Verwerkingsovereenkomst

Indien ASK de loonadministratie voor u verzorgt verwerken wij in opdracht van u persoonsgegevens. Het is dan nodig een verwerkingsovereenkomst af te sluiten volgende de Algemene Verordening Gegevensbescherming (AVG). In de overeenkomst spreken we af hoe wij de persoonsgegevens verwerken, hoe deze veilig worden opgeslagen en hoe we omgaan met datalekken.

Deze verwerkingsovereenkomst maakt integraal onderdeel uit van onze algemene voorwaarden. Onze algemene voorwaarden bestaan uit de NOAB-leveringsvoorwaarden + de verwerkingsovereenkomst ASK.

De verwerkingsovereenkomst is alleen van toepassing op onze dienstverlening aangaande het verzorgen van de loonadministratie. Voor het opstellen van de jaarrekening en het daarbij horende verzorgen van de financiële administratie en voor advisering is de verwerkingsovereenkomst niet van toepassing omdat ASK dan geen verwerker maar verwerkingsverantwoordelijke is.

Verwerkingsovereenkomst ASK
NOAB leveringsvoorwaarden (PDF)

Verwerkingsovereenkomst ASK

1. Partijen en uitgangspunten

In deze verwerkingsovereenkomst bent u degene voor wie ASK de loonadministratie voert. U bent de Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt.

Wij zijn Administratiekantoor ASK BV (hierna: ASK), gevestigd te Amsterdam, bij de Kamer van Koophandel geregistreerd onder nummer 41208803. ASK is in deze overeenkomst de Verwerker.

  • ASK levert diensten aan u op het gebied van de loonadministratie. Deze overeenkomst gaat uitsluitend over de diensten die wij aangaande de loonadministratie voor u verrichten (en niet over de diensten die wij aangaande het opstellen van de jaarrekening, de daarbij behorende financiële administratie en aangaande advisering voor u verrichten).
  • Voor deze dienstverlening is het noodzakelijk dat u persoonsgegevens aan ASK verstrekt en ASK deze persoonsgegevens verwerkt.
  • U bent verantwoordelijk voor de verwerking van deze persoonsgegevens en dus de verwerkingsverantwoordelijke, en ASK is de verwerker, een en ander in de zin van de Europese Algemene Verordening Gegevensbescherming (hierna: de AVG).
  • De uitvoering van verwerkingen door ASK worden, gelet op artikel 28 lid 3 van de AVG, geregeld in deze verwerkingsovereenkomst.
  • Partijen zullen zich te allen tijde houden aan de toepasselijke bepalingen uit de AVG en deze verwerkingsovereenkomst. ASK zal zich daarnaast houden aan de redelijke instructie van u ten aanzien van de verwerking van persoonsgegevens.
  • De aanduidingen boven de artikelen van deze verwerkingsovereenkomst hebben uitsluitend tot doel de leesbaarheid van de verwerkingsovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich dus niet tot die aanduiding.
  • De verwerkingsovereenkomst maakt integraal onderdeel uit van de overeenkomst van opdracht, zodat de bepalingen uit die hoofdovereenkomst onverkort van toepassing zijn op de verwerkingsovereenkomst, behalve wanneer daarvan in de verwerkingsovereenkomst wordt afgeweken. In geval van strijdigheid tussen het bepaalde in de verwerkingsovereenkomst en de hoofdovereenkomst prevaleert het bepaalde in de verwerkingsovereenkomst.
  • De verwerkingsovereenkomst maakt integraal onderdeel uit van onze algemene voorwaarden. Onze algemene voorwaarden bestaan uit de NOAB-leveringsvoorwaarden en deze verwerkingsovereenkomst.

2. Doel verwerken van persoonsgegevens

U stelt het doel en de middelen voor de verwerking van persoonsgegevens vast. Het doel van de verwerking zoals vastgesteld door u is het uitvoeren van de loonadministratie betreffende personen bij u in dienst. Wij verwerken persoonsgegevens van uw (potentiële) werknemers (betrokkenen) om het voeren van de loonadministratie mogelijk te maken.

Doel van de verwerking is het voeren van de loonadministratie. Dit betekent dat ASK o.a. de volgende handelingen aangaande persoonsgegevens verricht

  • het registreren van loonheffingsverklaringen
  • het registreren van arbeidscontracten
  • het registreren van ID bewijzen van de werknemers
  • het berekenen en opstellen van bruto-netto loonspecificaties voor werknemers
  • het aanmaken van de loonjournaalpost in de administratie en het bijhouden van een loonstaat voor iedere individuele werknemer
  • het verzorgen van betaalopdrachten met betrekking tot de uit te betalen lonen van uw werknemers
  • het verzorgen van de maandelijkse aangiften loonheffingen
  • het controleren van de uitbetaalde lonen in relatie tot uitgebrachte aangiften loonheffingen en het zo nodig indienen van aanvullende aangiften loonheffingen
  • het controleren van eventuele naheffingsaanslagen loonheffingen
  • het doen van aangiften pensioenafdracht
  • het controleren van nota’s van pensioenfondsen, pensioenverzekeraars, verzuimverzekeraars en andere verzekeraars
  • het maken van pro forma-berekeningen van nettoloon en loonkosten
  • het periodiek controleren of de lonen van uw werknemers in overeenstemming zijn met de Wet op het Minimumloon en de Minimumvakantiebijslag, de cao of andere eventueel gehanteerde loon-schalen
  • het nagaan van het bestaan van toepasselijke loonkostensubsidies, afdrachtskortingen en dergelijke en het zo nodig aanvragen en toepassen daarvan
  • het na afloop van het kalenderjaar verzorgen van jaarloonopgaven ten behoeve van uw werknemers
  • het registreren en bewaren van alle overige door u en door derden verstrekte gegevens om de loonadministratie te kunnen voeren

Soorten persoonsgegevens die u aan ASK kunt verstrekken van betrokkenen

  • naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode en woonplaats
  • BSN nummer
  • telefoonnummer, e-mailadres en soortgelijke voor communicatie benodigde gegevens
  • bankrekeningnummer van de betrokkene
  • nationaliteit en geboorteplaats
  • gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van werknemers
  • gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene
  • gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op overeengekomen arbeidsvoorwaarden
  • overige gegevens die nodig zijn voor het berekenen van de lonen

ASK verwerkt deze persoonsgegevens uitsluitend ter uitvoering van de hoofdovereenkomst (het voeren van de loonadministratie), deze verwerkingsovereenkomst, en de door u gegeven instructies. ASK zal de persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.

ASK verwijdert één of meer van de persoonsgegevens, indien u daarom verzoekt, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.

ASK is gerechtigd subverwerkers in te schakelen. Exact Online en Microsoft (Office 365) zullen optreden als subverwerker, bij hen zullen persoonsgegevens worden opgeslagen. Daarnaast worden persoonsgegevens verstrekt aan belastingdienst, UWV, pensioenfonds of pensioenverzekeraar, verzuimverzekeraar, verzekeraar, accountant van verwerkingsverantwoordelijke en andere organisaties op uw verzoek of ter nakomeling van een verplichting. U geeft hierbij expliciet toestemming voor het inschakelen van genoemde partijen en het verstrekken van de gegevens.

ASK zal de persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Unie. Dit gebeurt in de Cloud op servers van Exact Online en Microsoft (Office 365). ASK heeft geen eigen server.

