Verwerkersovereenkomst

Je kan de verwerkersovereenkomst hier downloaden.

Inhoudsopgave

Addendum Verwerking

Dit Addendum inzake Verwerking maakt integraal deel uit van de Overeenkomst tussen Timewax B.V. en de Opdrachtgever. Dit Addendum is van kracht op het moment dat er een Overeenkomst tot stand komt tussen Timewax B.V. en de Opdrachtgever en heeft dezelfde looptijd.

Alle begrippen die met een hoofdletter zijn aangeduid en die niet in dit Addendum zijn gedefinieerd, zullen de betekenis hebben zoals opgenomen in de Overeenkomst. In het geval dat begrippen in dit Addendum strijdig zijn met de definities in de Overeenkomst, prevaleren de begrippen in dit Addendum.

 

1. Begrippen

1.1          Anonimisering: onherroepelijke de-identificatie van Persoonsgegevens, zodanig dat de betrokkene niet kan worden geïdentificeerd binnen een redelijke tijd, tegen redelijke kosten en met gebruik van redelijke technologie.

1.2          AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.3          Betrokkene: de geïdentificeerde of identificeerbare persoon op wie de Persoonsgegevens betrekking hebben.

1.4          Derde land: een land buiten de EER, tenzij dat land het onderwerp is van een geldig toereikendheidsbesluit van de Europese Commissie over de bescherming van Persoonsgegevens in derde landen.

1.5          EER: Europese Economische Ruimte.

1.6          Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon, overheidsinstantie, organisatie of enige andere instantie, die alleen of samen met anderen, de doeleinden en middelen voor de verwerking van Persoonsgegevens bepaalt.

1.7          Gegevensverwerker: een natuurlijke persoon of rechtspersoon, overheidsinstantie, organisatie of enige andere instantie die de Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

1.8          Bijzondere Persoonsgegevens: Persoonsgegevens die door hun aard bijzonder gevoelig zijn in relatie tot de fundamentele rechten en vrijheden verdienen bijzondere bescherming als de context van de verwerking ervan kan leiden tot aanzienlijke risico’s voor de fundamentele rechten en vrijheden. Die Persoonsgegevens omvatten gegevens over de raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of lidmaatschap van de vakbond, genetische gegevens, biometrische gegevens voor het identificeren van een natuurlijke persoon, gegevens over gezondheid of gegevens betreffende het seksleven of de seksuele geaardheid van een natuurlijke persoon.

1.9          Inbreuk op Persoonsgegevens: een inbreuk die leidt tot het per ongeluk of onwettig vernietigen, verliezen, wijzigen, ongeautoriseerd openbaar maken of toegang verlenen tot de Persoonsgegevens van de Opdrachtgever die zijn verzonden, opgeslagen of anderszins zijn verwerkt.

1.10       Persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene) die direct of indirect kan worden geïdentificeerd, met name aan de hand van identificatiegegevens zoals een naam, een identificatienummer, locatiegegevens, een online-id of een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.11       Pseudonimisering: de Verwerking van Persoonsgegevens op een zodanige wijze dat de Persoonsgegevens niet meer aan een specifieke Betrokkene kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, op voorwaarde dat deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de Persoonsgegevens niet worden toegeschreven aan een geïdentificeerde of identificeerbare natuurlijke persoon.

1.12       Sub-verwerker: elke derde partij benoemd door Timewax voor de verwerking van Persoonsgegevens van Verwerkingsverantwoordelijke.

1.13       Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie die is vastgesteld door een lidstaat krachtens artikel 51 van het EU-AVG.

1.14       Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens.

1.15       Wetgeving inzake gegevensbescherming: AVG en alle lokale wetten inzake gegevensbescherming.

 

2. Verwerking

2.1          Met ingang van 25 mei 2018 verwerkt Timewax Persoonsgegevens in overeenstemming met de AVG-vereisten die rechtstreeks van toepassing zijn op de Diensten van Timewax.

2.2          Bij de verwerking van Persoonsgegevens binnen de Timewax infrastructuur zal de rol van Timewax niet die van Gegevensverwerker overstijgen.

2.3          De Opdrachtgever is de Verwerkingsverantwoordelijke en heeft en behoudt de volledige controle over de Persoonsgegevens.

