Verwerkersovereenkomst RAET

Verwerkersovereenkomst RAET

PARTIJEN:

1. [ ], gevestigd te [ ] ( ), aan de [ ], hierbij rechtsgeldig vertegenwoordigd door [ ] ( ), hierna te noemen: “Verwerkingsverantwoordelijke”

en

2. CBBS HR & Payroll Service B.V., statutair gevestigd te Rijswijk en kantoorhoudende te Rijswijk (2285 VL) aan de

X.X. xxx Xxxxxxxxxx 0, hierbij rechtsgeldig vertegenwoordigd door de heer X.X. xxx xxx Xxxxx, directeur, hierna te noemen “Verwerker”

de partijen zijn hierna eveneens gezamenlijk te noemen de “Partijen” en elk afzonderlijk een “Partij”.

Partijen overwegen:

(A) Verwerkingsverantwoordelijke en Verwerker hebben de Hoofdovereenkomst gesloten voor het verrichten van e- HRM-diensten door Verwerker aan Verwerkingsverantwoordelijke. Op grond hiervan Verwerkt Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens. Deze Verwerkersovereenkomst maakt als bijlage onlosmakelijk deel uit van de Hoofdovereenkomst;

(B) Partijen zijn van mening dat de Verwerkingsverantwoordelijke moet worden gekwalificeerd als “Verwerkingsverantwoordelijke” in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) en dat Verwerker moet worden gekwalificeerd als “Verwerker” in de zin van de AVG met betrekking tot deze Persoonsgegevens;

(C) Verwerkingsverantwoordelijke stelt aan Verwerker Persoonsgegevens ter beschikking om ten behoeve van haar te Verwerken;

(D) Voor de Verwerking van deze Persoonsgegevens maakt Verwerker gebruik van de software van Subverwerker en heeft Subverwerker toegang tot deze gegevens;

(E) Verwerkingsverantwoordelijke en Verwerker xxxxxx, mede gezien artikel 28 AVG, de opdracht tot en nadere afspraken omtrent de Verwerking van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke vast te leggen in deze Verwerkersovereenkomst.

EN ZIJN ALS VOLGT OVEREENGEKOMEN:

Definities

In deze Verwerkersovereenkomst worden de navolgende begrippen gebruikt:

Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft, zoals nader aangeduid in Bijlage 1 (v6v7);

Datalek: Een inbreuk op de beveiliging, zoals bedoeld in artikel 4 lid 12 AVG, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens;

Hoofdovereenkomst: De overeenkomst tussen Partijen zoals aangeduid in overweging A, waaronder begrepen een eventueel eerder overeengekomen bewerkersovereenkomst;

Persoonsgegevens: De persoonsgegevens in de zin van AVG die Verwerker in opdracht en ten behoeve van Verwerkingsverantwoordelijke Verwerkt in het kader van de Hoofdovereenkomst, zoals nader aangeduid in Bijlage 1 (v6v7);

Subverwerker: Een door Verwerker ingeschakelde verwerker van Persoonsgegevens;

Verwerken of Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Verwerkersovereenkomst: Deze verwerkersovereenkomst.

2. Verwerking

2.1 Verwerker zal ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens Verwerken in overeenstemming met de bepalingen van deze Verwerkersovereenkomst.

2.2 De Verwerking van Persoonsgegevens door Verwerker zal voldoen aan alle toepasselijke wet- en regelgeving ter zake van de bescherming van Persoonsgegevens in verband met het Verwerken van Persoonsgegevens.

2.3 Verwerker zal de Persoonsgegevens uitsluitend Verwerken in overeenstemming met de schriftelijke Verwerkingsinstructies die door Verwerkingsverantwoordelijke zijn bekendgemaakt dan wel in overeenstemming met de verplichtingen voortvloeiend uit de Hoofdovereenkomst of deze Verwerkersovereenkomst, waaronder begrepen voor het gebruiken van (geaggregeerde en geanonimiseerde) gegevens voor haar facturatie en het doen van statistisch onderzoek naar (de kwaliteit van) haar dienstverlening. Het is Verwerker nadrukkelijk verboden om andere Verwerkingen te verrichten.