3. Verplichtingen verwerkingsverantwoordelijke

U garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. U garandeert verder dat de persoonsgegevens correct, niet onrechtmatig, ter zake dienend en niet bovenmatig zijn in het licht van het verwerkingsdoel. U vrijwaart ASK tegen aanspraken van derden welke op elke wijze voortvloeien uit het niet naleven van deze garantie(s).

U bent verantwoordelijk voor het vaststellen van het doel (het verwerkingsdoel) en de middelen van de verwerking van persoonsgegevens en u bent tegenover betrokkene(n) aansprakelijk voor de schade die wordt geleden als gevolg van een inbreuk op voornoemde verplichtingen, onverminderd de verplichtingen van ASK op grond van de hoofdovereenkomst en deze verwerkingsovereenkomst.

U bent verantwoordelijk voor de verwerking van de persoonsgegevens in het kader van deze verwerkingsovereenkomst en draagt in dat verband zorg voor het bijhouden van een register van verwerkingsactiviteiten die onder uw verantwoordelijkheid plaatsvinden. U draagt eveneens zorg voor het bijhouden van een (datalek)register teneinde te voldoen aan uw verplichting op grond van de AVG om eventuele datalekken te documenteren en rapporteren.

U bent verder verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen om te kunnen waarborgen en aan te tonen dat de verwerking van persoonsgegevens door ASK in overeenstemming met de toepasselijke privacy wet- en regelgeving wordt uitgevoerd.

U bent bovendien verantwoordelijk voor het informeren van betrokkenen en het effectueren van de rechten die de AVG aan betrokkenen geeft.

4. Verplichtingen ASK

ASK spant zich ervoor in de persoonsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de toepasselijke privacy wet- en regelgeving, te verwerken. ASK verwerkt de persoonsgegevens in opdracht van en ten behoeve van u en voor zover noodzakelijk in het kader van de overeengekomen dienst. ASK heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens.

ASK zal de persoonsgegevens niet wijzigen zonder opdracht daartoe van u. ASK spant zich ervoor in alle redelijke, schriftelijke instructies van u in verband met de verwerking van persoonsgegevens op te volgen, behoudens afwijkende wettelijke verplichtingen. ASK informeert u indien naar haar oordeel instructies in strijd zijn met de toepasselijke privacy wet- en regelgeving.

ASK is verantwoordelijk voor de verwerking van de persoonsgegevens die zij in het kader van de verwerkingsovereenkomst uitvoert in opdracht en ten behoeve van u. In dat kader zal zij een register van verwerkingsactiviteiten die zij in opdracht en ten behoeve van u uitvoert, bijhouden.

ASK zal in het kader van beveiligingsincidenten en/of datalekken de medewerking en ondersteuning verlenen – voor zover dat althans redelijkerwijs van haar verlangd kan worden – aan u en/of betrokkene(n) overeenkomstig het bepaalde in artikel 6 en in de volgende alinea.

ASK zal haar redelijke medewerking verlenen aan u om:

  • Betrokkenen inzage te geven in hun persoonsgegevens;
  • Persoonsgegevens op verzoek of na een klacht van betrokkene(n) te verwijderen, corrigeren, over te dragen aan een andere leverancier en/of af te schermen en aan te vullen;
  • Aan te tonen dat persoonsgegevens na een verzoek of na een klacht van betrokkene(n) zijn verwijderd, gecorrigeerd, afgeschermd, overgedragen of aangevuld;
  • U te informeren over een verzoek of bevel van, of onderzoek door, een toezichthouder of andere bevoegde autoriteit, voor zover toegestaan op grond van toepasselijke wet- en regelgeving;
  • U zal de uitvoeringskosten die ASK redelijkerwijs moet maken om aan haar verplichting(en) in dit artikel te voldoen, vergoeden.

Indien een betrokkene een verzoek richt aan ASK, zullen wij dit verzoek doorsturen aan u.

5. Beveiliging

ASK zal zich er voor inspannen passende technische en organisatorische beveiligingsmaatregelen te treffen, die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen en te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarborgen, gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen.

Momenteel zijn de volgende beveiligingsmaatregelen getroffen. ASK bewaart de persoonsgegevens bij gecertificeerde aanbieders van loonsoftware en Cloudsoftware. Momenteel bevinden de rechtstreeks bij de loonadministratie behorende gegevens en documenten zich bij Exact Online. Wij maken gebruik van verificatie in twee stappen. Mails en documenten bevinden zich daarnaast bij Microsoft Office 365. ASK bewaart geen gegevens op een eigen server. Identiteitsbewijzen worden slechts op één plaats bewaard: in de loonadministratie bij Exact Online. U erkent dat deze maatregelen passende technische en organisatorische maatregelen zijn als bedoeld in artikel 32 van de AVG. In dat kader vrijwaart u ASK voor aanspraken van derden, waaronder uitdrukkelijk betrokkenen dienen te worden verstaan, die zijn gefundeerd op de bewering dat de technische en organisatorische beveiligingsmaatregelen die ASK heeft getroffen, op uw verzoek, niet deugdelijk of onvoldoende zouden zijn.

6. Datalekken

U bent verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een datalek aan een toezichthoudende autoriteit en/of betrokkene(n).

ASK zal enig datalek of vrees daarvoor, na ontdekking hiervan door ASK, zo snel mogelijk rapporteren aan u. ASK rapporteert zowel telefonisch als door middel van een elektronisch bericht. ASK vermeldt hierbij de volgende gegevens: De (vermoedelijke) oorzaak van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokken en persoonsgegevensregisters in kwestie, de vooralsnog bekende en/of te verwachten gevolgen van het datalek, de locatiegegevens van het datalek, de eventuele onbevoegde ontvangers van de persoonsgegevens en alle beschikbare informatie over hen, voorstellen voor maatregelen ter beperking van de schade en overige gegevens die een melding van een datalek aan een toezichthoudende autoriteit en aan betrokkenen moet omvatten volgens de relevante wet- en regelgeving, waaronder in het bijzonder de Bijlage ‘Gegevens in de melding’ bij de ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ van de Autoriteit Persoonsgegevens.

ASK zal op verzoek van u meewerken aan het informeren van betrokkenen of de toezichthoudende instanties over het datalek, en zich beschikbaar houden voor overleg met u.

U en ASK betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het datalek, eventuele vrees voor een datalek en verdere gerelateerde zaken. ASK publiceert in geen geval informatie over een datalek zonder de voorgaande expliciete schriftelijke toestemming van en goedkeuring door u van de beoogde berichtgeving.

7. Geheimhouding

Partijen zijn zich ervan bewust dat persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de hoofdovereenkomst en deze verwerkingsovereenkomst, behoudens afwijkende wettelijke verplichtingen.

Partijen zullen de persoonsgegevens niet aan anderen ter beschikking stellen dan hun eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. ASK zal haar werknemers en/of derden die toegang hebben tot de persoonsgegevens op de hoogte stellen van de op de persoonsgegevens rustende geheimhoudingsverplichting en de nodige stappen ondernemen om verdere geheimhouding te waarborgen. Waar nodig zal ASK een overeenkomst tot geheimhouding sluiten.

8. Aansprakelijkheid

U bent aansprakelijk voor schade die of nadeel dat een rechtspersoon of natuurlijke persoon, zoals -maar niet beperkt tot- betrokkenen, lijdt doordat wordt gehandeld in strijd met de bij of krachtens de AVG en deze verwerkingsovereenkomst gegeven voorschriften.

