Verwerkersovereenkomst
Versie: 5.0, ingangsdatum 1 januari 2025
Bij het gebruik van het Boekhouderportaal en MoneyMonk door Boekhouders en Klanten worden persoonsgegevens verwerkt. Deze Verwerkersovereenkomst is van toepassing op die verwerkingen van persoonsgegevens in het Boekhouderportaal en MoneyMonk waarvoor niet wij, MoneyMonk B.V., het doel en de middelen vaststellen maar de Boekhouder of de Klant. Wij voeren die verwerkingen als Subverwerker uit namens de Boekhouder of als Verwerker namens de Klant.
Deze Verwerkersovereenkomst is van toepassing naast de hoofdovereenkomst die wij met Klant of Boekhouder sluiten.
Definities
De in deze Verwerkersovereenkomst gebruikte definities hebben de volgende betekenis:
- Abonnement
het tijdelijke, niet-exclusieve recht van een Klant of Eindgebruiker om MoneyMonk te gebruiken. - Administratie
de omgeving binnen MoneyMonk waarin de financiële administratie van een Klant of Eindgebruiker wordt verwerkt. - AVG
de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679). - Betrokkene
een betrokkene als gedefinieerd in artikel 4 van de AVG op wie de Persoonsgegevens betrekking hebben. - Boekhouderportaal
het online portaal waarin Boekhouder Administraties kan aanmaken en beheren. - Datalek
een inbreuk op de beveiliging van het Boekhouderportaal of MoneyMonk die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot de Persoonsgegevens. - Eindgebruiker
de entiteit of persoon aan wie Boekhouder een Abonnement verstrekt. - Eindgebruikersondersteuning
het afhandelen van meldingen van incidenten en van verzoeken van Eindgebruikers met betrekking tot het gebruik van MoneyMonk door de Klantenservice, inclusief het oplossen van storingen, defecten of onjuistheden. - Klantenservice
de klantenservice van Verwerker die Ondersteuning en Eindgebruikersondersteuning levert. - MoneyMonk
de als een dienst beschikbaar gestelde, online boekhoudapplicatie, toegankelijk via de website https://www.moneymonk.nl en de mobiele applicatie ‘MoneyMonk’. - Overeenkomst
de overeenkomst op grond waarvan Klant een Abonnement wordt verstrekt of aan Boekhouder het recht wordt verleend om een Abonnement te verstrekken aan Eindgebruikers. - Persoonsgegevens
persoonsgegevens als gedefinieerd in artikel 4 van de AVG die onderwerp zijn van de Verwerking in het Boekhouderportaal en/of MoneyMonk. - Privacyrecht
de AVG en andere wet- en regelgeving op het gebied van de bescherming van persoonsgegevens. - Schriftelijk
schriftelijk of elektronisch verzonden of vastgelegd. - Subverwerker
de partij aan wie een Verwerker verwerkingen (als gedefinieerd in artikel 4 van de AVG) uitbesteed. - Verwerker
verwerker als gedefinieerd in artikel 4 van de AVG. - Verwerking
verwerking(en) (als gedefinieerd in artikel 4 van de AVG) van Persoonsgegevens in het Boekhouderportaal of MoneyMonk waarvoor Klant of Boekhouder de doelen en middelen vaststelt. - Verwerkersovereenkomst
deze ‘MoneyMonk Verwerkersovereenkomst’. - Verwerkingsverantwoordelijke
verwerkingsverantwoordelijke als gedefinieerd in artikel 4 van de AVG. - Werkdagen
de dagen van de week, met uitzondering van zaterdagen, zondagen en officiële feestdagen in Nederland.
1. Onderwerp
1.1 Het gebruik van het Boekhouderportaal en MoneyMonk leidt tot Verwerkingen. De details van de Verwerkingen worden beschreven in artikel 1.3. Deze kunnen van tijd tot tijd door ons worden geüpdatet, met dien verstande dat in geval van vervanging of uitbreiding van door ons voor de Verwerkingen ingeschakelde Subverwerkers artikel 8 van toepassing is.
1.2 In deze Verwerkersovereenkomst wordt met ‘Verwerkingsverantwoordelijke’ bedoeld: Boekhouder of Klant, afhankelijk van welke partij het doel en de middelen heeft bepaald van een bepaalde Verwerking. Het gebruik van het Boekhouderportaal en MoneyMonk leidt ook tot Verwerkingen waarvoor wij de doelen en middelen bepalen. Hierover wordt informatie verstrekt in de Privacyverklaring MoneyMonk, te vinden op: https://www.moneymonk.nl/privacy-statement.
