Verwerkersovereenkomst
Verwerkersovereenkomst
Overeenkomst ter bescherming van persoonsgegevens
Bedrijfsrooster BV
Haarlem, dinsdag 1 juni 2021
Documentversie 2106011 Licentienummer BR
Inhoudsopgave
1. Begrippen 4
2. Onderwerp 4
3. Inwerkingtreding en duur 5
4. Verplichtingen van de Verwerkingsverantwoordelijke 5
5. Verplichtingen van de Verwerker 5
6. Subverwerkers 6
7. Verzoeken en Verstrekking Persoonsgegevens 7
8. Beveiliging van Persoonsgegevens 7
9. Inbreuk in verband met Persoonsgegevens 8
10. Data Overdracht 8
11. Data Vernietiging en Beëindiging 8
12. Geheimhouding 9
13. Aansprakelijkheid 9
14. Ontbinding 10
15. Overige 10
Bijlage 1. Specificatie Verwerking 12
Bijlage 2. Maatregelen 13
Bijlage 3. Procedure bij Inbreuk in verband met Persoonsgegevens 14
Bijlage 4. Overzicht Subverwerkers 15
De ondergetekenden:
A. Bedrijfsrooster BV,
een bedrijf gevestigd volgens de wetgeving van Nederland,
ingeschreven in het register van de kamer van koophandel onder nummer 71572473, hierna te noemen “Bedrijfsrooster”, gevestigd te Haarlem,
rechtsgeldig vertegenwoordigd door Xxxx Xxxxxxxx, Algemeen Directeur,
B. ,
een bedrijf gevestigd volgens de wetgeving van ,
ingeschreven in het nationale zakelijke register zoals KvK onder nummer ,
hierna te noemen “Klant”, gevestigd te ,
kantoorhoudend aan ,
rechtsgeldig vertegenwoordigd door , , Hierna gezamenlijk te noemen ‘Partijen’;
In aanmerking nemende:
A. Partijen hebben een overeenkomst gesloten met betrekking tot het leveren, gebruik en ondersteunen van software voor de bedrijfsmatige planning en urenadministratie van werknemers en bedrijfsmiddelen, ingaande op , hierna te noemen: “Overeenkomst”. Ter uitvoering van de Overeenkomst verwerkt Bedrijfsrooster ten behoeve van Klant persoonsgegevens;
B. Partijen wensen zorgvuldig en in overeenstemming met de algemene verordening gegevensbescherming en andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens om te gaan met de persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;
C. Partijen wensen in overeenstemming met de algemene verordening gegevensbescherming en andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens hun rechten en plichten ten aanzien van de verwerking van persoonsgegevens van betrokkenen schriftelijk vast te leggen in deze verwerkersovereenkomst.
D. Uitsluitend Klant stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Bedrijfsrooster heeft hierop geen invloed.
E. Klant neemt een standaard pakket diensten en software af van Bedrijfsrooster zoals Bedrijfsrooster die in dezelfde gestandaardiseerde vorm, tegen een vergelijkbaar tarief met schaalvoordeel en via grotendeels geautomatiseerde processen aan meerdere klanten levert. Al het afwijkende zal overeengekomen worden volgens een “Maatwerk overeenkomst” tegen een nader door Bedrijfsrooster te bepalen tarief.
Zijn als volgt overeengekomen:
1. Begrippen
1.1. Aanvullende Maatregelen: door Bedrijfsrooster (optionele, toekomstige) aangeboden privacy- en beveiligingsmaatregelen en hulpmiddelen die Gebruiker op eigen initiatief kan gebruiken danwel inzetten naargelang hij dit wenst of nodig acht, inclusief de mogelijkheden tot Verwijderactie en instellingen zoals beschikbaar gemaakt via de Applicatie.
1.2. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.3. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.4. EER: Europese Economische Ruimte.
1.5. Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging van Bedrijfsrooster die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
1.6. Notificatie E-mailadres: het e-mailadres dat Klant heeft opgegeven bij het aangaan van Overeenkomst of via Applicatie, waarop bepaalde notificaties en schriftelijke mededelingen door Bedrijfsrooster gemeld worden.