ASK is slechts aansprakelijk voor de schade of het nadeel voor zover dit is ontstaan door het niet naleven van de verplichtingen uit hoofde van de AVG of deze verwerkingsovereenkomst. De totale aansprakelijkheid van ASK als gevolg van een aan ASK toe te rekenen tekortkoming in de nakoming van de verplichtingen uit deze verwerkingsovereenkomst is beperkt tot de jaarlijkse vergoeding (exclusief omzetbelasting) die ASK van u ontvangt met een maximum van € 5.000 (vijfduizend euro), waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis.

ASK is tegenover u niet aansprakelijk voor:

  • enige schade van u als gevolg van de niet-naleving door u van enige verplichting uit hoofde van de AVG, waaronder in ieder geval, doch daartoe niet beperkt, de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering, en/of
  • enige boete die u uit hoofde van de AVG wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot boetes ten gevolge van het niet-naleven door u van de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering, en
  • u vrijwaart ASK voor claims van derden in verband met enige schade van (een) derde(n) en/of enige aan (een) derde(n) (daaronder betrokkenen begrepen) opgelegde boete uit hoofde van niet-naleving van wettelijke verplichtingen uit de AVG wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot schade en/of boetes ten gevolge van het niet-naleven door u van de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering.

9. Duur

Doordat u ons opdracht heeft gegeven de loonadministratie voor u te voeren geldt deze verwerkingsovereenkomst. Deze verwerkingsovereenkomst geldt zolang de hoofdovereenkomst aangaande het voeren van de loonadministratie voortduurt.

De verwerkingsovereenkomst eindigt bij de beëindiging van de hoofdovereenkomst aangaande het voeren van de loonadministratie. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de verwerkingsovereenkomst voort te duren, blijven na beëindiging van de verwerkingsovereenkomst gelden. Tot deze verplichtingen behoren in ieder geval die welke voortvloeien uit de bepalingen in de verwerkingsovereenkomst die betrekking hebben op “Geheimhouding”, “Aansprakelijkheid”, “Overdracht en vernietiging”, “Slotbepalingen” en “Toepasselijk recht en geschillen”.

10. Audit

U bent gerechtigd -na overleg met ASK en op eigen kosten- de verwerkingen en de naleving van de in deze verwerkingsovereenkomst overeengekomen technische en organisatorische beveiligingsmaatregelen door ASK te laten controleren door onafhankelijke auditors, zonder vertrouwelijke informatie van ASK of van andere klanten van ASK te gebruiken en in te zien en zonder de werkprocessen van ASK te verstoren.

Indien uit de controle blijkt dat ASK niet volledig voldoet aan haar verplichtingen op grond van deze verwerkingsovereenkomst, zal ASK zich ervoor inspannen de door de controle aangetoonde tekortkomingen te beëindigen.

De controle zal ten hoogste éénmaal per jaar plaatsvinden, tenzij u redelijkerwijs aanwijzingen heeft dat ASK haar verplichtingen op grond van deze verwerkingsovereenkomst niet nakomt. ASK zal u alle gegevens en informatie verstrekken die u redelijkerwijs nodig heeft voor de controle.

U zal de kosten van een dergelijke controle dragen, inclusief de kosten van het personeel van ASK dat de controle begeleidt. Indien uit de controle blijkt dat ASK toerekenbaar tekort is geschoten in de op haar rustende wezenlijke verplichtingen uit de verwerkingsovereenkomst komen de kosten van de controle voor rekening van ASK.

11. Wijziging

Indien zich in de toekomst wijzigingen voordoen in de nationale of Europese regelgeving over de bescherming van persoonsgegevens, zal ASK deze verwerkingsovereenkomst wijzigingen voor zover dit nodig is om aan die nieuwe regelgeving te voldoen.

Indien één of meer bepalingen van de verwerkingsovereenkomst onverbindend zouden blijken te zijn, dan blijven de overige bepalingen van deze verwerkingsovereenkomst van kracht. ASK zal dan de niet-verbindende bepaling vervangen door een bepaling die wel verbindend is en die zo min mogelijk – gelet op het doel en de strekking van de verwerkingsovereenkomst – afwijkt van de niet verbindende bepaling.

12. Overdracht en vernietiging van persoonsgegevens

Indien de hoofdovereenkomst op welke wijze dan ook eindigt, dan wel op eerste verzoek van u, zal ASK (tenzij een wettelijke plicht of een verzoek van een daartoe bevoegde instantie haar dat belet) het betreffende gebruik of andere verwerking van de persoonsgegevens staken en er binnen redelijke termijn zorg voor dragen dat alle persoonsgegevens, kopieën en bewerkingen daarvan alsmede documenten en/of andere informatiedragers die persoonsgegevens bevatten, op schriftelijk verzoek van u worden overgedragen aan u (en/of een door u aan te wijzen derde) of op schriftelijk verzoek van u worden verwijderd en vernietigd. De overdracht van de administratie in Exact Online zal plaatsvinden door eigendomsoverdracht van uw administratie naar een eigen Exact Online licentie of naar de licentie van een door u aan te wijzen derde.

Indien geen gebruik wordt gemaakt van de mogelijkheid tot overdracht van de Exact Online administratie zal ASK na de wettelijke bewaartermijn van zeven jaar de administratie bij Exact Online verwijderen. Ook alle overige gegevens die zich bij subverwerkers bevinden worden indien geen gebruik wordt gemaakt van overdracht na zeven jaar verwijderd.

De kosten die zijn gemoeid met de in dit artikel genoemde inspanningen van ASK, komen voor uw rekening.

Artikel 13. Toepasselijk recht

Op deze verwerkingsovereenkomst is het Nederlands recht van toepassing. Geschillen tussen partijen, die niet in overleg kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde Nederlandse rechter in het arrondissement waar ASK gevestigd is. Indien er vragen zijn over de verwerkingsovereenkomst kan er contact worden opgenomen met ASK. Mail of bel ASK op info@kantoorask.nl of 020-6208339.

Versie 15 mei 2018

Verwerkingsovereenkomst ASK

1. Partijen en uitgangspunten

In deze verwerkingsovereenkomst bent u degene voor wie ASK de loonadministratie voert. U bent de Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt.

Wij zijn Administratiekantoor ASK BV (hierna: ASK), gevestigd te Amsterdam, bij de Kamer van Koophandel geregistreerd onder nummer 41208803. ASK is in deze overeenkomst de Verwerker.

  • ASK levert diensten aan u op het gebied van de loonadministratie. Deze overeenkomst gaat uitsluitend over de diensten die wij aangaande de loonadministratie voor u verrichten (en niet over de diensten die wij aangaande het opstellen van de jaarrekening, de daarbij behorende financiële administratie en aangaande advisering voor u verrichten).
  • Voor deze dienstverlening is het noodzakelijk dat u persoonsgegevens aan ASK verstrekt en ASK deze persoonsgegevens verwerkt.
  • U bent verantwoordelijk voor de verwerking van deze persoonsgegevens en dus de verwerkingsverantwoordelijke, en ASK is de verwerker, een en ander in de zin van de Europese Algemene Verordening Gegevensbescherming (hierna: de AVG).
  • De uitvoering van verwerkingen door ASK worden, gelet op artikel 28 lid 3 van de AVG, geregeld in deze verwerkingsovereenkomst.
  • Partijen zullen zich te allen tijde houden aan de toepasselijke bepalingen uit de AVG en deze verwerkingsovereenkomst. ASK zal zich daarnaast houden aan de redelijke instructie van u ten aanzien van de verwerking van persoonsgegevens.
  • De aanduidingen boven de artikelen van deze verwerkingsovereenkomst hebben uitsluitend tot doel de leesbaarheid van de verwerkingsovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich dus niet tot die aanduiding.
  • De verwerkingsovereenkomst maakt integraal onderdeel uit van de overeenkomst van opdracht, zodat de bepalingen uit die hoofdovereenkomst onverkort van toepassing zijn op de verwerkingsovereenkomst, behalve wanneer daarvan in de verwerkingsovereenkomst wordt afgeweken. In geval van strijdigheid tussen het bepaalde in de verwerkingsovereenkomst en de hoofdovereenkomst prevaleert het bepaalde in de verwerkingsovereenkomst.
  • De verwerkingsovereenkomst maakt integraal onderdeel uit van onze algemene voorwaarden. Onze algemene voorwaarden bestaan uit de NOAB-leveringsvoorwaarden en deze verwerkingsovereenkomst.