1.3 De details van de Verwerkingen zijn:
- Aard, doel en onderwerp van de Verwerkingen
het voeren van de financiële administratie van een Klant of Eindgebruiker. - Duur van de Verwerkingen
de periode van het Abonnement en van het ‘uitloop-abonnement’ (12 maanden na afloop van het Abonnement). - Persoonsgegevens
NAW-gegevens, bankrekeningnummer, e-mailadres, telefoonnummer, beroep, ondernemingsactiviteiten, bedrijfsnaam, IBAN-nummer, BTW nummer, KvK nummer, financiële administratie (balans, v&w rekening), betaalinformatie, persoonsgegevens van relaties van Klant. - Categorieën Betrokkenen
Klant, Boekhouder, Eindgebruikers, gebruikers van MoneyMonk of het Boekhouderportaal die door Klant of Boekhouder zijn aangewezen, relaties van Klant. - Subverwerker
Hosting: Exonet B.V., TrueFullstaq B.V., Microsoft Azure, Google Cloud Platform
2. Rolverdeling en instructies
2.1 De Verwerkingen zullen uitsluitend plaatsvinden voor het leveren, door ons, van het Boekhouderportaal en MoneyMonk. Uitsluitend de Verwerkingsverantwoordelijke heeft en houdt zeggenschap over het doel en de middelen van de Verwerkingen.
2.2 Zowel wij als de Verwerkingsverantwoordelijke zijn verplicht bij de uitvoering van de Overeenkomst het Privacyrecht na te leven. Wij zullen deze verplichting ook opleggen aan Subverwerkers die wij voor de Verwerkingen inschakelen.
2.3 Wij zullen voor de uitvoering van de Verwerkingen uitsluitend de instructies van de Verwerkingsverantwoordelijke opvolgen. De Verwerkingsverantwoordelijke zal deze instructies uitsluitend door een geautoriseerde gebruiker via de Klantenservice aan ons doorgeven. De Verwerkingsverantwoordelijke garandeert dat opvolging van zijn/haar instructies door ons niet leidt tot een schending van het Privacyrecht.
2.4 Wij zullen de Persoonsgegevens niet doorgeven aan een land dat gelegen is buiten de EER zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke en uitsluitend in overeenstemming met Hoofdstuk V van de AVG.
3. Geheimhouding en delen persoonsgegevens
Wij behandelen de Persoonsgegevens vertrouwelijk en delen deze niet met derden behalve wanneer wij dit verplicht zijn op grond van een dwingendrechtelijk voorschrift of een vonnis of bevel van een bevoegde autoriteit. Als dat het geval is informeren we de Verwerkingsverantwoordelijke, tenzij ons dat op grond van de wet of het vonnis of bevel niet is toegestaan. Onze medewerkers, intern en extern, die toegang hebben tot de Persoonsgegevens, hebben wij verplicht tot strikte geheimhouding van de Persoonsgegevens.
4. Beveiliging
4.1 Wij hebben passende technische en organisatorische maatregelen getroffen om de Persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze maatregelen waarborgen een op het risico afgestemd beschermingsniveau, met inachtneming van de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
4.2 De maatregelen als bedoeld in artikel 4.1 zijn vermeld in het document “Beveiliging MoneyMonk”. De Verwerkingsverantwoordelijke kan dit document opvragen bij de Klantenservice. De Verwerkingsverantwoordelijke heeft zich er van vergewist dat deze maatregelen passend zijn met het oog op het door de Verwerkingsverantwoordelijke gewenste niveau van beveiliging.
5. Informatie en audit
5.1 Om de Verwerkingsverantwoordelijke in staat te stellen om toezicht te houden op de naleving, door ons, van de in artikel 4.1 genoemde verplichting zullen wij de Verwerkingsverantwoordelijke op diens verzoek de informatie toesturen waaruit hij met voldoende zekerheid kan opmaken dat wij deze verplichting nakomen, in de vorm van rapportages, certificaten of anderszins.
5.2 Mocht, op grond van de in artikel 5.1 genoemde of andere informatie, blijken dat wij tekortschieten in de nakoming van de in artikel 4.1 genoemde verplichtingen of hierin dreigen tekort te schieten, dan zullen wij de Verwerkingsverantwoordelijke binnen vijf (5) Werkdagen Schriftelijk berichten welke maatregelen wij zullen treffen om de tekortkoming te herstellen of voorkomen en binnen welk tijdspad wij dit zullen doen.
5.3 Mochten wij de conform artikel 5.2 aangekondigde maatregelen niet tijdig hebben getroffen en de Verwerkingsverantwoordelijke informatie ter onderbouwing van het herstel hebben toegestuurd, dan heeft de Verwerkingsverantwoordelijke het recht om een audit uit te laten voeren door een onafhankelijke, bij de NOREA geregistreerde, IT auditor ter controle van de naleving, door ons, van onze verplichtingen op grond van artikel 4.1 van deze Verwerkersovereenkomst en het Privacyrecht.