2.4          De Opdrachtgever verklaart dat hij, indien en voor zover van toepassing, zal handelen in overeenstemming met de AVG en zal voldoen aan de nakoming van zijn verplichtingen krachtens de toepasselijke wetgeving.

2.5          De Opdrachtgever garandeert de rechtmatigheid van het gebruik, de Verwerking, de archivering, het doel van het gebruik en de uitwisseling van Persoonsgegevens en/of ieder ander gebruik, zoals die voortvloeien uit de tenuitvoerlegging van deze overeenkomst.

2.6          Timewax verwerkt de Persoonsgegevens op een behoorlijke en zorgvuldige manier en verwerkt alleen Persoonsgegevens in overeenstemming met de bepalingen van deze overeenkomsten en de specifieke doeleinden en middelen die worden beschreven in de SLA.

2.7          De maximale Persoonsgegevens die de partijen verwachten te verwerken betreffen personeelsnummer, voornaam, achternaam, e-mailadres, mobiel telefoonnummer en foto van de Medewerker en andere gegevens die Gebruikers wensen in te voeren in de software.

2.8          De Opdrachtgever verklaart dat de Persoonsgegevens die zijn verstrekt aan Timewax voor verwerking geen Bijzondere Persoonsgegevens bevatten.

2.9          Timewax zal de Persoonsgegevens niet verwerken, overdragen, wijzigen, veranderen, aanvullen of openbaar maken aan enige derde partij anders dan toegestaan in overeenstemming met de gedocumenteerde instructies van de Opdrachtgever, tenzij de verwerking vereist is volgens EU- of nationale wetgeving waaraan Timewax is onderworpen. Timewax zal, voor zover wettelijk toegestaan, de Opdrachtgever op de hoogte brengen van die juridische verplichting alvorens de Persoonsgegevens te verwerken en zal zich houden aan de instructies van de Opdrachtgever om de reikwijdte van de openbaarmaking zoveel mogelijk te beperken.

2.10       Timewax zal de Persoonsgegevens van de Opdrachtgever in de Programmatuur uitsluitend binnen de EER verwerken en zal de Persoonsgegevens van de Opdrachtgever niet verwerken in of overdragen naar een Derde land.

 

3. Beveiliging

3.1          Rekening houdend met de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van verwerking en met het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, dient Timewax passende technische en organisatorische maatregelen te nemen om een passend niveau van beveiliging van Persoonsgegevens te waarborgen, inclusief maar niet beperkt tot:

a.          versleuteling;

b.          de mogelijkheid om voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en robuustheid van verwerkingssystemen en -diensten te waarborgen;

c.          de mogelijkheid om de beschikbaarheid en toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident;

d.          een proces voor regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen voor de beveiliging van de Verwerking.

3.2          Timewax houdt bij het beoordelen van het juiste niveau van beveiliging rekening met de risico’s die Verwerking met zich meebrengt, in het bijzonder door onvoorziene of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins worden verwerkt.

3.3          Timewax laat minimaal jaarlijks een audit uitvoeren door een onafhankelijke partij op de getroffen technische en organisatorische maatregelen.

3.4           Als de Opdrachtgever de mogelijkheid om de Persoonsgegevens aan een Betrokkene te koppelen verder wil elimineren, kan de Opdrachtgever Pseudonimisering toepassen op de Persoonsgegevens, waarvoor de Opdrachtgever verantwoordelijk is.

3.5           De Opdrachtgever is verantwoordelijk voor de Anonimisering van Persoonsgegevens, waarbij Timewax dit mogelijk zal maken door middel van een Functie in de Programmatuur.

3.6           Timewax zal redelijke maatregelen nemen om de betrouwbaarheid te waarborgen van elk personeelslid van Timewax, werkzame derden of Sub-verwerker die toegang heeft tot de Persoonsgegevens van de Opdrachtgever, waarbij in elk geval wordt gewaarborgd dat de toegang strikt beperkt is tot die personen die toegang tot de relevante Persoonsgegevens nodig hebben.