2. Doel verwerken van persoonsgegevens

U stelt het doel en de middelen voor de verwerking van persoonsgegevens vast. Het doel van de verwerking zoals vastgesteld door u is het uitvoeren van de loonadministratie betreffende personen bij u in dienst. Wij verwerken persoonsgegevens van uw (potentiële) werknemers (betrokkenen) om het voeren van de loonadministratie mogelijk te maken.

Doel van de verwerking is het voeren van de loonadministratie. Dit betekent dat ASK o.a. de volgende handelingen aangaande persoonsgegevens verricht

  • het registreren van loonheffingsverklaringen
  • het registreren van arbeidscontracten
  • het registreren van ID bewijzen van de werknemers
  • het berekenen en opstellen van bruto-netto loonspecificaties voor werknemers
  • het aanmaken van de loonjournaalpost in de administratie en het bijhouden van een loonstaat voor iedere individuele werknemer
  • het verzorgen van betaalopdrachten met betrekking tot de uit te betalen lonen van uw werknemers
  • het verzorgen van de maandelijkse aangiften loonheffingen
  • het controleren van de uitbetaalde lonen in relatie tot uitgebrachte aangiften loonheffingen en het zo nodig indienen van aanvullende aangiften loonheffingen
  • het controleren van eventuele naheffingsaanslagen loonheffingen
  • het doen van aangiften pensioenafdracht
  • het controleren van nota’s van pensioenfondsen, pensioenverzekeraars, verzuimverzekeraars en andere verzekeraars
  • het maken van pro forma-berekeningen van nettoloon en loonkosten
  • het periodiek controleren of de lonen van uw werknemers in overeenstemming zijn met de Wet op het Minimumloon en de Minimumvakantiebijslag, de cao of andere eventueel gehanteerde loon-schalen
  • het nagaan van het bestaan van toepasselijke loonkostensubsidies, afdrachtskortingen en dergelijke en het zo nodig aanvragen en toepassen daarvan
  • het na afloop van het kalenderjaar verzorgen van jaarloonopgaven ten behoeve van uw werknemers
  • het registreren en bewaren van alle overige door u en door derden verstrekte gegevens om de loonadministratie te kunnen voeren

Soorten persoonsgegevens die u aan ASK kunt verstrekken van betrokkenen

  • naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode en woonplaats
  • BSN nummer
  • telefoonnummer, e-mailadres en soortgelijke voor communicatie benodigde gegevens
  • bankrekeningnummer van de betrokkene
  • nationaliteit en geboorteplaats
  • gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van werknemers
  • gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene
  • gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op overeengekomen arbeidsvoorwaarden
  • overige gegevens die nodig zijn voor het berekenen van de lonen

ASK verwerkt deze persoonsgegevens uitsluitend ter uitvoering van de hoofdovereenkomst (het voeren van de loonadministratie), deze verwerkingsovereenkomst, en de door u gegeven instructies. ASK zal de persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.

ASK verwijdert één of meer van de persoonsgegevens, indien u daarom verzoekt, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.

ASK is gerechtigd subverwerkers in te schakelen. Exact Online en Microsoft (Office 365) zullen optreden als subverwerker, bij hen zullen persoonsgegevens worden opgeslagen. Daarnaast worden persoonsgegevens verstrekt aan belastingdienst, UWV, pensioenfonds of pensioenverzekeraar, verzuimverzekeraar, verzekeraar, accountant van verwerkingsverantwoordelijke en andere organisaties op uw verzoek of ter nakomeling van een verplichting. U geeft hierbij expliciet toestemming voor het inschakelen van genoemde partijen en het verstrekken van de gegevens.

ASK zal de persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Unie. Dit gebeurt in de Cloud op servers van Exact Online en Microsoft (Office 365). ASK heeft geen eigen server.

3. Verplichtingen verwerkingsverantwoordelijke

U garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. U garandeert verder dat de persoonsgegevens correct, niet onrechtmatig, ter zake dienend en niet bovenmatig zijn in het licht van het verwerkingsdoel. U vrijwaart ASK tegen aanspraken van derden welke op elke wijze voortvloeien uit het niet naleven van deze garantie(s).

U bent verantwoordelijk voor het vaststellen van het doel (het verwerkingsdoel) en de middelen van de verwerking van persoonsgegevens en u bent tegenover betrokkene(n) aansprakelijk voor de schade die wordt geleden als gevolg van een inbreuk op voornoemde verplichtingen, onverminderd de verplichtingen van ASK op grond van de hoofdovereenkomst en deze verwerkingsovereenkomst.

U bent verantwoordelijk voor de verwerking van de persoonsgegevens in het kader van deze verwerkingsovereenkomst en draagt in dat verband zorg voor het bijhouden van een register van verwerkingsactiviteiten die onder uw verantwoordelijkheid plaatsvinden. U draagt eveneens zorg voor het bijhouden van een (datalek)register teneinde te voldoen aan uw verplichting op grond van de AVG om eventuele datalekken te documenteren en rapporteren

U bent verder verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen om te kunnen waarborgen en aan te tonen dat de verwerking van persoonsgegevens door ASK in overeenstemming met de toepasselijke privacy wet- en regelgeving wordt uitgevoerd.

U bent bovendien verantwoordelijk voor het informeren van betrokkenen en het effectueren van de rechten die de AVG aan betrokkenen geeft.

4. Verplichtingen ASK

ASK spant zich ervoor in de persoonsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de toepasselijke privacy wet- en regelgeving, te verwerken. ASK verwerkt de persoonsgegevens in opdracht van en ten behoeve van u en voor zover noodzakelijk in het kader van de overeengekomen dienst. ASK heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens.

ASK zal de persoonsgegevens niet wijzigen zonder opdracht daartoe van u. ASK spant zich ervoor in alle redelijke, schriftelijke instructies van u in verband met de verwerking van persoonsgegevens op te volgen, behoudens afwijkende wettelijke verplichtingen. ASK informeert u indien naar haar oordeel instructies in strijd zijn met de toepasselijke privacy wet- en regelgeving.

ASK is verantwoordelijk voor de verwerking van de persoonsgegevens die zij in het kader van de verwerkingsovereenkomst uitvoert in opdracht en ten behoeve van u. In dat kader zal zij een register van verwerkingsactiviteiten die zij in opdracht en ten behoeve van u uitvoert, bijhouden.

ASK zal in het kader van beveiligingsincidenten en/of datalekken de medewerking en ondersteuning verlenen – voor zover dat althans redelijkerwijs van haar verlangd kan worden – aan u en/of betrokkene(n) overeenkomstig het bepaalde in artikel 6 en in de volgende alinea.

