijn
gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of
levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens,
biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid,
of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, alsmede persoonsgegevens
betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende
veiligheidsmaatregelen.
Datalek/inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging
die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt
dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of
de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte
persoonsgegevens.
Derden: anderen dan u en wij en onze medewerkers.
Meldplicht Datalekken: de
verplichting tot het melden van datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen)
aan betrokkene(n).
Medewerkers: personen die werkzaam zijn bij u of bij ons, ofwel in dienstbetrekking
dan wel tijdelijk ingehuurd.
Persoonsgegevens: alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon die in het kader van de opdracht worden verwerkt; als
identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd,
met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een
online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische,
genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke
persoon.
Persoonsgegevens van gevoelige aard: persoonsgegevens waarbij verlies of onrechtmatige
verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van betrokkene, schade aan de
gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens
moeten in ieder geval worden gerekend:
- Bijzondere persoonsgegevens;
- gegevens over de financiële of
economische situatie van de betrokkene;
- (andere) gegevens die kunnen leiden tot stigmatisering of
uitsluiting van de betrokkene;
- gebruikersnamen, wachtwoorden en andere inloggegevens;
- gegevens die
kunnen worden misbruikt voor (identiteits)fraude.
Verwerken/verwerking: een bewerking of een geheel van
bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet
uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan,
bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of
vernietigen van gegevens.
AVG: Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van
deze verordening. De AVG vervangt de Wbp per 25 mei 2018.
1. Toepasselijkheid en looptijd
1.1 Deze
Werkwijze AVG is van toepassing op iedere verwerking die door ons als verwerker en/of als
verwerkingsverantwoordelijke wordt gedaan op basis van de verstrekte opdracht, gegeven door u als
verantwoordelijke.
1.2 Deze Werkwijze AVG treedt in werking op de datum waarop deze zijn overeengekomen
en eindigt op het moment dat wij geenpersoonsgegevens meer onder ons hebben die wij in het kader van de
opdracht voor u verwerken. Het is niet mogelijk om deze overeengekomen Werkwijze AVG tussentijds op te
zeggen.
1.3 Artikel 5 en 6 van deze Werkwijze AVG blijven gelden, ook nadat de overeenkomst en/of
opdracht is geëindigd.
2. Verwerking
2.1 Wij verwerken de persoonsgegevens uitsluitend in het kader
van de overeengekomen opdracht. In principe doen wij dit verwerken niet langer of uitgebreider dan
noodzakelijk voor de uitvoering van de verstrekte opdracht. Gezien de aard van onze beroepspraktijk en de
aard en inrichting van de geautomatiseerde omgeving behouden wij ons het recht voor om bijvoorbeeld in
het kader van efficiency of in onze beroepspraktijk regelmatig voorkomende werksoorten gegevens wel
langer of uitgebreider te bewaren. De bewaarplicht wordt door TRFC Accountants geregeld, tenzij
TRFC Accountants deze plicht aan opdrachtgever teruggeeft. De verwerking vindt plaats passend bij de
verstrekte opdracht, tenzij wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen
(bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet
worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).
Indien een instructie,
naar onze mening, een inbreuk maakt op de AVG stellen wij u daarvan onmiddellijk
in kennis.
2.2 De verwerking vindt plaats onder uw verantwoordelijkheid. Wij hebben geen zeggenschap over
het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van
persoonsgegevens, de bewaartermijn van de voor u verwerkte persoonsgegevens en het verstrekken van
persoonsgegevens aan derden. U moet er voor zorgen dat u het doel en de middelen van de verwerking van
de persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de persoonsgegevens berust nooit bij
ons. Als wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften of de
voor accountants geldende gedrags- en beroepsregels met betrekking tot verwerking van persoonsgegevens,
dan leven wij deze verplichtingen na. Een overzicht van deze gedrags- en beroepsregels kunt u vinden op
de website van de Nederlandse Beroepsorganisatie van Accountants (www.nba.nl).
2.3 U bent wettelijk
verplicht de geldende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u
vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens.
Wij zorgen ervoor dat wij voldoen aan de op ons als verwerker en/of verwerkingsverantwoordelijke van
toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens.
2.4 Wij zorgen ervoor
dat alleen onze medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop is opgenomen in
artikel 2.5. Wij beperken de toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun
werkzaamheden. Gezien de relatief kleine omvang van de organisatie van TRFC Accountants en het belang van
goede verdeling van werkzaamheden en waarneming bij ziekte en vakanties is hierbij de hoofdregel dat
vastgelegde informatie voor alle medewerkers van TRFC Accountants toegankelijk is. Wij zorgen er bovendien
voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie
hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden
en wettelijke verplichtingen.
