Verwerkersovereenkomst

1. CSN en de klant verplichten zich om beide de Algemene Verordening Persoonsgegevens (AVG) na te leven.

2. CSN heeft geen zeggenschap over (persoons)gegevens die, op welke wijze dan ook, door de klant aan CSN worden verstrekt of beschikbaar gesteld. CSN mag deze gegevens enkel en alleen gebruiken in opdracht van en voor de klant om de loon-/salarisadministratie uit te voeren en te voldoen aan alle wettelijke plichten die hier bij horen.

3. CSN zal nimmer zonder expliciete toestemming van de klant, wettelijke verplichting of gerechtelijke uitspraak/dwangbevel gegevens aan derden verstrekken of voor andere doeleinden verwerken, anders dan voor de overeengekomen doeleinden of doeleinden die expliciet en duidelijk toebehoren aan het uitvoeren van de loon-/salarisadministratie.

4. Klant beseft dat diverse persoonsgegevens verplicht doorgegeven dienen te worden aan diverse partijen (Belastingdienst, Pensioenfonds, UWV, of elke andere partij die van rechtswege informatie kan opeisen). Klant stemt hiermee in zodra gebruik wordt gemaakt  van de diensten van CSN. Indien klant bepaalde gegevensverstrekking niet wenst, dient deze dit expliciet en schriftelijk door te geven aan CSN.

5. De klant garandeert dat de verstrekte (persoons)gegevens op basis van de in de AVG genoemde grondslag, gebruikt en verwerkt mogen worden.

6. CSN neemt passende organisatorische en technische maatregelen ter beveiliging van de persoonsgegevens van de klant, conform het beveiligingsniveau in de zin van de AVG.

7. Indien klant een waarschuwing, aanwijzing of anderszins ontvangt van de Autoriteit Persoonsgegevens (AP) betreffende de beveiligingsmaatregelen of het gebruik van de persoonsgegevens, verplicht de klant zich CSN hiervan zo snel als mogelijk op de hoogte te stellen.
CSN zal in alle redelijkheid passende maatregelen nemen naar aanleiding van dit signaal.
De AP kan pas een bestuurlijke boete opleggen als de aanwijzing niet of niet correct is opgevolgd. Indien CSN niet (tijdig) op de hoogte is gesteld of als de aanwijzing buiten de (ver)werkingssfeer van CSN ligt, is CSN niet verantwoordelijk noch aansprakelijk voor deze boete.

8. Indien een aanwijzing van de AP duidelijk in de (ver)werkingssfeer van CSN ligt, zal CSN in alle redelijkheid passende maatregelen nemen om naleving mogelijk te maken. Indien alsnog een bestuurlijke boete wordt opgelegd vanwege opzet of ernstig verwijtbare nalatigheid van CSN, dan treedt het artikel ‘Aansprakelijkheid’ in de Algemene Voorwaarden in werking.

9. Indien CSN persoonsgegevens door een nieuwe subbewerker wil laten bewerken, zal CSN hiervoor vooraf toestemming vragen aan de klant.
Subbewerker dient zich ook te houden aan deze overeenkomst of een nieuwe (eigen) overeenkomst aanbieden.
Indien een subbewerker enkel en alleen door CSN wordt aangetrokken (dus niet in opdracht van de klant), is CSN verantwoordelijk voor en juist behandelen van de persoonsgegevens door de subbewerker (met inachtneming van het artikel ‘Aansprakelijkheid’ in de Algemene Voorwaarden).
Indien een subbewerker een externe partij is die door de klant wordt aangeboden met het verzoek om persoonsgegevens via CSN te verstrekken, is de klant verantwoordelijk voor de verzorging en het naleveren van een verwerkersovereenkomst met deze partij.

10. De datacenters waar CSN de gegevens opslaat staan in Nederland (Microsoft Azure) en op gedeelten op een eigen lokale server.

11. Indien er een incident plaatsvindt in de categorie ‘datalek’ stelt CSN de klant hiervan zo snel mogelijk op de hoogte. Klant dient dit vervolgens, als verantwoordelijke, te melden bij de AP. CSN zal zo volledig als mogelijk de omvang verduidelijken om de klant aan de wettelijke verplichtingen te kunnen laten voldoen.

12. Indien een klant een onterechte melding van een datalek doet bij de AP, terwijl er overduidelijk geen sprake is van een datalek bij of door CSN (bv verlies van hardcopy’s, usb-sticks waarop door de klant informatie is geplaatst, ongeautoriseerd toegang geven tot systemen aan derden, of ander door klant veroorzaakte dataverlies of datalek), worden eventueel door CSN geleden kosten, waaronder reputatieschade, doorbelast aan de klant.

13. CSN is het toegestaan om geanonimiseerde gegevens te verzamelen om systemen en gebruik van de software te monitoren of data-analyses te maken.

14. Alle medewerkers van CSN hebben een geheimhoudingsbeding opgenomen in de arbeidsovereenkomst. Ten behoeve van ondersteuning en service hebben alle medewerkers, met inachtneming van hun geheimhoudingsbeding, recht op toegang tot de (persoons)gegevens van de klant. Nimmer mogen werknemers gegevens op datadragers of hardcopy buiten het bedrijf brengen of aan derden verstrekken, zonder toestemming van de klant.