ALGEMENE BEDRIJFSVOORWAARDEN VOOR DE ORDERVERWERKING VAN WORTMANN AG

Inleiding

In deze voorwaarden worden de verplichtingen van de overeenkomstsluitende partijen inzake gegevensbescherming beschreven die voortvloeien uit de overeenkomsten die de partijen hebben gesloten. Deze verplichtingen gelden voor alle activiteiten die verband houden met een overeenkomst en waarbij werknemers van de opdrachtnemer of personen die hiervoor opdracht hebben gekregen van de opdrachtnemer, persoonsgegevens ('gegevens') van de opdrachtgever verwerken.

§ 1 Toepassingsgebied en verantwoordelijkheid

De opdrachtnemer verwerkt de persoonsgegevens in opdracht van de opdrachtgever. Hierbij gaat het om activiteiten die in de betreffende overeenkomst en eventueel in de werkopdracht nader zijn toegelicht. De opdrachtgever is in het kader van elke overeenkomst volledig verantwoordelijk voor het naleven van de wettelijke bepalingen in de gegevensbeschermingswetgeving en in het bijzonder voor de rechtmatigheid van de doorgifte van gegevens aan de opdrachtnemer en de rechtmatigheid van de gegevensverwerking ('verantwoordelijke' als bedoeld in art. 4 nr. 7 AVG).

De plichten van de opdrachtnemer inzake gegevensbescherming zijn in de overeenkomst vastgelegd en kunnen daarna in schriftelijke of elektrische vorm door de opdrachtgever met enkele instructies worden gewijzigd, aangevuld of vervangen (individuele instructies). Mondelinge instructies moeten onverwijld in schriftelijke of elektronisch vorm worden bevestigd.

Het soort gegevens dat moet worden verwerkt en de categorieën van betrokkenen zijn steeds te vinden in de werkopdrachten voor DATEV-prestaties en de bijbehorende gegevensbeschermingsomschrijvingen waartoe door de klant opdracht is gegeven. Deze zijn te vinden op www.datev.de/Datenschutz-steckbrief.

§ 2 Plichten van de opdrachtnemer

1. De opdrachtnemer mag gegevens van betrokkenen alleen in het kader van de opdracht en volgens de instructies van de opdrachtgever verwerken, tenzij er sprake is van een uitzonderlijk geval als bedoeld in artikel 28 lid 3 a) van de AVG. De opdrachtnemer stelt de opdrachtgever onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op geldende wetten. De opdrachtnemer mag zolang stoppen met het uitvoeren van de instructie tot deze door de opdrachtgever is bevestigd of gewijzigd.

2. De opdrachtnemer is ervoor verantwoordelijk dat de interne organisatie zo wordt vormgegeven dat er aan de specifieke voorschriften van de gegevensbescherming wordt voldaan. Hij treft technische en organisatorische maatregelen die voldoen aan de voorschriften van de algemene verordening gegevensbescherming (art. 32 AVG) om de gegevens van de opdrachtgever goed te beschermen. De opdrachtnemer moet technische en organisatorische maatregelen treffen die de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten garanderen. De opdrachtgever is op de hoogte van deze technische en organisatorische maatregelen en is er verantwoordelijk voor dat deze een passend beschermingsniveau bieden voor de risico's van de te verwerken gegevens. De opdrachtnemer behoudt zich het recht voor om de getroffen beschermingsmaatregelen te wijzigen, waarbij hij er wel voor moet zorgen dat een passend of contractueel overeengekomen beschermingsniveau wordt gehaald. De technisch-organisatorische maatregelen van de opdrachtnemer moeten overeenkomstig deze voorwaarden worden beschreven.

3. De opdrachtnemer ondersteunt de opdrachtgever waar mogelijk bij het voldoen aan de aanvragen en eisen van betrokkenen overeenkomstig hoofdstuk III van de AVG en bij het naleven van de in art. 33 tot 36 van de AVG genoemde plichten. De opdrachtnemer krijgt deze inspanning door de opdrachtgever vergoed met zijn uurtarief.

4. De opdrachtnemer waarborgt dat het voor medewerkers die met het verwerken van de gegevens van de opdrachtgever zijn belast en voor andere personen die voor de opdrachtnemer werkzaam zijn, verboden is de gegevens buiten de instructies om te verwerken. Verder waarborgt de opdrachtnemer dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. De geheimhoudingsplicht blijft ook na beëindiging van de opdracht van kracht.