ASK zal haar redelijke medewerking verlenen aan u om:

  • Betrokkenen inzage te geven in hun persoonsgegevens;
  • Persoonsgegevens op verzoek of na een klacht van betrokkene(n) te verwijderen, corrigeren, over te dragen aan een andere leverancier, en/of af te schermen en aan te vullen;
  • Aan te tonen dat persoonsgegevens na een verzoek of na een klacht van betrokkene(n) zijn verwijderd, gecorrigeerd, afgeschermd, overgedragen of aangevuld;
  • U te informeren over een verzoek of bevel van, of onderzoek door, een toezichthouder of andere bevoegde autoriteit, voor zover toegestaan op grond van toepasselijke wet- en regelgeving;
  • U zal de uitvoeringskosten die ASK redelijkerwijs moet maken om aan haar verplichting(en) in dit artikel te voldoen, vergoeden.

Indien een betrokkene een verzoek richt aan ASK, zullen wij dit verzoek doorsturen aan u.

5. Beveiliging

ASK zal zich er voor inspannen passende technische en organisatorische beveiligingsmaatregelen te treffen, die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen en te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarborgen, gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen.

Momenteel zijn de volgende beveiligingsmaatregelen getroffen. ASK bewaart de persoonsgegevens bij gecertificeerde aanbieders van loonsoftware en Cloudsoftware. Momenteel bevinden de rechtstreeks bij de loonadministratie behorende gegevens en documenten zich bij Exact Online. Wij maken gebruik van verificatie in twee stappen. Mails en documenten bevinden zich daarnaast bij Microsoft Office 365. ASK bewaart geen gegevens op een eigen server. Identiteitsbewijzen worden slechts op één plaats bewaard: in de loonadministratie bij Exact Online. U erkent dat deze maatregelen passende technische en organisatorische maatregelen zijn als bedoeld in artikel 32 van de AVG. In dat kader vrijwaart u ASK voor aanspraken van derden, waaronder uitdrukkelijk betrokkenen dienen te worden verstaan, die zijn gefundeerd op de bewering dat de technische en organisatorische beveiligingsmaatregelen die ASK heeft getroffen, op uw verzoek, niet deugdelijk of onvoldoende zouden zijn.

6. Datalekken

U bent verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een datalek aan een toezichthoudende autoriteit en/of betrokkene(n).

ASK zal enig datalek of vrees daarvoor, na ontdekking hiervan door ASK, zo snel mogelijk rapporteren aan u. ASK rapporteert zowel telefonisch als door middel van een elektronisch bericht. ASK vermeldt hierbij de volgende gegevens: De (vermoedelijke) oorzaak van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokken en persoonsgegevensregisters in kwestie, de vooralsnog bekende en/of te verwachten gevolgen van het datalek, de locatiegegevens van het datalek, de eventuele onbevoegde ontvangers van de persoonsgegevens en alle beschikbare informatie over hen, voorstellen voor maatregelen ter beperking van de schade en overige gegevens die een melding van een datalek aan een toezichthoudende autoriteit en aan betrokken moet omvatten volgens de relevante wet- en regelgeving, waaronder in het bijzonder de Bijlage ‘Gegevens in de melding’ bij de ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ van de Autoriteit Persoonsgegevens.

ASK zal op verzoek van u meewerken aan het informeren van betrokkenen of de toezichthoudende instanties over het datalek, en zich beschikbaar houden voor overleg met u.

U en ASK betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het datalek, eventuele vrees voor een datalek en verdere gerelateerde zaken. ASK publiceert in geen geval informatie over een datalek zonder de voorgaande expliciete schriftelijke toestemming van en goedkeuring door u van de beoogde berichtgeving.

7. Geheimhouding

Partijen zijn zich ervan bewust dat persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de hoofdovereenkomst en deze verwerkingsovereenkomst, behoudens afwijkende wettelijke verplichtingen.

Partijen zullen de persoonsgegevens niet aan anderen ter beschikking stellen dan hun eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. ASK zal haar werknemers en/of derden die toegang hebben tot de persoonsgegevens op de hoogte stellen van de op de persoonsgegevens rustende geheimhoudingsverplichting en de nodige stappen ondernemen om verdere geheimhouding te waarborgen. Waar nodig zal ASK een overeenkomst tot geheimhouding sluiten.

8. Aansprakelijkheid

U bent aansprakelijk voor schade die of nadeel dat een rechtspersoon of natuurlijke persoon, zoals -maar niet beperkt tot- betrokkenen, lijdt doordat wordt gehandeld in strijd met de bij of krachtens de AVG en deze verwerkingsovereenkomst gegeven voorschriften.

ASK is slechts aansprakelijk voor de schade of het nadeel voor zover dit is ontstaan door het niet naleven van de verplichtingen uit hoofde van de AVG of deze verwerkingsovereenkomst. De totale aansprakelijkheid van ASK als gevolg van een aan ASK toe te rekenen tekortkoming in de nakoming van de verplichtingen uit deze verwerkingsovereenkomst is beperkt tot de jaarlijkse vergoeding (exclusief omzetbelasting) die ASK van u ontvangt met een maximum van € 5.000 (vijfduizend euro), waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis.

ASK is tegenover u niet aansprakelijk voor:

  • enige schade van u als gevolg van de niet-naleving door u van enige verplichting uit hoofde van de AVG, waaronder in ieder geval, doch daartoe niet beperkt, de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering, en/of
  • enige boete die u uit hoofde van de AVG wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot boetes ten gevolge van het niet-naleven door u van de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering, en
  • U vrijwaart ASK voor claims van derden in verband met enige schade van (een) derde(n) en/of enige aan (een) derde(n) (daaronder betrokkenen begrepen) opgelegde boete uit hoofde van niet-naleving van wettelijke verplichtingen uit de AVG wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot schade en/of boetes ten gevolge van het niet-naleven door u van de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering.

9. Duur

Doordat u ons opdracht heeft gegeven de loonadministratie voor u te voeren geldt deze verwerkingsovereenkomst. Deze verwerkingsovereenkomst geldt zolang de hoofdovereenkomst aangaande het voeren van de loonadministratie voortduurt.

De verwerkingsovereenkomst eindigt bij de beëindiging van de hoofdovereenkomst aangaande het voeren van de loonadministratie. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de verwerkingsovereenkomst voort te duren, blijven na beëindiging van de verwerkingsovereenkomst gelden. Tot deze verplichtingen behoren in ieder geval die welke voortvloeien uit de bepalingen in de verwerkingsovereenkomst die betrekking hebben op “Geheimhouding”, “Aansprakelijkheid”, “Overdracht en vernietiging”, “Slotbepalingen” en “Toepasselijk recht en geschillen”.

10. Audit

U bent gerechtigd -na overleg met ASK en op eigen kosten- de verwerkingen en de naleving van de in deze verwerkingsovereenkomst overeengekomen technische en organisatorische beveiligingsmaatregelen door ASK te laten controleren door onafhankelijke auditors, zonder vertrouwelijke informatie van ASK of van andere klanten van ASK te gebruiken en in te zien en zonder de werkprocessen van ASK te verstoren.

Indien uit de controle blijkt dat ASK niet volledig voldoet aan haar verplichtingen op grond van deze verwerkingsovereenkomst, zal ASK zich ervoor inspannen de door de controle aangetoonde tekortkomingen te beëindigen.

De controle zal ten hoogste éénmaal per jaar plaatsvinden, tenzij u redelijkerwijs aanwijzingen heeft dat ASK haar verplichtingen op grond van deze verwerkingsovereenkomst niet nakomt. ASK zal u alle gegevens en informatie verstrekken die u redelijkerwijs nodig heeft voor de controle.

