Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomsten tussen de klant en WeFact B.V. WeFact B.V. is de verwerker (hierna: “Verwerker”) van de Persoonsgegevens en de klant is verwerkingsverantwoordelijk (hierna: “Verwerkingsverantwoordelijke”) van de Persoonsgegevens die in het kader van de uitvoering van de gesloten overeenkomsten door Verwerker ten behoeve van Verwerkingsverantwoordelijke worden verwerkt.
hierna afzonderlijk te noemen als “Partij” en gezamenlijk te noemen als “Partijen”,
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal plaatsvinden op grond van deze Verwerkersovereenkomst en in verband met de doeleinden ter uitvoering van de Overeenkomst. In Bijlage 1A van deze Verwerkersovereenkomst is vastgelegd om welke categorieën van Betrokkenen en Persoonsgegevens het gaat. Verwerkingsverantwoordelijke zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoelen voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.2 Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van Persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.
1.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of van de betreffende Betrokkenen.
1.4 Verwerkingsverantwoordelijke verklaart en staat ervoor in dat zij een register zal bijhouden van de onder deze Verwerkingsovereenkomst geregelde verwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.
2.1 Partijen zullen toepasselijke privacywet- en regelgeving naleven.
2.2 Verwerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, hetgeen plaatsvindt onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke.
2.3 Verwerkingsverantwoordelijke staat er jegens Verwerker voor in, dat de inhoud, het gebruik en de opdracht tot verwerking van Persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.
3.1 Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek en binnen een redelijke termijn informeren over de genomen maatregelen aangaande verplichtingen onder deze Verwerkersovereenkomst.
3.2 Verwerker zal Verwerkingsverantwoordelijke berichten in het geval een instructie van Verwerkingsverantwoordelijke volgens Verwerker in strijd is met relevante privacywet- en regelgeving. Aan het uitblijven van een dergelijk bericht kan Verwerkingsverantwoordelijke geen rechten of aanspraken ontlenen.
3.3 Verwerker zal Verwerkingsverantwoordelijke voor zover mogelijk de noodzakelijke medewerking verlenen wanneer dat in het kader van de uitvoering van een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.
3.4 De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers.
3.5 Verwerkingsverantwoordelijke weet en aanvaardt dat de toegestane verwerkingen door Verwerker zullen worden uitgevoerd binnen een (semi-) geautomatiseerde omgeving.
4.1 Verwerker verwerkt Persoonsgegevens in landen binnen de Europese Economische Ruimte (EER). Verwerkingsverantwoordelijke geeft Verwerker daarnaast, indien van toepassing, toestemming voor de verwerking van Persoonsgegevens in landen buiten de EER, indien het land of de organisatie aan wie verwerking wordt opgedragen een passend beschermingsniveau kan garanderen, danwel passende waarborgen zijn getroffen en de op dat moment relevante geldende wet- en regelgeving in acht wordt genomen.
4.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, melden om welk land of om welke landen het gaat.
5.1 Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om bij de verwerking derden (subverwerkers) in te schakelen, met inachtneming van de toepasselijke privacywetgeving.
5.2 Verwerker zal Verwerkingsverantwoordelijke in een voorkomend geval informeren over de door haar ingeschakelde subverwerkers. Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen het inschakelen van een subverwerker. Dit bezwaar dient schriftelijk, binnen twee weken en door argumenten ondersteund, door Verwerker te zijn ontvangen. Wanneer Verwerkingsverantwoordelijke tijdig bezwaar heeft gemaakt tegen een door Verwerker in te schakelen subverwerker, zullen Partijen in onderling overleg treden om tot een oplossing te komen.
5.3 Verwerker zorgt er in ieder geval voor dat subverwerkers schriftelijk ten minste dezelfde plichten op zich nemen als die tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.
6.1 Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen om de Persoonsgegevens te beschermen tegen een inbreuk, verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van Persoonsgegevens). Verwerker heeft hiertoe de in Bijlage 1B benoemde beveiligingsmaatregelen genomen.
6.2 Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de aard van de Persoonsgegevens, de omvang, de verwerkingsdoeleinden en de aan het treffen van de beveiliging verbonden kosten, passend en redelijk is.
6.3 Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan Verwerker ter beschikking voor verwerking, na zich ervan te hebben verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
7.1 In het geval van een inbreuk in verband met Persoonsgegevens zoals beveiligingslek en/of datalek, zoals bedoeld in artikel 4, sub 12 AVG, zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover uiterlijk binnen 48 uur te informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of Betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken met het recht op latere aanvulling. De meldplicht geldt enkel indien de inbreuk daadwerkelijk heeft plaatsgevonden.
7.2 Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist, zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel Betrokkenen.
7.3 De door Verwerker aan Verwerkingsverantwoordelijke te verstrekken informatie behelst in ieder geval het melden van het feit dat er een inbreuk is geweest, alsmede voor zover mogelijk:
8.1 In het geval dat een Betrokkene een verzoek met betrekking tot diens Persoonsgegevens richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke. Verwerker mag de Betrokkene daarvan op de hoogte stellen. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen bij het afhandelen van het verzoek. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een Betrokkene, dan kan Verwerker hiervoor kosten in rekening brengen.