2.5 Wij kunnen andere verwerkers (sub-verwerkers) inschakelen voor het
uitvoeren van bepaalde werkzaamheden die voortvloeien uit de opdracht, bijvoorbeeld als deze
sub-verwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het
inschakelen van sub-verwerkers tot gevolg heeft dat deze persoonsgegevens gaan verwerken dan zullen wij
die sub-verwerkers (schriftelijk) de verplichtingen uit deze overeenkomst opleggen. TRFC Accountants en
TRFC Administratie en Advies maken gebruik van een gezamenlijke automatiseringsomgeving. Via
geheimhoudingsovereenkomsten is de vertrouwelijkheid van gegevens onderling gewaarborgd. Bij acceptatie
van deze Werkwijze AVG gaat u akkoord met het bovenstaande.
2.6 Voor zover mogelijk verlenen wij u
bijstand bij het vervullen van uw verplichtingen om verzoeken om uitoefening van rechten van betrokkenen
af te handelen. Als wij (rechtstreeks) verzoeken ontvangen van betrokkene(n) om uitoefening van hun
rechten (bijvoorbeeld inzage, wijziging of verwijdering van persoonsgegevens), dan zenden wij deze
verzoeken door naar u. U handelt deze verzoeken zelf af, waarbij wij u natuurlijk behulpzaam kunnen zijn
als wij in het kader van de opdracht toegang hebben tot deze persoonsgegevens. Hiervoor kunnen wij kosten in
rekening brengen. Indien wij zelf verwerkingsverantwoordelijk zijn en persoonsgegevens van u verwerken
geldt dat u vergelijkbare rechten op bijvoorbeeld inzage, wijziging of verwijdering van persoonsgegevens
hebt. Ook hiervoor kunnen wij kosten in rekening brengen.
2.7 Wij zullen de persoonsgegevens alleen
verwerken binnen de Europese Economische Ruimte, tenzij wij hierover met u andere afspraken hebben
gemaakt. Deze afspraken leggen wij gezamenlijk schriftelijk vast, of per e-mail.
2.8 Als wij een verzoek
krijgen om persoonsgegevens ter beschikking te stellen dan doen wij dit alleen als het verzoek is gedaan
door een daartoe bevoegde instantie. Bovendien beoordelen wij eerst of wij van mening zijn dat het
verzoek bindend is, of dat wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als
er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen wij u op de hoogte van het
verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor u mogelijk is om eventuele
rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als wij u op de hoogte mogen
stellen dan zullen wij ook met u overleggen over de wijze waarop en welke gegevens wij ter beschikking
zullen stellen.
3. Beveiligingsmaatregelen
3.1 Wij hebben passende beveiligingsmaatregelen genomen en
deze gedocumenteerd. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te
mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
3.2 Wij bieden
passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met
betrekking tot de te verrichten verwerkingen. Als u de wijze waarop wij de beveiligingsmaatregelen
naleven wilt laten inspecteren, dan kunt u hiertoe een verzoek aan ons doen. Wij zullen hierover
gezamenlijk met u afspraken maken. De kosten van een inspectie zijn voor uw rekening. U stelt aan ons een
kopie van het inspectierapport ter beschikking.
4. Datalekken
4.1 Als er sprake is van een datalek
dan stellen wij u daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit
datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door onze sub-verwerkers zijn
geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 10 van deze Werkwijze AVG.
Wij zullen u daarbij voorzien van de informatie die u redelijkerwijs nodig heeft om – indien nodig – een
juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het
kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze sub-bewerker aan u door. Ook van
de door ons, of onze sub-bewerker, naar aanleiding van het datalek genomen maatregelen houden wij u op de
hoogte.
4.2 De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is
altijd uw eigen verantwoordelijkheid indien u verwerkingsverantwoordelijk bent. Het (bij)houden van een
register van datalekken is in die situatie ook altijd uw eigen verantwoordelijkheid.
4.3 Bij veel van de
uitgevoerde werkzaamheden is TRFC Accountants ook zelf verwerkingsverantwoordelijke. Bij datalekken die
volgens onze overwegingen geen ernstige gevolgen hebben voor de persoonlijke levenssfeer van de
betrokkene staat het TRFC Accountants vrij af te wijken van de onder 4.1 en 4.2 beschrijven procedure.