1.7. Overdrachtsperiode: periode van 30 dagen na beëindiging van Overeenkomst waarin Xxxxx de mogelijkheid krijgt verzoek tot overdracht van Persoonsgegevens of de zelfstandige uitvoering daarvan te bewerkstelligen.
1.8. Personeel: de door Bedrijfsrooster en/of Klant voor de uitvoering van deze Verwerkersovereenkomst in te schakelen natuurlijke personen, die onder hun gezag van of in een hiërarchische verhouding tot Bedrijfsrooster en/of Klant staan.
1.9. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.10. Subverwerker: derde die door Bedrijfsrooster wordt ingeschakeld om ten behoeve van Bedrijfsrooster Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Bedrijfsrooster te zijn onderworpen en zonder in een hiërarchische verhouding tot Bedrijfsrooster te staan.
1.11. Verwerker/Bedrijfsrooster: degene die ten behoeve van Klant Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen, in deze overeenkomst “Bedrijfsrooster”.
1.12. Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.13. Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
1.14. Verwerkingsverantwoordelijke/Klant: de verantwoordelijke voor de Verwerking in de zin van de AVG en die doel en middelen van de Verwerking bepaalt, in deze overeenkomst “Klant”.
1.15. Verwijderactie: via de Applicatie door Gebruiker gegeven instructie tot verwijdering zonder daarbij geboden mogelijkheid tot terugzetten of herstellen van Persoonsgegevens.
2. Onderwerp
2.1. Deze Verwerkersovereenkomst bevat afspraken met betrekking tot de Verwerking van Persoonsgegevens door Bedrijfsrooster in het kader van de Overeenkomst.
2.2. De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 (Specificatie Verwerking) omschreven.
3. Inwerkingtreding en duur
3.1. Deze Verwerkersovereenkomst treedt in werking indien Klant via Applicatie op accepteren heef geklikt, of Partijen op andere wijze deze Verwerkersovereenkomst zijn aangegaan, maar nooit eerder dan 25 mei 2018.
3.2. De bepalingen over duur en beëindiging van de Overeenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst. Wanneer de Overeenkomst om welke reden dan ook eindigt, eindigt na verstrijken van de Overdrachtstermijn en indien Bedrijfsrooster alle Persoonsgegevens heeft vernietigd, ook de Verwerkersovereenkomst.
3.3. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging voortduren. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, vernietiging, aansprakelijkheid en toepasselijk recht.
4. Verplichtingen van de Verwerkingsverantwoordelijke
4.1. Klant garandeert dat de opdracht tot de Verwerking van de Persoonsgegevens niet onrechtmatig is en geen inbreuk maakt op rechten van derden en staat ervoor in dat de in Bijlage 1 (Specificatie Verwerking) omschreven doeleinden en categorieën Betrokkenen en Persoonsgegevens volledig en correct zijn en vrijwaart Bedrijfsrooster voor enige gebreken en aanspreken die resulteren uit een onvolledige specificatie.
4.2. Klant zal indien van toepassing gewenste wijzigingen met betrekking tot de Verwerking van Persoonsgegevens schriftelijk aan Bedrijfsrooster bekend maken en een termijn van 10 dagen bieden aan Bedrijfsrooster om daarop te reageren danwel bezwaar te maken. Klant heeft bij bezwaar door Bedrijfsrooster de mogelijkheid de Overeenkomst per direct op te zeggen.
4.3. Bedrijfsrooster hanteert een beveiligingsniveau afgestemd op het risico met betrekking tot de Verwerking van Persoonsgegevens (rekening houdend met de stand van de techniek, de kosten van tenuitvoerlegging en de aard, omvang, context en doeleinden van de Verwerking van Persoonsgegevens, alsook de daaraan gebonden risico's voor individuen) door middel van Maatregelen die zijn geïmplementeerd en worden onderhouden door Bedrijfsrooster zoals uiteengezet in Artikel 8 (Data Beveiliging).