2.4 Indien de Verwerker van mening is dat een verwerkingsinstructie van Verwerkingsverantwoordelijke een inbreuk oplevert op de AVG of andere toepasselijke implementatiewetgeving van de AVG, dan stelt zij de Verwerkingsverantwoordelijke hiervan onmiddellijk in kennis.

2.5 Verwerker zal alleen Persoonsgegevens Verwerken in landen die conform de AVG een passend beschermingsniveau waarborgen. Verwerker zal op geen enkele wijze Persoonsgegevens doorgeven buiten dergelijke landen anders dan met de voorafgaande schriftelijke goedkeuring van de Verwerkingsverantwoordelijke.

3. Medewerking Verwerker

Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie zal de Verwerker de Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG. Indien deze bijstand verder gaat dan wat wettelijk of redelijkerwijs van de Verwerker mag worden verwacht, zullen Partijen van tevoren en schriftelijk (waaronder begrepen per e-mail) bepalen welk (uur)tarief de Verwerker zal hanteren voor de te bieden bijstand.

4. Subverwerkers

4.1 Verwerker is niet bevoegd om de Persoonsgegevens op enige wijze door Subverwerkers te laten Verwerken, anders dan (i) als toegestaan ingevolge deze Verwerkersovereenkomst of de Hoofdovereenkomst, of (ii) met de voorafgaande schriftelijke goedkeuring van Verwerkingsverantwoordelijke.

4.2 Niettegenstaande artikel 4.1 geeft Verwerkingsverantwoordelijke haar algemene toestemming voor het inschakelen van Subverwerkers door Verwerker aangaande de in Bijlage 1 (v6v7) genoemde diensten.

In het geval van een beoogde verandering inzake de toevoeging of vervanging van andere Subverwerkers waarvoor de Verwerkingsverantwoordelijke een algemene toestemming geeft, licht Verwerker de Verwerkingsverantwoordelijke hierover vooraf in, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden om tegen deze verandering bezwaar te maken. Dit bezwaar moet worden gemaakt binnen 4 weken nadat de Verwerkingsverantwoordelijke hierover is geïnformeerd. Het is de Verwerkingsverantwoordelijke toegestaan bezwaar te maken op redelijke gronden, waarbij de volgende omstandigheden in ieder geval, doch niet limitatief, geacht worden redelijke gronden te zijn:

a. de beoogde andere Subverwerker zal Persoonsgegevens buiten de Europese Economische Ruimte Verwerken, is niet gebonden aan bindende bedrijfsvoorschriften voor verwerkers, niet gecertificeerd op basis van de EU-US Privacy Shield, en is niet bereid akkoord te gaan met standaardbepalingen inzake gegevensbescherming die conform artikel 46 AVG zijn vastgesteld;

b. de Verwerkingsverantwoordelijke kan aantonen dat het onwaarschijnlijk is dat de beoogde andere Subverwerker zal kunnen voldoen aan de verplichtingen voortvloeiend uit deze Verwerkersovereenkomst; of

c. de Verwerkingsverantwoordelijke kan aantonen dat het aannemelijk is dat het inschakelen of de vervanging van de beoogde andere Subverwerker een onredelijk risico inhoudt voor de bescherming van Persoonsgegevens.

In het geval de Verwerkingsverantwoordelijke tijdig en op redelijke gronden bezwaar maakt tegen het inschakelen of de vervanging van de beoogde andere Subverwerker, dan is het de Verwerker toegestaan om binnen een redelijke termijn een alternatief te bieden om de relevante dienst voor te zetten. Indien dat alternatief redelijkerwijs niet acceptabel is voor de Verwerkingsverantwoordelijke, of indien de Verwerker geen alternatief biedt, dan is het haar toegestaan om die relevante dienst op te zeggen, die niet zonder het inschakelen of de vervanging van de beoogde andere Subverwerker kan worden verleend.