3.7           Timewax zal ervoor zorgen dat alle personen die de taak hebben om Persoonsgegevens te verwerken:

a.          op de hoogte zijn van het vertrouwelijke karakter van de Persoonsgegevens en zich bewust zijn van de verplichtingen van Timewax krachtens deze overeenkomst met betrekking tot de Persoonsgegevens;

b.          een passende training hebben ontvangen met betrekking tot hun verantwoordelijkheden;

c.          zijn onderworpen aan vertrouwelijkheidsverplichtingen of professionele of wettelijke verplichtingen van vertrouwelijkheid;

d.          onderworpen zijn aan een gebruikersverificatie met een aanmeldproces bij het benaderen van de Persoonsgegevens van de Opdrachtgever in overeenstemming met deze overeenkomst en de toepasselijke Wetgeving inzake gegevensbescherming.

 

4. Sub-verwerking

4.1          De Opdrachtgever erkent en aanvaardt dat Timewax met betrekking tot de Diensten Sub-verwerkers kan aanstellen voor de Verwerking van Persoonsgegevens en dat Timewax van tijd tot tijd extra derde partijen als Sub-verwerker kan aanstellen.

4.2          Een lijst met Sub-verwerkers is beschikbaar op de support site van Timewax. Alvorens een nieuwe partij in te schakelen als Sub-verwerker, zal Timewax deze partij toevoegen aan de lijst. De Opdrachtgever kan zich via e-mail inschrijven voor updates op deze lijst en kan schriftelijk bezwaar aantekenen tegen een partij binnen vier (4) weken na ontvangst van voormelde kennisgeving door Timewax.

a.          Als de Opdrachtgever redelijkerwijs bezwaar heeft tegen een Sub-verwerker, dan dient de Opdrachtgever Timewax schriftelijk op de hoogte te stellen van commercieel aanvaardbare alternatieven zonder beperking of wijziging in relatie tot de Diensten;

b.          Als de Opdrachtgever geen bezwaar heeft ingediend tegen de aanstelling van een derde partij binnen vier (4) weken na kennisgeving door Timewax, dan zal deze partij als een Sub-verwerker worden aangesteld.

4.3          Timewax zal, door middel van een contract of een andere wettelijk document onder de wetgeving van de Europese Unie of een lidstaat van de Europese Unie (inclusief en zonder beperking van goedgekeurde gedragscodes en standaard contractclausules), ervoor zorgen dat elke Sub-verwerker onderworpen is aan verplichtingen met betrekking tot de Verwerking van Persoonsgegevens die niet minder beschermend zullen zijn dan de verplichtingen waaraan Timewax is onderworpen onder dit Addendum.

4.4          Timewax zal aansprakelijk zijn jegens de Opdrachtgever voor de handelingen en nalatigheden van Sub-verwerkers in dezelfde mate als waarin Timewax zelf aansprakelijk zou zijn onder dit Addendum mocht het deze handelingen of nalatigheden hebben begaan.

 

5. Rechten van Betrokkenen

5.1          Rekening houdend met de aard van de Verwerking zal Timewax de Opdrachtgever assisteren door het implementeren van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichting van de Opdrachtgever om te reageren op verzoeken van Betrokkenen op grond van de rechten zoals vastgelegd in de AVG.

5.2          Timewax zal de Opdrachtgever onmiddellijk op de hoogte stellen als het een verzoek van een Betrokkene ontvangt voor toegang, correctie of verwijdering van Persoonsgegevens of als een Betrokkene bezwaar maakt tegen de Verwerking ervan. Timewax zal niet reageren op een verzoek van een Betrokkene zonder de voorafgaande schriftelijke toestemming van de Opdrachtgever, behalve om te bevestigen dat een dergelijk verzoek betrekking heeft op de Opdrachtgever waarmee de Opdrachtgever hiermee instemt.

5.3          Timewax werkt op verzoek van de Opdrachtgever samen om de Opdrachtgever in staat te stellen te voldoen aan enige uitoefening van rechten door een Betrokkene op grond van Wetgeving inzake gegevensbescherming en zal meewerken aan elke beoordeling, onderzoek, kennisgeving of onderzoek op grond van Wetgeving inzake gegevensbescherming met betrekking tot Persoonsgegevens of deze overeenkomst.