5. De opdrachtnemer stelt de opdrachtgever er onverwijld van in kennis zodra hij weet dat een inbreuk in verband met de bescherming van persoonsgegevens van de opdrachtgever heeft plaatsgevonden. De opdrachtnemer treft de nodige maatregelen voor het beschermen van de gegevens en het beperken van mogelijke nadelige gevolgen voor de betrokkenen en maakt hier onverwijld afspraken over met de opdrachtgever.

6. De opdrachtnemer wijst de opdrachtgever aan als gesprekspartner bij eventuele vragen over gegevensbescherming in het kader van de overeenkomst.

7. De opdrachtnemer waarborgt dat hij zijn plichten overeenkomstig art. 32 lid 1 sub d) van de AVG nakomt en dat hij een procedure voor het op gezette tijdstippen testen van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking toepast.

8. De opdrachtnemer rectificeert of wist de contractuele gegevens als de opdrachtgever dit opdraagt. Als de gegevens niet overeenkomstig de gegevensbeschermingswetgeving kunnen worden gewist of een dergelijke beperking van de gegevensverwerking niet mogelijk is, neemt de opdrachtnemer de vernietiging van gegevensdragers en andere materialen overeenkomstig de gegevensbeschermingswetgeving op basis van een individuele opdracht over of geeft deze gegevensdragers terug aan de opdrachtgever, voor zover dit niet al in de overeenkomst is vastgelegd. In specifieke, door de opdrachtgever te bepalen gevallen, worden gegevens bewaard of doorgegeven. De vergoeding en veiligheidsmaatregelen hiervoor moeten afzonderlijk worden overeengekomen, voor zover dit niet al in de overeenkomst is vastgelegd.

9. Gegevens, gegevensdragers en alle andere materialen moeten na afloop van de opdracht op verzoek van de opdrachtgever worden teruggegeven of gewist.

10. In het geval van een tenlastelegging van de opdrachtgever door een betrokkene met het oog op een vordering overeenkomstig art. 82 van de AVG verplicht de opdrachtnemer zich de opdrachtgever waar mogelijk te ondersteunen bij het afwijzen van de vordering. De hiervoor genoemde inspanningen die de opdrachtnemer moet leveren, moeten door de opdrachtgever worden vergoed met de geldige prijzen in de prijslijst.

§ 3 Plichten van de opdrachtgever

1. De opdrachtgever moet de opdrachtnemer onverwijld en volledig informeren als hij fouten heeft ontdekt in het geleverde of onregelmatigheden in bepalingen inzake gegevensbescherming vaststelt.

2. In het geval van een tenlastelegging van de opdrachtgever door een betrokkene met het oog op een vordering overeenkomstig art. 82 van de AVG is §3 lid 10 van toepassing.

3. De opdrachtgever wijst de opdrachtnemer aan als gesprekspartner bij eventuele vragen over gegevensbescherming in het kader van de overeenkomst.

§ 4 Aanvragen van betrokkenen

Als een betrokkene zich bij de opdrachtnemer meldt met de eis gegevens te rectificeren, wissen of in te zien, moet de opdrachtnemer de betrokkene verwijzen naar de opdrachtgever, voor zover een toewijzing aan de opdrachtgever volgens de gegevens van de betrokkene mogelijk is. De opdrachtnemer stuurt het verzoek van de betrokkene onverwijld door naar de opdrachtgever. De opdrachtnemer ondersteunt de opdrachtgever waar mogelijk volgens de instructies, voor zover dit is overeengekomen. De opdrachtnemer kan niet aansprakelijk worden gesteld als het verzoek van de betrokkene niet, niet goed of niet op tijd door de opdrachtgever wordt beantwoord.

§ 5 Bewijsmogelijkheden

1. De opdrachtnemer bewijst met geschikte middelen dat hij de in deze overeenkomst vastgelegde plichten nakomt.

2. Als er in specifieke gevallen inspecties moeten worden uitgevoerd door de opdrachtgever of een door de opdrachtgever gemachtigde controleur, worden deze zonder onderbreking van het werk na aankondiging hiervan na een passende aanlooptijd uitgevoerd. De opdrachtnemer mag hierbij eisen dat deze inspectie afhankelijk is van de vorige aankondiging met een passende aanlooptijd en mag hierbij verzoeken een geheimhoudingsverklaring te ondertekenen met het oog op de gegevens van andere klanten. Hij kan ook eisen dat de ingerichte technische en organisatorische maatregelen hiervan afhankelijk zijn. Als de door de opdrachtgever gemachtigde controleur een concurrent van de opdrachtnemer is, heeft de opdrachtnemer het recht hier bezwaar tegen te maken.