Bij een dergelijke afwijking is het de verantwoordelijkheid van TRFC Accountants een wettelijk verplichte
melding bij de Autoriteit Persoonsgegevens te doen.
5. Geheimhoudingsplicht:
5.1 Wij houden de van u
verkregen persoonsgegevens geheim en verplichten onze medewerkers en eventuele sub-verwerkers ook
tot geheimhouding. Accountants nemen met betrekking tot de aan hen toevertrouwde persoonsgegevens
geheimhouding in acht zoals deze voor accountants geldt op basis de gedrags- en beroepsregels. Een
overzicht van deze gedrags- en beroepsregels kunt u vinden op de website van de Nederlandse
Beroepsorganisatie van Accountants (www.nba.nl).6. Aansprakelijkheid
6.1 U staat er voor in dat de
verwerking van persoonsgegevens op basis van de opdracht niet onrechtmatig is en geen inbreuk maakt op de
rechten van betrokkene(n).
6.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door
u niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van derden
op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden
(materieel maar ook immaterieel), maar ook voor de kosten die wij in verband daarmee moeten maken,
bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan ons worden
opgelegd ten gevolge van uw handelen.
6.3 De in de opdracht en daarbij behorende algemene voorwaarden
overeengekomen beperking van onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in
deze Werkwijze AVG, met dien verstande dat een of meerdere schadevorderingen uit hoofde van
deze Werkwijze AVG en /of de opdracht nimmer tot overschrijding van de beperking kan leiden.
7.
Overdraagbaarheid Overeenkomst
7.1 Het is voor u en ons, behalve als wij gezamenlijk schriftelijk anders
afspreken, niet toegestaan om deze Werkwijze AVG en de rechten en de plichten die samenhangen met deze
Werkwijze AVG over te dragen aan een ander.8. Beëindiging en teruggave / vernietiging
Persoonsgegevens
8.1 Als de opdracht wordt beëindigd dan zullen wij de door u aan ons verstrekte
persoonsgegevens op uw verzoek aan u terug overdragen of – als u ons daarom verzoekt – vernietigen,
tenzij wij op grond van wet- of (beroeps)regelgeving verplicht zijn een kopie van de persoonsgegevens
te bewaren. Overdracht zal in de regel in gestructureerde vorm (doorzoekbaar pdf-document)
plaatsvinden.
8.2 De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de
opdracht zijn voor uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de
persoonsgegevens. Als u daarom vraagt dan geven wij u vooraf een kosteninschatting.
9. Aanvullingen en
wijziging Overeenkomst
9.1 Aanvullingen en wijzigingen op deze Werkwijze AVG zijn alleen geldig als ze op
schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn
gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
9.2 Een wijziging in de
verwerkte persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding
zijn om deze Werkwijze AVG aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen
in de opdracht, of wanneer wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor
ons reden zijn om de opdracht te beëindigen.
10. Slotbepalingen
10.1 Op uw verzoek stellen wij u alle
informatie ter beschikking die nodig is om de nakoming van de in deze Werkwijze AVG
neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door u of een
door u gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of
inspecties zijn voor uw rekening. Ook eventuele audits bij onze sub-bewerkers zijn voor uw rekening.
10.2
Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar
taken.
10.3 Op deze Werkwijze AVG is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd
kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze overeengekomen Werkwijze
AVG.
10.4 Deze Werkwijze AVG is hoger in rang dan andere door ons met u gesloten overeenkomsten. Als u
algemene voorwaarden gebruikt dan zijn deze niet van toepassing op onze opdracht en deze Werkwijze AVG.
De bepalingen uit deze Werkwijze AVG gaan boven de overige bepalingen in onze algemene voorwaarden,
tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
10.5 Als één of meerdere
bepalingen in deze Werkwijze AVG niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid
van de andere bepalingen in deze Werkwijze AVG. Wij treden dan met u in overleg om gezamenlijk een nieuwe
bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling,
maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
Opgesteld: Drachten 24 mei
2018 verwerkt persoonsgegevens die u aan ons verstrekt doordat u gebruik maakt van onze diensten en/of
omdat u deze zelf aan ons verstrekt.
Een overzicht van de persoonsgegevens die wij verwerken:
- Voor- en/of achternaam
- Bedrijfsnaam
- E-mailadres
- Telefoonnummer
- Gegevens over activiteit op onze website
- Internetbrowser en apparaat type
- IP-adres (alleen na akkoord cookie melding)