U zal de kosten van een dergelijke controle dragen, inclusief de kosten van het personeel van ASK dat de controle begeleidt. Indien uit de controle blijkt dat ASK toerekenbaar tekort is geschoten in de op haar rustende wezenlijke verplichtingen uit de verwerkingsovereenkomst komen de kosten van de controle voor rekening van ASK.

11. Wijziging

Indien zich in de toekomst wijzigingen voordoen in de nationale of Europese regelgeving over de bescherming van persoonsgegevens, zal ASK deze verwerkingsovereenkomst wijzigingen voor zover dit nodig is om aan die nieuwe regelgeving te voldoen.

Indien één of meer bepalingen van de verwerkingsovereenkomst onverbindend zouden blijken te zijn, dan blijven de overige bepalingen van deze verwerkingsovereenkomst van kracht. ASK zal dan de niet-verbindende bepaling vervangen door een bepaling die wel verbindend is en die zo min mogelijk – gelet op het doel en de strekking van de verwerkingsovereenkomst – afwijkt van de niet verbindende bepaling.

12. Overdracht en vernietiging van persoonsgegevens

Indien de hoofdovereenkomst op welke wijze dan ook eindigt, dan wel op eerste verzoek van u, zal ASK (tenzij een wettelijke plicht of een verzoek van een daartoe bevoegde instantie haar dat belet) het betreffende gebruik of andere verwerking van de persoonsgegevens staken en er binnen redelijke termijn zorg voor dragen dat alle persoonsgegevens, kopieën en bewerkingen daarvan alsmede documenten en/of andere informatiedragers die persoonsgegevens bevatten, op schriftelijk verzoek van u worden overgedragen aan u (en/of een door u aan te wijzen derde) of op schriftelijk verzoek van u worden verwijderd en vernietigd. De overdracht van de administratie in Exact Online zal plaatsvinden door eigendomsoverdracht van uw administratie naar een eigen Exact Online licentie of naar de licentie van een door u aan te wijzen derde.

Indien geen gebruik wordt gemaakt van de mogelijkheid tot overdracht van de Exact Online administratie zal ASK na de wettelijke bewaartermijn van zeven jaar de administratie bij Exact Online verwijderen. Ook alle overige gegevens die zich bij subverwerkers bevinden worden indien geen gebruik wordt gemaakt van overdracht na zeven jaar verwijderd.

De kosten die zijn gemoeid met de in dit artikel genoemde inspanningen van ASK, komen voor uw rekening.

Artikel 13. Toepasselijk recht

Op deze verwerkingsovereenkomst is het Nederlandse recht van toepassing. Geschillen tussen partijen, die niet in overleg kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde Nederlandse rechter in het arrondissement waar ASK gevestigd is. Indien er vragen zijn over de verwerkingsovereenkomst kan er contact worden opgenomen met ASK. Mail of bel ASK op info@kantoorask.nl of 020-6208339.

Versie 15 mei 2018

Verwerkingsovereenkomst ASK

1. Partijen en uitgangspunten

In deze verwerkingsovereenkomst bent u degene voor wie ASK de loonadministratie voert. U bent de Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt.

Wij zijn Administratiekantoor ASK BV (hierna: ASK), gevestigd te Amsterdam, bij de Kamer van Koophandel geregistreerd onder nummer 41208803. ASK is in deze overeenkomst de Verwerker.

  • ASK levert diensten aan u op het gebied van de loonadministratie. Deze overeenkomst gaat uitsluitend over de diensten die wij aangaande de loonadministratie voor u verrichten (en niet over de diensten die wij aangaande het opstellen van de jaarrekening, de daarbij behorende financiële administratie en aangaande advisering voor u verrichten).
  • Voor deze dienstverlening is het noodzakelijk dat u persoonsgegevens aan ASK verstrekt en ASK deze persoonsgegevens verwerkt.
  • U bent verantwoordelijk voor de verwerking van deze persoonsgegevens en dus de verwerkingsverantwoordelijke, en ASK is de verwerker, een en ander in de zin van de Europese Algemene Verordening Gegevensbescherming (hierna: de AVG).
  • De uitvoering van verwerkingen door ASK worden, gelet op artikel 28 lid 3 van de AVG, geregeld in deze verwerkingsovereenkomst.
  • Partijen zullen zich te allen tijde houden aan de toepasselijke bepalingen uit de AVG en deze verwerkingsovereenkomst. ASK zal zich daarnaast houden aan de redelijke instructie van u ten aanzien van de verwerking van persoonsgegevens.
  • De aanduidingen boven de artikelen van deze verwerkingsovereenkomst hebben uitsluitend tot doel de leesbaarheid van de verwerkingsovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich dus niet tot die aanduiding.
  • De verwerkingsovereenkomst maakt integraal onderdeel uit van de overeenkomst van opdracht, zodat de bepalingen uit die hoofdovereenkomst onverkort van toepassing zijn op de verwerkingsovereenkomst, behalve wanneer daarvan in de verwerkingsovereenkomst wordt afgeweken. In geval van strijdigheid tussen het bepaalde in de verwerkingsovereenkomst en de hoofdovereenkomst prevaleert het bepaalde in de verwerkingsovereenkomst.
  • De verwerkingsovereenkomst maakt integraal onderdeel uit van onze algemene voorwaarden. Onze algemene voorwaarden bestaan uit de NOAB-leveringsvoorwaarden en deze verwerkingsovereenkomst.

2. Doel verwerken van persoonsgegevens

U stelt het doel en de middelen voor de verwerking van persoonsgegevens vast. Het doel van de verwerking zoals vastgesteld door u is het uitvoeren van de loonadministratie betreffende personen bij u in dienst. Wij verwerken persoonsgegevens van uw (potentiële) werknemers (betrokkenen) om het voeren van de loonadministratie mogelijk te maken.

Doel van de verwerking is het voeren van de loonadministratie. Dit betekent dat ASK o.a. de volgende handelingen aangaande persoonsgegevens verricht

  • het registreren van loonheffingsverklaringen
  • het registreren van arbeidscontracten
  • het registreren van ID bewijzen van de werknemers
  • het berekenen en opstellen van bruto-netto loonspecificaties voor werknemers
  • het aanmaken van de loonjournaalpost in de administratie en het bijhouden van een loonstaat voor iedere individuele werknemer
  • het verzorgen van betaalopdrachten met betrekking tot de uit te betalen lonen van uw werknemers
  • het verzorgen van de maandelijkse aangiften loonheffingen
  • het controleren van de uitbetaalde lonen in relatie tot uitgebrachte aangiften loonheffingen en het zo nodig indienen van aanvullende aangiften loonheffingen
  • het controleren van eventuele naheffingsaanslagen loonheffingen
  • het doen van aangiften pensioenafdracht
  • het controleren van nota’s van pensioenfondsen, pensioenverzekeraars, verzuimverzekeraars en andere verzekeraars
  • het maken van pro forma-berekeningen van nettoloon en loonkosten
  • het periodiek controleren of de lonen van uw werknemers in overeenstemming zijn met de Wet op het Minimumloon en de Minimumvakantiebijslag, de cao of andere eventueel gehanteerde loon-schalen
  • het nagaan van het bestaan van toepasselijke loonkostensubsidies, afdrachtskortingen en dergelijke en het zo nodig aanvragen en toepassen daarvan
  • het na afloop van het kalenderjaar verzorgen van jaarloonopgaven ten behoeve van uw werknemers
  • het registreren en bewaren van alle overige door u en door derden verstrekte gegevens om de loonadministratie te kunnen voeren

Soorten persoonsgegevens die u aan ASK kunt verstrekken van betrokkenen

  • naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode en woonplaats
  • BSN nummer
  • telefoonnummer, e-mailadres en soortgelijke voor communicatie benodigde gegevens
  • bankrekeningnummer van de betrokkene
  • nationaliteit en geboorteplaats
  • gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van werknemers
  • gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene
  • gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op overeengekomen arbeidsvoorwaarden
  • overige gegevens die nodig zijn voor het berekenen van de lonen

ASK verwerkt deze persoonsgegevens uitsluitend ter uitvoering van de hoofdovereenkomst (het voeren van de loonadministratie), deze verwerkingsovereenkomst, en de door u gegeven instructies. ASK zal de persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.