4.3 Verwerker is verantwoordelijk en aansprakelijk voor door haar ingeschakelde Subverwerkers in de nakoming van diens verplichtingen ten aanzien van de Verwerking van Persoonsgegevens. De Verwerker dient in ieder geval die voorwaarden te verbinden aan deze inschakelingen die equivalent zijn aan de voorwaarden onder deze Verwerkersovereenkomst.

5. Verzoeken van betrokkenen of instanties

5.1 Op verzoek van Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke steeds onmiddellijk toegang verlenen tot de Persoonsgegevens. Ook zal Verwerker binnen twee (2) weken na verzoek van Verwerkingsverantwoordelijke (i) een kopie aan Verwerkingsverantwoordelijke verstrekken van alle Persoonsgegevens dan wel Persoonsgegevens betreffende een bepaalde persoon die in zijn bezit of beheer zijn alsmede een kopie van alle documenten waarin deze Persoonsgegevens zijn opgenomen en een overzicht van alle systemen waarin deze Persoonsgegevens zijn opgenomen en alle overige Verwerkingen van deze Persoonsgegevens die door Verwerker worden uitgevoerd in zodanig format als Verwerkingsverantwoordelijke redelijkerwijs verzoekt, tenzij Verwerkingsverantwoordelijke deze informatie zelf reeds in haar bezit heeft, (ii) bepaalde Persoonsgegevens verwijderen, blokkeren of corrigeren conform aanwijzingen van Verwerkingsverantwoordelijke, of (iii) vastleggen dat aan bepaalde verzoeken tot verwijdering, blokkering of correctie geen gevolg wordt gegeven en de redenen hiervan.

5.2 Indien Verwerker zelf verzoeken (zoals verzoeken om inzage, rectificatie, gegevenswissing of beperking van de Verwerking van Persoonsgegevens) ontvangt van Betrokkenen, zal Verwerker deze onverwijld aan Verwerkingsverantwoordelijke doorsturen. Voor zover Verwerkingsverantwoordelijke deze informatie zelf niet in haar bezit heeft, zal Verwerker binnen twee (2) weken na ontvangst van het verzoek om inzage van Persoonsgegevens een kopie aan Verwerkingsverantwoordelijke verstrekken van alle Persoonsgegevens betreffende deze Betrokkene die in zijn bezit of beheer zijn alsmede een kopie van alle documenten en een overzicht van alle systemen waarin deze Persoonsgegevens zijn opgenomen en alle overige Verwerkingen van deze Persoonsgegevens die door Verwerker worden uitgevoerd.

5.3 Verwerker zal de in de artikelen 5.1 en 5.2 bedoelde handelingen verrichten binnen de in deze artikelen aangegeven termijn dan wel enige andere termijn die Verwerkingsverantwoordelijke in afwijking hiervan in redelijkheid heeft vastgesteld.

5.4 Verwerker stelt Verwerkingsverantwoordelijke onverwijld in kennis indien een daartoe bevoegde instantie een juridische bindend verzoek om verstrekking van de Persoonsgegevens heeft gedaan, tenzij het de Verwerker omwille van gewichtige redenen van algemeen belang niet is toegestaan Verwerkingsverantwoordelijke hiervan in kennis te stellen, zoals in het geval van een strafrechtelijk gebod om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren.

6. Geheimhouding, beveiliging en auditrecht

6.1 Verwerker zal conform artikel 32 AVG passende technische en organisatorische maatregelen nemen teneinde de Persoonsgegevens te beschermen tegen vernietiging, verlies of onrechtmatige verstrekking of andere onrechtmatige Verwerking, waaronder onnodige verzameling en verdere Verwerking van Persoonsgegevens.

6.2 De Verwerker zal ervoor zorgen dat alleen de door haar gemachtigde personen die nodig zijn om de Persoonsgegeven te Verwerken, toegang zullen hebben tot de Persoonsgegevens. Dit betreft de in Bijlage 1 (v6v7) genoemde (categorieën) medewerkers. De Verwerker zal deze medewerkers adequaat instrueren, en ervoor zorgen dat zij vertrouwelijkheid in acht nemen en bekend zijn met de verantwoordelijkheden en verplichtingen uit hoofde van de AVG.