5.4 Als de Verwerkingsverantwoordelijke de in artikel 5.3 bedoeld audit wenst uit te voeren zal hij/zij ons tenminste dertig (30) dagen voor de beoogde datum van de audit Schriftelijk informeren, waarbij hij/zij zoveel mogelijk informatie verschaft over de voorgenomen audit waaronder in elk geval over de naam van de auditor, de wijze waarop de audit zal worden uitgevoerd en tot welke informatie en/of systemen de Verwerkingsverantwoordelijke toegang wil. De audit zal in goed overleg met ons worden uitgevoerd met zo min mogelijk verstoring van onze bedrijfsvoeringen met strikte inachtneming van onze informatiebeveiligingsrichtlijnen en onze geheimhoudingsverplichtingen jegens derden. Tenzij artikel 5.5 van toepassing is worden de kosten van de audit door de Verwerkingsverantwoordelijke gedragen.
5.5 De bevindingen naar aanleiding van een door de Verwerkingsverantwoordelijke uitgevoerde audit zullen door ons met die Verwerkingsverantwoordelijke in onderling overleg worden beoordeeld. Wanneer uit dit overleg volgt dat wij tekortschieten in de nakoming van de in artikel 4.1 genoemde verplichtingen, of hierin dreigen tekort te schieten, zullen wij de Verwerkingsverantwoordelijke berichten als bepaald in artikel 5.2, de maatregelen binnen het vermelde tijdspad treffen en de redelijke kosten van de audit vergoeden.
5.6 Alle door ons aan de Verwerkingsverantwoordelijke in het kader van deze Verwerkingsovereenkomst te verstrekken of verstrekte informatie, met inbegrip maar niet beperkt tot audit) rapporten, informatie over beveiligingsmaatregelen en Datalekken zullen door de Verwerkingsverantwoordelijke vertrouwelijk worden behandeld en uitsluitend gebruikt worden om tot bewijs te dienen van het al dan niet naleven van het in deze Verwerkersovereenkomst of in het Privacyrecht bepaalde.
6. Datalekken
6.1 Wij informeren de Verwerkingsverantwoordelijke zonder onredelijke vertraging zodra wij op de hoogte raken van een Datalek.
6.2 Wij zullen de Verwerkingsverantwoordelijke in het geval van een Datalek tevens informeren over:
- de aard van het Datalek, waar mogelijk onder vermelding van de categorieën en aantallen Betrokkenen die getroffen zijn door het Datalek;
- de waarschijnlijke gevolgen van het Datalek voor de Persoonsgegevens en de Betrokkenen die getroffen zijn door het Datalek;
- de maatregelen die wij voorstellen of hebben genomen ter beperking of voorkoming van de eventuele nadelige gevolgen daarvan voor de Verwerkingsverantwoordelijke en/of Betrokkenen die door het Datalek zijn getroffen.
6.3 Zodra de Verwerkingsverantwoordelijke op de hoogte raakt van een Datalek zal hij/zij de Klantenservice zonder onredelijke vertraging informeren van het Datalek en ons zoveel mogelijk informatie en assistentie bieden om de eventuele nadelige gevolgen van het Datalek te herstellen of te voorkomen.
7. Bijstand bij verzoeken van derden
7.1 Wij verlenen de Verwerkingsverantwoordelijke, voor zover redelijkerwijze van ons verwacht kan worden, bijstand bij:
- het vervullen van diens plicht om verzoeken van Betrokkenen te beantwoorden over de Verwerkingen; en
- het vervullen van diens plicht om medewerking te verlenen aan verzoeken en onderzoeken van de Autoriteit Persoonsgegevens of andere bevoegde autoriteit, voor zover deze verzoeken en onderzoeken betrekking hebben op de Verwerkingen.
7.2 De Verwerkingsverantwoordelijke draagt de redelijke kosten van de uitvoering, door ons, van de bijstand, genoemd in artikel 7.1.
7.3 Onmiddellijk nadat de Verwerkingsverantwoordelijke op de hoogte is geraakt van een klacht of vordering van een Betrokkene die gerelateerd is aan een Verwerking zal de Verwerkingsverantwoordelijke ons schriftelijk en zo gedetailleerd mogelijk informeren over deze klacht of vordering en de behandeling van deze klacht of vordering, wanneer wij dat verzoeken, aan ons overlaten.
8. Inschakeling Subverwerker
8.1 Wij schakelen alleen met toestemming van de Verwerkingsverantwoordelijke een Subverwerker in voor de uitvoering van de Verwerkingen. De toestemming zal met de ondertekening van deze Verwerkersovereenkomst geacht worden te zijn verleend voor de in artikel 1.3 genoemde Subverwerkers.