 

6. Inbreuk op Persoonsgegevens

6.1          Timewax zal de Opdrachtgever onverwijld en in elk geval binnen zesendertig (36) uur op de hoogte brengen na bekendwording of redelijk vermoeden van een Inbreuk op de Persoonsgegevens. Deze kennisgeving moet ten minste bevatten:

a.          een beschrijving van de aard van de Inbreuk op Persoonsgegevens en het aantal betrokken personen;

b.          de naam en contactgegevens van de Data Protection Officer bij Timewax of een andere relevante contactpersoon van wie meer informatie kan worden verkregen;

c.          een beschrijving van het geschatte risico en de mogelijke gevolgen van de inbreuk op Persoonsgegevens;

d.          een beschrijving van de genomen of geplande maatregelen na de Inbreuk op Persoonsgegevens.

6.2          Timewax zal samenwerken met de Opdrachtgever en zal redelijke commerciële stappen nemen op aanwijzing van de Opdrachtgever om te helpen bij het onderzoeken, beperken en verhelpen van elke Inbreuk op Persoonsgegevens.

6.3          In het geval van een Inbreuk op Persoonsgegevens, zal Timewax geen derde partij op de hoogte stellen zonder voorafgaande schriftelijke toestemming van de Opdrachtgever, tenzij kennisgeving is vereist op grond van EU- of nationale wetgeving waaraan Timewax is onderworpen. In dat geval zal Timewax, voor zover toegestaan door dergelijke wetgeving, de Opdrachtgever op de hoogte brengen van die wettelijke vereiste en een kopie van de voorgestelde kennisgeving verstrekken en rekening houden met eventuele opmerkingen van de Opdrachtgever voordat de Inbreuk op Persoonsgegevens wordt gemeld.

6.4          Timewax zal de Opdrachtgever redelijke assistentie bieden bij alle beoordelingen over gegevensbescherming die vereist zijn krachtens artikel 35 van de AVG en met voorafgaand overleg met de toezichthoudende autoriteit van de Opdrachtgever, zoals vereist krachtens artikel 36 van de AVG, in elk geval uitsluitend in relatie tot de Verwerking van de Persoonsgegevens namens de Opdrachtgever door Timewax en rekening houdend met de aard van de Verwerking en informatie die beschikbaar is voor Timewax.

 

7. Verwijderen van Persoonsgegevens

7.1          Timewax zal op verzoek van Opdrachtgever en uiterlijk binnen 90 dagen na de beëindiging van de overeenkomst, alle door Timewax verwerkte Persoonsgegevens beveiligd vernietigen of terug overdragen aan Opdrachtgever, inclusief alle (kopieën van) elektronisch vastgelegde Persoonsgegevens.

7.2          Timewax kan de Persoonsgegevens van de Opdrachtgever bewaren voor zover dit vereist is door de wetgeving van de Europese Unie of de lidstaat, en alleen in de mate en voor de periode zoals vereist door de wetgeving van de Europese Unie of de lidstaat, en altijd op voorwaarde dat Timewax de vertrouwelijkheid van al deze Persoonsgegevens verzekert. Timewax zal ervoor zorgen dat de Persoonsgegevens van de Opdrachtgever alleen worden verwerkt voor het doel (de doelen) zoals gespecificeerd in de wetgeving van de Europese Unie of de lidstaat die de opslag ervan vereist, en voor geen enkel ander doel.

 

8. Aansprakelijkheid

8.1          Verwerker is jegens Opdrachtgever als gevolg van of verband houdende met dit Addendum of uit enig andere hoofde aansprakelijk voor zover en tot zover partijen dit zijn overeengekomen in de Overeenkomst. De in de Overeenkomst overeengekomen beperking van aansprakelijkheid is onverminderd van kracht op de verplichtingen zoals opgenomen in dit Addendum, met dien verstande dat eenzelfde gebeurtenis nooit tot meerdere schadevorderingen kan leiden.

8.2          Niettegenstaande artikel 8.1 vrijwaart Verwerker Opdrachtgever tegen elke aanspraak en voor alle schade en/of boetes van derden, waaronder begrepen de Autoriteit Persoonsgegevens of individuen, met betrekking tot verplichtingen zoals gesteld in de Overeenkomst en dit Addendum.

Gratis eBook: 8 bouwstenen van resource planning

Met dit eBook organiseer je de resource
planning naar een hoger niveau.

Potentiële omzetstijging