6.3 Verwerker heeft passende technische en organisatorische maatregelen genomen om te waarborgen en te kunnen aantonen dat de verwerking van Persoonsgegevens wordt uitgevoerd in overeenstemming met de AVG. Verwerker beheerst haar processen door middel van beheersmaatregelen die gericht zijn op de invoer van Persoonsgegevens, het doorvoeren van mutaties c.q. het verwerken van Persoonsgegevens en de uitvoer van Persoonsgegevens.

6.4 De dienstverlening door Verwerker vindt plaats met behulp van de software die eigendom is van en wordt onderhouden en beveiligd door Raet B.V. De software en IT-processen worden door Raet B.V. beheerst met een stelsel van beheersmaatregelen. Deze beheersmaatregelen worden jaarlijks getoetst door een onafhankelijke auditor en vastgelegd in een ISAE3402 type II mededeling. Op verzoek van Verwerkingsverantwoordelijke zal Raet B.V. de conclusies van deze toetsing ter beschikking stellen. Daarnaast zijn de informatiebeveiligingsmanagementsystemen van Raet B.V. gecertificeerd conform ISO27001. Raet B.V. behoudt zich het recht voor om de ISO 27001 certificering en de ISAE 3402 type II mededelingen te vervangen door een andere adequate en algemeen geaccepteerde verklaring en/of normenkader gebaseerd op nationale of internationale standaarden.

6.5 De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren onder de voorwaarden zoals gesteld in dit artikel. Indien de Verwerkingsverantwoordelijke een verzoek tot het verrichten van een audit doet conform de voorwaarden van dit artikel, zal de Verwerker die locaties voor een audit ter beschikking stellen waar Persoonsgegevens worden Verwerkt ten behoeve van de Verwerkingsverantwoordelijke. Verwerker biedt alle medewerking en informatie die de Verwerkingsverantwoordelijke redelijkerwijs nodig heeft voor de audit. Een dergelijke audit zal worden uitgevoerd door een onafhankelijke derde partij, welke partij door de Verwerkingsverantwoordelijke wordt geselecteerd, in overleg met de Verwerker. Deze partij zal ten minste gekwalificeerd zijn als (IT-)auditor en ten minste geaccrediteerd zijn als Register Controller, Register Accountant of Register EDP-auditor. De (interne en externe) kosten van een audit zijn voor rekening van de Verwerkings- verantwoordelijke, tenzij uit de audit blijkt dat de Verwerker wezenlijk tekortkomt of te kort is gekomen in de nakoming van haar verplichtingen opgenomen in deze Verwerkersovereenkomst. Vóór aanvang van een audit zullen Partijen met elkaar overeenkomen wat de scope, planning en de duur van de audit zal zijn, en eveneens bepalen wat het uurtarief van Verwerker en haar Subverwerkers zal zijn voor de geboden ondersteuning. Het is de Verwerkingsverantwoordelijke niet toegestaan een audit op locatie te verzoeken indien Verwerker een recent intern of extern auditrapport kan overleggen dat toeziet op dezelfde locaties waarvoor de Verwerkingsverantwoordelijke een audit verzoekt, tenzij de Verwerkingsverantwoordelijke aantoont dat een dergelijk intern of extern auditrapport niet voldoet aan de vereisten van de AVG.

7. Inbreuk in verband met Persoonsgegevens (Datalek)

7.1 Indien zich een Datalek voordoet ten aanzien van Persoonsgegevens die de Verwerker of de door haar ingeschakelde Subverwerkers Verwerkt, dan stelt de Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in ieder geval binnen 36 uur, na kennisneming daarvan op de hoogte. De Verwerker voorziet de Verwerkingsverantwoordelijke daarbij van alle, redelijkerwijs benodigde informatie, waaronder in ieder geval begrepen de informatie als bedoeld in artikel 33 lid 3 AVG, om de Verwerkingsverantwoordelijke in staat te stellen zulks – indien vereist op grond van artikel 33 en 34 AVG – tijdig, juist en volledig te melden aan de Autoriteit Persoonsgegevens en de relevante Betrokkenen.