8.2 Vóór wij een nieuwe Subverwerker inschakelen voor de Verwerkingen informeren wij de Verwerkingsverantwoordelijke Schriftelijk over de identiteit van de Subverwerker, de aard van de door de Subverwerker te verrichten verwerkingsactiviteiten en de beoogde datum van de aanvang van die activiteiten. De Verwerkingsverantwoordelijke kan Schriftelijk bezwaar maken tegen de toevoeging of vervanging en zal dit binnen veertien (14) dagen na onze kennisgeving doen.
8.3 Wanneer de Verwerkingsverantwoordelijke niet:
- binnen de termijn van veertien (14) dagen Schriftelijk bezwaar heeft gemaakt zal diens toestemming geacht worden te zijn verleend; of
- tijdig Schriftelijk bezwaar heeft gemaakt;
hebben wij het recht de Overeenkomst te beëindigen per de datum van de inschakeling van de nieuwe Subverwerker.
8.4 Wij sluiten met iedere Subverwerker die wij inschakelen voor de Verwerking een overeenkomst in de zin van artikel 28 lid 3 AVG waarin wij de Subverwerker geheimhoudingsverplichtingen, meldingsplichten en beveiligingsmaatregelen opleggen van een gelijkwaardig niveau als bepaald in deze Verwerkersovereenkomst.
9. Aansprakelijkheid
9.1 Met inachtneming van het bepaalde in artikel 9.2 zal onze aansprakelijkheid voor eventuele schade die de Verwerkingsverantwoordelijke lijdt in relatie tot onze uitvoering van de Verwerkingen zijn beperkt zoals bepaald in de Overeenkomst. Als die aansprakelijkheidsbeperkingen om welke reden ook nietig, vernietigbaar of anderszins niet afdwingbaar zijn zal onze aansprakelijkheid zijn beperkt tot een maximumbedrag van EUR 10.000,00 (tienduizend euro) per jaar.
9.2 De Verwerkingsverantwoordelijke vrijwaart ons voor alle schade die derden van ons vorderen in relatie tot onze uitvoering van de Verwerkingen, voor zover die vordering de beperking als bepaald in artikel 9.1 overstijgt.
10. Looptijd en wijziging Verwerkersovereenkomst
10.1 Deze Verwerkersovereenkomst is van toepassing zo lang de Verwerkingen plaatsvinden . Verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging van deze Verwerkersovereenkomst voort te duren zullen na beëindiging in stand blijven.
10.2 De Persoonsgegevens die toebehoren aan een Klant of Eindgebruiker blijven gedurende twaalf (12) maanden vanaf de einddatum van een Abonnement opgeslagen in MoneyMonk en op een back-up locatie. De Persoonsgegevens die toebehoren aan een Boekhouder blijven gedurende twaalf (12) maanden vanaf de einddatum van de Overeenkomst met de Boekhouder in het Boekhouderportaal opgeslagen. Gedurende deze termijn kunnen Klanten en Eindgebruikers respectievelijk Boekhouder de Persoonsgegevens inzien of downloaden in de door ons aangeboden, gangbare, bestandsformaten. Wij zijn niet aansprakelijk voor schade wegens de niet-beschikbaarheid van de Persoonsgegevens na afloop van deze termijn.
11. Algemeen
11.1 Deze Verwerkersovereenkomst behelst alle afspraken tussen ons en de Verwerkingsverantwoordelijke ten aanzien van de Verwerkingen. Wij zullen elke wijziging Schriftelijk aan Verwerkingsverantwoordelijke communiceren. Wijzigingen kunnen uitsluitend plaatsvinden met voorafgaande Schriftelijke instemming van de Verwerkingsverantwoordelijke, tenzij wij ons op het standpunt stellen dat wijzigingen noodzakelijk zijn om deze overeenkomst aan wet- en regelgeving te laten voldoen. In dat geval zullen de wijzigingen per de door ons aangegeven datum van toepassing zijn.
11.2 Als een bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Wij zullen in dat geval met de Verwerkingsverantwoordelijke in overleg treden om de nietige, vernietigbare of anderszins niet-afdwingbare bepaling te vervangen door een uitvoerbare, alternatieve bepaling. Daarbij zullen we zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet-afdwingbare bepaling.
11.3 De bepalingen uit de Overeenkomst zijn volledig van kracht tussen ons en de Verwerkingsverantwoordelijke, behalve voor zover daarvan in deze Verwerkersovereenkomst wordt afgeweken. Bij tegenstrijdigheid tussen de bepalingen uit de Overeenkomst en deze Verwerkersovereenkomst hebben de bepalingen in deze Verwerkersovereenkomst voorrang.