ASK verwijdert één of meer van de persoonsgegevens, indien u daarom verzoekt, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.

ASK is gerechtigd subverwerkers in te schakelen. Exact Online en Microsoft (Office 365) zullen optreden als subverwerker, bij hen zullen persoonsgegevens worden opgeslagen. Daarnaast worden persoonsgegevens verstrekt aan belastingdienst, UWV, pensioenfonds of pensioenverzekeraar, verzuimverzekeraar, verzekeraar, accountant van verwerkingsverantwoordelijke en andere organisaties op uw verzoek of ter nakomeling van een verplichting. U geeft hierbij expliciet toestemming voor het inschakelen van genoemde partijen en het verstrekken van de gegevens.

ASK zal de persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Unie. Dit gebeurt in de Cloud op servers van Exact Online en Microsoft (Office 365). ASK heeft geen eigen server.

3. Verplichtingen verwerkingsverantwoordelijke

U garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. U garandeert verder dat de persoonsgegevens correct, niet onrechtmatig, ter zake dienend en niet bovenmatig zijn in het licht van het verwerkingsdoel. U vrijwaart ASK tegen aanspraken van derden welke op elke wijze voortvloeien uit het niet naleven van deze garantie(s).

U bent verantwoordelijk voor het vaststellen van het doel (het verwerkingsdoel) en de middelen van de verwerking van persoonsgegevens en u bent tegenover betrokkene(n) aansprakelijk voor de schade die wordt geleden als gevolg van een inbreuk op voornoemde verplichtingen, onverminderd de verplichtingen van ASK op grond van de hoofdovereenkomst en deze verwerkingsovereenkomst.

U bent verantwoordelijk voor de verwerking van de persoonsgegevens in het kader van deze verwerkingsovereenkomst en draagt in dat verband zorg voor het bijhouden van een register van verwerkingsactiviteiten die onder uw verantwoordelijkheid plaatsvinden. U draagt eveneens zorg voor het bijhouden van een (datalek)register teneinde te voldoen aan uw verplichting op grond van de AVG om eventuele datalekken te documenteren en rapporteren

U bent verder verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen om te kunnen waarborgen en aan te tonen dat de verwerking van persoonsgegevens door ASK in overeenstemming met de toepasselijke privacy wet- en regelgeving wordt uitgevoerd.

U bent bovendien verantwoordelijk voor het informeren van betrokkenen en het effectueren van de rechten die de AVG aan betrokkenen geeft.

4. Verplichtingen ASK

ASK spant zich ervoor in de persoonsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de toepasselijke privacy wet- en regelgeving, te verwerken. ASK verwerkt de persoonsgegevens in opdracht van en ten behoeve van u en voor zover noodzakelijk in het kader van de overeengekomen dienst. ASK heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens.

ASK zal de persoonsgegevens niet wijzigen zonder opdracht daartoe van u. ASK spant zich ervoor in alle redelijke, schriftelijke instructies van u in verband met de verwerking van persoonsgegevens op te volgen, behoudens afwijkende wettelijke verplichtingen. ASK informeert u indien naar haar oordeel instructies in strijd zijn met de toepasselijke privacy wet- en regelgeving.

ASK is verantwoordelijk voor de verwerking van de persoonsgegevens die zij in het kader van de verwerkingsovereenkomst uitvoert in opdracht en ten behoeve van u. In dat kader zal zij een register van verwerkingsactiviteiten die zij in opdracht en ten behoeve van u uitvoert, bijhouden.

ASK zal in het kader van beveiligingsincidenten en/of datalekken de medewerking en ondersteuning verlenen – voor zover dat althans redelijkerwijs van haar verlangd kan worden – aan u en/of betrokkene(n) overeenkomstig het bepaalde in artikel 6 en in de volgende alinea.

ASK zal haar redelijke medewerking verlenen aan u om:

  • Betrokkenen inzage te geven in hun persoonsgegevens;
  • Persoonsgegevens op verzoek of na een klacht van betrokkene(n) te verwijderen, corrigeren, over te dragen aan een andere leverancier, en/of af te schermen en aan te vullen;
  • Aan te tonen dat persoonsgegevens na een verzoek of na een klacht van betrokkene(n) zijn verwijderd, gecorrigeerd, afgeschermd, overgedragen of aangevuld;
  • U te informeren over een verzoek of bevel van, of onderzoek door, een toezichthouder of andere bevoegde autoriteit, voor zover toegestaan op grond van toepasselijke wet- en regelgeving;
  • U zal de uitvoeringskosten die ASK redelijkerwijs moet maken om aan haar verplichting(en) in dit artikel te voldoen, vergoeden.

Indien een betrokkene een verzoek richt aan ASK, zullen wij dit verzoek doorsturen aan u.

5. Beveiliging

ASK zal zich er voor inspannen passende technische en organisatorische beveiligingsmaatregelen te treffen, die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen en te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarborgen, gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen.

Momenteel zijn de volgende beveiligingsmaatregelen getroffen. ASK bewaart de persoonsgegevens bij gecertificeerde aanbieders van loonsoftware en Cloudsoftware. Momenteel bevinden de rechtstreeks bij de loonadministratie behorende gegevens en documenten zich bij Exact Online. Wij maken gebruik van verificatie in twee stappen. Mails en documenten bevinden zich daarnaast bij Microsoft Office 365. ASK bewaart geen gegevens op een eigen server. Identiteitsbewijzen worden slechts op één plaats bewaard: in de loonadministratie bij Exact Online. U erkent dat deze maatregelen passende technische en organisatorische maatregelen zijn als bedoeld in artikel 32 van de AVG. In dat kader vrijwaart u ASK voor aanspraken van derden, waaronder uitdrukkelijk betrokkenen dienen te worden verstaan, die zijn gefundeerd op de bewering dat de technische en organisatorische beveiligingsmaatregelen die ASK heeft getroffen, op uw verzoek, niet deugdelijk of onvoldoende zouden zijn.

6. Datalekken

U bent verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een datalek aan een toezichthoudende autoriteit en/of betrokkene(n).

ASK zal enig datalek of vrees daarvoor, na ontdekking hiervan door ASK, zo snel mogelijk rapporteren aan u. ASK rapporteert zowel telefonisch als door middel van een elektronisch bericht. ASK vermeldt hierbij de volgende gegevens: De (vermoedelijke) oorzaak van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokken en persoonsgegevensregisters in kwestie, de vooralsnog bekende en/of te verwachten gevolgen van het datalek, de locatiegegevens van het datalek, de eventuele onbevoegde ontvangers van de persoonsgegevens en alle beschikbare informatie over hen, voorstellen voor maatregelen ter beperking van de schade en overige gegevens die een melding van een datalek aan een toezichthoudende autoriteit en aan betrokken moet omvatten volgens de relevante wet- en regelgeving, waaronder in het bijzonder de Bijlage ‘Gegevens in de melding’ bij de ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ van de Autoriteit Persoonsgegevens.