9.1 Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor deze zijn verkregen, tenzij deze in een zodanige vorm (‘format’) is gebracht dat deze niet tot Betrokkenen herleidbaar is.
9.2 Deze geheimhoudingsplicht is niet van toepassing:
10.1 Verwerkingsverantwoordelijke heeft het recht een audit uit te voeren of uit te laten voeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van de Verwerkersovereenkomst.
10.2 Deze audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de voor zover bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd en verkregen en Verwerkingsverantwoordelijke deze auditrapportages heeft beoordeeld en redelijke argumenten heeft aangevoerd die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages die met Verwerkingsverantwoordelijke zijn gedeeld, geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorgaande aankondiging door Verwerkingsverantwoordelijke, maximaal eens per kalenderjaar, plaats.
10.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is, tenzij een gemotiveerd spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld. Naar aanleiding daarvan zullen al dan niet wijzigingen worden doorgevoerd in de beveiliging door één van de Partijen of door beide Partijen gezamenlijk.
10.5 Alle kosten van de audit worden door Verwerkingsverantwoordelijke gedragen, waaronder ook de (interne) kosten die Verwerker maakt, met dien verstande dat de kosten voor de door Verwerkingsverantwoordelijke in te huren derde die de audit uitvoert, altijd door Verwerkingsverantwoordelijke worden gedragen.
11.1 De aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de laatste factuur die Verwerkingsverantwoordelijke heeft voldaan.
11.2 Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds, dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk per aangetekende post aan Verwerker meldt. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke vervalt, door het enkele verloop van drie maanden nadat Verwerkingsverantwoordelijke bekend is geworden met het feit dat schade is geleden.
11.3 Verwerker is uitdrukkelijk niet aansprakelijk voor schade van Verwerkingsverantwoordelijke als gevolg van een boete opgelegd door een van de toezichthouders, waaronder de Autoriteit Persoonsgegevens.
12.1 Deze Verwerkersovereenkomst komt tot stand door het akkoord geven op deze overeenkomst bij het (voor het eerst) aangaan van de Overeenkomst.
12.2 Deze Verwerkersovereenkomst is aangegaan voor de duur van de Overeenkomst tussen Partijen, en bij gebreke daarvan of in geval van een doorlopende samenwerking in ieder geval voor de duur van de samenwerking.
12.3 Zodra de Verwerkersovereenkomst om welke reden en op welke wijze dan ook is beëindigd, zal Verwerker de mogelijkheid geven aan Verwerkingsverantwoordelijke om alle Persoonsgegevens waarover Verwerker beschikt in originele vorm of kopievorm in een Excel-, CSV- of pdf-bestand te downloaden of te exporteren, en Verwerker zal daarna deze en eventuele kopieën daarvan verwijderen en/of vernietigen.
12.4 Wijziging van deze Verwerkersovereenkomst is alleen mogelijk met wederzijdse schriftelijke instemming.
13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd, wanneer het naar de mening van een van de Partijen niet mogelijk is gebleken om buitengerechtelijk een oplossing te bereiken.
13.3 Logs en gedane metingen door Verwerker gelden als dwingend bewijs, behoudens door een rechter, raadsheer of toezichthouder definitief vastgesteld tegenbewijs geleverd door Verwerkingsverantwoordelijke.
13.4 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
13.5 WeFact is gerechtigd de Verwerkersovereenkomst te wijzigen, bijvoorbeeld als gevolg van veranderingen in haar bedrijfsvoering of in wet- en regelgeving. WeFact zal de Verwerkingsverantwoordelijke van een wijziging van de Verwerkersovereenkomst schriftelijk via de e-mail 2 maanden voor de inwerkingtreding van de wijziging op de hoogste stellen.
13.6 Indien de Verwerkingsverantwoordelijke de aangekondigde wijziging in de Verwerkersovereenkomst niet wenst te accepteren, dan kan de Verwerkingsverantwoordelijke de gesloten overeenkomsten in het kader waarvan de Verwerkersovereenkomst is gesloten en de Verwerkersovereenkomst tussentijds opzeggen tegen de dag waarop de wijziging van de Verwerkersovereenkomst in werking treedt. De opzegging dient dan digitaal binnen de WeFact software of via e-mail te geschieden binnen 1 maand nadat WeFact de Verwerkingsverantwoordelijke op de hoogte heeft gesteld van de wijziging van de Verwerkingsovereenkomst. Na het verstrijken van die termijn vervalt het recht op tussentijdse opzegging wegens de hier bedoelde wijziging.
Verwerker zal in het kader van de Overeenkomst, de volgende (bijzondere) Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
Verwerker zal in opdracht van Verwerkingsverantwoordelijke de volgende soorten Persoonsgegevens verwerken:
Het betreft de volgende categorieën Betrokkenen:
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1A van de Verwerkersovereenkomst omschreven Persoonsgegevens en categorieën Betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Verwerker heeft de volgende beveiligingsmaatregelen genomen:
Met WeFact maakt u sneller en zonder fouten online facturen, verwerkt u aankoopfacturen en heeft u grip op uw administratie! Test alle functionaliteiten zonder beperkingen met de gratis proefperiode.
Geen betaalgegevens nodig