De opdrachtnemer krijgt voor het ondersteunen van het uitvoeren van een inspectie met de opdrachtgever zijn geleverde inspanning vergoed met zijn uurtarief.

3. Als een toezichthoudende autoriteit of een andere hooggeplaatste toezichthouder van de opdrachtgever een inspectie wil uitvoeren, is hier in principe lid 2 op van toepassing. Hier is geen geheimhoudingsverklaring voor nodig als deze toezichthoudende autoriteit onder het beroepsgeheim of de wettelijke geheimhouding valt en waar bij een overtreding overeenkomstig het Wetboek van Strafrecht sancties op staan.

§ 6 Onderaannemer (andere verwerkers)

1. De opdrachtnemer maakt voor het voldoen aan zijn contractuele verplichtingen gebruik van de in bijlage 4 genoemde onderaannemers.

2. Er is sprake van een onderaanneming als de opdrachtnemer meerdere opdrachtnemers de opdracht geeft alle of een deel van de overeengekomen diensten die in de overeenkomst zijn overeengekomen, uit te voeren. De opdrachtnemer maakt waar nodig afspraken met deze derde om passende gegevensbeschermings- en informatiebeveiligingsmaatregelen te waarborgen. De opdrachtgever gaat ermee akkoord dat de opdrachtnemer onderaannemers inschakelt. De opdrachtnemer informeert de opdrachtgever vóór het inschakelen of vervangen van onderaannemers met een termijn van drie weken. De opdrachtgever kan binnen een redelijke termijn en om zwaarwegende redenen bezwaar maken tegen deze wijziging. Als er binnen de termijn geen bezwaar wordt gemaakt, kan ervan uit worden gegaan dat er toestemming voor deze wijziging is gegeven.

3. Als de opdrachtnemer opdrachten aan onderaannemers vergeeft, is het de taak van de opdrachtnemer om zijn plichten inzake gegevensbescherming die uit deze overeenkomst voortvloeien, door te geven aan de onderaannemer.

§ 7 Informatieplicht, clausule, toepasselijk recht

1. Als de gegevens van de opdrachtgever bij de opdrachtnemer in gevaar komen door inbeslagneming, door een faillissement of door andere gebeurtenissen of maatregelen, moet de opdrachtnemer de opdrachtgever hier onverwijld van op de hoogte stellen. De opdrachtnemer informeert iedereen die in dit verband verantwoordelijk is, onverwijld erover dat uitsluitend de opdrachtgever als 'verwerkingsverantwoordelijke' als bedoeld in de algemene verordening gegevensbescherming eigenaar is van de gegevens.

2. Voor wijzigingen van en aanvullingen op deze voorwaarden en alle bijhorende delen, waaronder mogelijke toezeggingen van de opdrachtnemer, is een schriftelijke overeenkomst nodig. Dit kan ook in elektronische vorm worden gedaan en er moet uitdrukkelijk bij worden vermeld dat het om een wijziging van of aanvulling op deze voorwaarden gaat. Dit geldt ook als de overeenkomst niet in de vereiste vorm wordt opgesteld. Bij mogelijke bezwaren tegen voorwaarden in deze bijlage voor de gegevensbescherming hebben de voorwaarden in deze overeenkomst voorrang. Als delen van deze voorwaarden ongeldig zijn, heeft dit verder geen uitwerking op de werkzaamheid van de bijlage.

3. Hier is het Duitse recht op van toepassing.

Stand: mei 2018

Overeenkomst voor orderverwerking

Download hier de volgende documenten:

• Overeenkomst voor orderverwerking
• Bijlage 1 – beschrijving van bijzonder gevoelige gegevens / categorieën van gegevens
• Bijlage 2 – beschrijving van betrokkenen / betrokken groepen
• Bijlage 3 – technische en organisatorische maatregelen van de opdrachtnemer
• Bijlage 4 – goedgekeurde onderaannemers
• Bijlage 5 – bevoegden voor het geven van instructies
• Bijlage 6 – service

Als u verder nog vragen heeft, kunt u een mail in het Duits of Engels sturen naar datenschutz@wortmann.de