ASK zal op verzoek van u meewerken aan het informeren van betrokkenen of de toezichthoudende instanties over het datalek, en zich beschikbaar houden voor overleg met u.

U en ASK betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het datalek, eventuele vrees voor een datalek en verdere gerelateerde zaken. ASK publiceert in geen geval informatie over een datalek zonder de voorgaande expliciete schriftelijke toestemming van en goedkeuring door u van de beoogde berichtgeving.

7. Geheimhouding

Partijen zijn zich ervan bewust dat persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de hoofdovereenkomst en deze verwerkingsovereenkomst, behoudens afwijkende wettelijke verplichtingen.

Partijen zullen de persoonsgegevens niet aan anderen ter beschikking stellen dan hun eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. ASK zal haar werknemers en/of derden die toegang hebben tot de persoonsgegevens op de hoogte stellen van de op de persoonsgegevens rustende geheimhoudingsverplichting en de nodige stappen ondernemen om verdere geheimhouding te waarborgen. Waar nodig zal ASK een overeenkomst tot geheimhouding sluiten.

8. Aansprakelijkheid

U bent aansprakelijk voor schade die of nadeel dat een rechtspersoon of natuurlijke persoon, zoals -maar niet beperkt tot- betrokkenen, lijdt doordat wordt gehandeld in strijd met de bij of krachtens de AVG en deze verwerkingsovereenkomst gegeven voorschriften.

ASK is slechts aansprakelijk voor de schade of het nadeel voor zover dit is ontstaan door het niet naleven van de verplichtingen uit hoofde van de AVG of deze verwerkingsovereenkomst. De totale aansprakelijkheid van ASK als gevolg van een aan ASK toe te rekenen tekortkoming in de nakoming van de verplichtingen uit deze verwerkingsovereenkomst is beperkt tot de jaarlijkse vergoeding (exclusief omzetbelasting) die ASK van u ontvangt met een maximum van € 5.000 (vijfduizend euro), waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis.

ASK is tegenover u niet aansprakelijk voor:

  • enige schade van u als gevolg van de niet-naleving door u van enige verplichting uit hoofde van de AVG, waaronder in ieder geval, doch daartoe niet beperkt, de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering, en/of
  • enige boete die u uit hoofde van de AVG wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot boetes ten gevolge van het niet-naleven door u van de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering, en
  • U vrijwaart ASK voor claims van derden in verband met enige schade van (een) derde(n) en/of enige aan (een) derde(n) (daaronder betrokkenen begrepen) opgelegde boete uit hoofde van niet-naleving van wettelijke verplichtingen uit de AVG wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot schade en/of boetes ten gevolge van het niet-naleven door u van de wettelijke voorschriften inzake de verwerking, de persoonsgegevensbeveiliging, datalekken, gegevensbescherming en certificering.

9. Duur

Doordat u ons opdracht heeft gegeven de loonadministratie voor u te voeren geldt deze verwerkingsovereenkomst. Deze verwerkingsovereenkomst geldt zolang de hoofdovereenkomst aangaande het voeren van de loonadministratie voortduurt.

De verwerkingsovereenkomst eindigt bij de beëindiging van de hoofdovereenkomst aangaande het voeren van de loonadministratie. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de verwerkingsovereenkomst voort te duren, blijven na beëindiging van de verwerkingsovereenkomst gelden. Tot deze verplichtingen behoren in ieder geval die welke voortvloeien uit de bepalingen in de verwerkingsovereenkomst die betrekking hebben op “Geheimhouding”, “Aansprakelijkheid”, “Overdracht en vernietiging”, “Slotbepalingen” en “Toepasselijk recht en geschillen”.

10. Audit

U bent gerechtigd -na overleg met ASK en op eigen kosten- de verwerkingen en de naleving van de in deze verwerkingsovereenkomst overeengekomen technische en organisatorische beveiligingsmaatregelen door ASK te laten controleren door onafhankelijke auditors, zonder vertrouwelijke informatie van ASK of van andere klanten van ASK te gebruiken en in te zien en zonder de werkprocessen van ASK te verstoren.

Indien uit de controle blijkt dat ASK niet volledig voldoet aan haar verplichtingen op grond van deze verwerkingsovereenkomst, zal ASK zich ervoor inspannen de door de controle aangetoonde tekortkomingen te beëindigen.

De controle zal ten hoogste éénmaal per jaar plaatsvinden, tenzij u redelijkerwijs aanwijzingen heeft dat ASK haar verplichtingen op grond van deze verwerkingsovereenkomst niet nakomt. ASK zal u alle gegevens en informatie verstrekken die u redelijkerwijs nodig heeft voor de controle.

U zal de kosten van een dergelijke controle dragen, inclusief de kosten van het personeel van ASK dat de controle begeleidt. Indien uit de controle blijkt dat ASK toerekenbaar tekort is geschoten in de op haar rustende wezenlijke verplichtingen uit de verwerkingsovereenkomst komen de kosten van de controle voor rekening van ASK.

11. Wijziging

Indien zich in de toekomst wijzigingen voordoen in de nationale of Europese regelgeving over de bescherming van persoonsgegevens, zal ASK deze verwerkingsovereenkomst wijzigingen voor zover dit nodig is om aan die nieuwe regelgeving te voldoen.

Indien één of meer bepalingen van de verwerkingsovereenkomst onverbindend zouden blijken te zijn, dan blijven de overige bepalingen van deze verwerkingsovereenkomst van kracht. ASK zal dan de niet-verbindende bepaling vervangen door een bepaling die wel verbindend is en die zo min mogelijk – gelet op het doel en de strekking van de verwerkingsovereenkomst – afwijkt van de niet verbindende bepaling.

12. Overdracht en vernietiging van persoonsgegevens

Indien de hoofdovereenkomst op welke wijze dan ook eindigt, dan wel op eerste verzoek van u, zal ASK (tenzij een wettelijke plicht of een verzoek van een daartoe bevoegde instantie haar dat belet) het betreffende gebruik of andere verwerking van de persoonsgegevens staken en er binnen redelijke termijn zorg voor dragen dat alle persoonsgegevens, kopieën en bewerkingen daarvan alsmede documenten en/of andere informatiedragers die persoonsgegevens bevatten, op schriftelijk verzoek van u worden overgedragen aan u (en/of een door u aan te wijzen derde) of op schriftelijk verzoek van u worden verwijderd en vernietigd. De overdracht van de administratie in Exact Online zal plaatsvinden door eigendomsoverdracht van uw administratie naar een eigen Exact Online licentie of naar de licentie van een door u aan te wijzen derde.

Indien geen gebruik wordt gemaakt van de mogelijkheid tot overdracht van de Exact Online administratie zal ASK na de wettelijke bewaartermijn van zeven jaar de administratie bij Exact Online verwijderen. Ook alle overige gegevens die zich bij subverwerkers bevinden worden indien geen gebruik wordt gemaakt van overdracht na zeven jaar verwijderd.

De kosten die zijn gemoeid met de in dit artikel genoemde inspanningen van ASK, komen voor uw rekening.

Artikel 13. Toepasselijk recht

Op deze verwerkingsovereenkomst is het Nederlandse recht van toepassing. Geschillen tussen partijen, die niet in overleg kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde Nederlandse rechter in het arrondissement waar ASK gevestigd is. Indien er vragen zijn over de verwerkingsovereenkomst kan er contact worden opgenomen met ASK. Mail of bel ASK op info@kantoorask.nl of 020-6208339.

Versie 15 mei 2018