7.2 Bij het aanleveren van de informatie zoals bedoeld in artikel 7.1 levert de Verwerker de informatie aan zoals deze door de Autoriteit Persoonsgegevens wordt opgevraagd middels de door haar vastgestelde standaardformulieren. Daarnaast is de functionaris gegevensbescherming van Verwerker (Xxxx Xxxxxx) beschikbaar voor eventuele vervolgvragen van de Verwerkingsverantwoordelijke.

7.3 Indien zich na de melding aan de Verwerkingsverantwoordelijke, als bedoeld in artikel 7.1, eventuele nieuwe, relevante ontwikkelingen voordoen, waaronder begrepen de maatregelen die de Verwerker (waaronder begrepen: haar Subverwerkers) treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan onverwijld op de hoogte.

7.4 Indien Persoonsgegevens door een Datalek beschadigd of anderszins onbruikbaar zijn geworden, dan zal Verwerker zich met Subverwerker inspannen om die onverwijld en kosteloos te herstellen op basis van de gehanteerde backup en/of disaster recovery-procedures.

8. Aansprakelijkheid

Verwerker is jegens Verwerkingsverantwoordelijke als gevolg van of verband houdende met deze Verwerkersovereenkomst of uit enige andere hoofde aansprakelijk voor zover en tot zover partijen dit zijn overeengekomen in de Hoofdovereenkomst. De in de Hoofdovereenkomst overeengekomen beperking van de aansprakelijkheid is onverminderd van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst, met dien verstande dat eenzelfde gebeurtenis nooit tot meerdere schadevorderingen kan leiden.

9. Overmacht

Indien Verwerker als gevolg van overmacht haar verplichtingen uit hoofde van deze Verwerkersovereenkomst geheel of gedeeltelijk niet kan of kon nakomen, dient Verwerker Verwerkingsverantwoordelijke hiervan onverwijld melding te doen.

10. Looptijd

Deze Verwerkersovereenkomst treedt in werking op 25 mei 2018 of, indien later, de datum van ondertekening door beide Partijen en loopt qua duur gelijk aan de Hoofdovereenkomst.

11. Aanvullingen en wijzigen van deze Verwerkersovereenkomst

Aanvullingen van en wijzigingen in deze Verwerkersovereenkomst en de daarbij behorende bijlagen zijn slechts geldig indien deze schriftelijk zijn opgemaakt en door beide partijen zijn ondertekend. Dit houdt – ter verduidelijking – tevens in dat handgeschreven wijzigingen op deze Verwerkersovereenkomst niet akkoord zijn, tenzij door beide partijen geparafeerd.

12. Overdraagbaarheid

Partijen zijn niet gerechtigd zonder voorafgaande schriftelijke toestemming van de andere Partij de rechten en/of plichten voortvloeiende uit deze Verwerkersovereenkomst aan een derde over te dragen.

13. Teruggave / Vernietiging Persoonsgegevens

Na afloop of tussentijdse beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens binnen een redelijke termijn terug overdragen aan Verwerkingsverantwoordelijke en/of op verzoek van Verwerkingsverantwoordelijke vernietigen of verwijderen, inclusief alle (kopieën van) elektronisch vastgelegde Persoonsgegevens en schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat alle Persoonsgegevens terug aan haar zijn overgedragen dan wel zijn vernietigd of verwijderd. Indien op Verwerker de wettelijke plicht rust om te blijven Verwerken, dan zal zij aan het verzoek van Verwerkingsverantwoordelijke voldoen voor zover zulks is toegestaan op grond van toepasselijke wet- en regelgeving.

14. Slotbepalingen

14.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen zullen ter beslechting worden voorgelegd aan de bevoegde rechter te Amsterdam.

14.2 De nietigheid van enige bepaling van deze Verwerkersovereenkomst tast de geldigheid van de overige bepalingen niet aan.

14.3 Voorwaarden van deze Verwerkersovereenkomst die naar hun aard bedoeld zijn om voort te duren, blijven van kracht na beëindiging ervan.

14.4 In geval van strijdigheid tussen bepalingen van de Verwerkersovereenkomst en de Hoofdovereenkomst, prevaleert de bepaling van de Verwerkersovereenkomst, tenzij expliciet anders overeengekomen.

ALDUS OVEREENGEKOMEN EN GETEKEND:

[ ] CBBS HR & Payroll Services B.V.

Verwerkingsverantwoordelijke Verwerker

        _

         _

Naam Functie	: [ : [	] ]	Naam Functie	: X.X. xxx xxx Xxxxx : directeur
Datum	: [	]	Datum	:

Bijlage 1 (v6v7) Overzicht met het doel, de soort Persoonsgegeven, categorie medewerkers met toegang tot Persoonsgegevens, categorieën Betrokkenen en categorieën Subverwerkers

Diensten: RAET Full Service en RAET Self Service

Het doel

Bij het uitvoeren van de salarisverwerking en/of het beschikbaar stellen van HR-software Verwerkt de Verwerker Persoonsgegevens van Betrokkenen. De grondslag voor deze verwerking is de uitvoering van de overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker.

Soort Persoonsgegevens*

Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (soort) Persoonsgegevens worden Verwerkt:

Naam-, adres- en woonplaatsgegevens (N)	Opleidingsgegevens (N)
Burgerservicenummer (H)	Bezettings- en formatie informatie (N)
Contactgegevens (o.a. telefoonnummers en e- mailadressen) (N)	Belonings-, uitkerings- en/of pensioengegevens en mutaties (N)
Kopieën van legitimatiebewijzen (H)	Verlofgegevens (N)
Toegangs- of identificatiegegevens (N)	Verzuimgegevens (H)
Bankrekeningnr. en financiële gegevens (N)	Functioneringsgegevens (N)
Aanstellings-/contractgegevens (N)	Uitstroommutaties/uitdienstdata (N)
Naast de bovengenoemde Persoonsgegevens heeft de Verwerkingsverantwoordelijke de mogelijkheid in het kader van de dienstverlening, aanvullende Persoonsgegevens te registreren. De Verwerkingsverantwoordelijke bepaalt of hiervoor een grondslag bestaat. Een mogelijke grondslag is verleende toestemming, informatie die noodzakelijk is voor het uitvoeren van een overeenkomst, het nakomen van een wettelijke verplichting, het beschermen van vitale belangen, het vervullen van een taak van algemeen belang of uitoefening van openbaar gezag, of het behartigen van gerechtvaardigde belangen.

* aanduiding (N) of (H) staat voor de risicoclassificering (Normaal/Hoog). Zie voor meer informatie het Gegevensbeschermingsbeleid CBBS.

Categorie medewerkers met toegang tot de Persoonsgegevens

Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (categorieën) medewerkers toegang hebben tot de Persoonsgegevens:

- volledige toegang vanwege beheer platform en applicatieomgeving door system engineers, database administrators, application management support engineers;

- alleen-lezen toegang vanwege oplossen van applicatie- en/of klantspecifieke incidenten door application developers en medewerkers service center;

- toegang tot klantspecifieke gegevens bij BPO-services door HR- en payrolladministrators;

- toegang tot klantspecifieke gegevens op projectbasis conform door Verwerkingsverantwoordelijke verleende autorisatie door implementatie-, product- en/of conversiespecialisten.

Categorieën Betrokkenen

Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten, kunnen de Persoonsgegevens van de volgende categorieën van Betrokkenen worden Verwerkt:

- werknemer / zelfstandigen / vrijwilligers (“Medewerkers”);

- oud-medewerkers;

- uitkeringsgerechtigden.

Categorieën Subverwerkers

Lijst met activiteiten van Subverwerkers waarvoor Verwerkingsverantwoordelijke een algemene toestemming verleent:

- eigenaar van e-HRM software: Raet B.V.;

- hosting & storage software van Raet B.V. (ten tijde van afsluiten overeenkomst: KPN N.V.);

- postal services van Raet B.V. (ten tijde van afsluiten overeenkomst: PostNL Communicatie Services B.V.).