5. Verplichtingen van de Verwerker
5.1. Bedrijfsrooster zal de Persoonsgegevens slechts Verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst en zal alle redelijke instructies van Klant opvolgen, behoudens afwijkende wettelijke voorschriften die op Bedrijfsrooster van toepassing zijn.
5.2. Bedrijfsrooster verleent Klant haar redelijke medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn.
5.3. Bedrijfsrooster neemt adequate interne beheersmaatregelen om de verplichtingen uit deze overeenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan eenvoudig mogelijk maakt.
5.4. Bedrijfsrooster mag Persoonsgegevens Verwerken op een locatie buiten de EER, of doorgeven aan landen buiten de EER, en zal daarbij handelen met inachtneming van de regels voor internationale gegevensdoorgifte.
5.5. Bedrijfsrooster stemt ermee in dat Klant de Verwerking van Persoonsgegevens maximaal een keer per jaar kan laten controleren op correcte naleving van Verwerkersovereenkomst middels een onderzoek door een onafhankelijke auditor.
5.6. Bedrijfsrooster zal in het geval van een audit op verzoek van Klant alle door de auditor gevraagde informatie die redelijkerwijs nodig is om aan te tonen dat Bedrijfsrooster voldoet aan haar verplichtingen onder deze Verwerkersovereenkomst ter beschikking stellen. De auditor zal worden verplicht tot geheimhouding. De auditor zal in algemene termen rapporteren aan Klant, maar zal geen details over de getroffen beveiligingsmaatregelen, systemen en programmatuur bekend maken. De kosten van het onderzoek komen voor rekening van Klant, tenzij uit de audit blijkt dat Bedrijfsrooster zijn verplichtingen zoals bepaald in deze Verwerkersovereenkomst niet nakomt. Met betrekking tot de hoogte van de kosten geldt in dat geval de regeling inzake de beperking van aansprakelijkheid zoals opgenomen in de Overeenkomst.
5.7. Bedrijfsrooster zal met Klant voorafgaand aan een audit overleggen en op voorhand overeenkomen een redelijke termijn voor aanvang en maatregelen ter beveiliging en geheimhoudingscontrole daarbij. Bedrijfsrooster kan bezwaar aantekenen tegen een door Klant aangestelde auditor als de auditor naar objectieve maatstaven niet onafhankelijk of een concurrent van Bedrijfsrooster is of anderszins niet geschikt is, in welk geval Klant en Bedrijfsrooster in overleg treden voor de aanstelling van een onafhankelijke auditor, of Klant met schriftelijke toestemming van Bedrijfsrooster de audit zelf uitvoert.
5.8. Inhoud en omvang van de opdracht tot Verwerking en de daarvoor te betalen vergoeding is conform hetgeen daarover is geregeld in de Overeenkomst. Bedrijfsrooster verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructie van Klant zoals bepaald in deze Verwerkersovereenkomst.
6. Subverwerkers
6.1. Klant geeft algemene toestemming voor het gebruik van Subverwerkers voor de levering van (delen van) Applicatie en Service, welke indien van toepassing zijn weergegeven in Bijlage 4 (Overzicht Subverwerkers). Voorafgaand aan het inschakelen van een nieuwe Subverwerker voor de Verwerking van Persoonsgegevens zal Bedrijfsrooster dat kenbaar maken aan het Notificatie E-mailadres en Klant daarbij een termijn van 14 dagen bieden om schriftelijk bezwaar te maken. Bij bezwaar zullen Partijen binnen 14 dagen een Maatwerk overeenkomst sluiten of heeft Klant de mogelijkheid de Overeenkomst per direct te beëindigen.
6.2. Indien Bedrijfsrooster de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteedt aan een Subverwerker, blijft Bedrijfsrooster voor Klant aanspreekpunt en verantwoordelijk voor de naleving door Subverwerker van bepalingen overeenkomstig Verwerkersovereenkomst.
6.3. Voor zover door Bedrijfsrooster ingeschakelde Subverwerkers Persoonsgegevens buiten de EER Verwerken, zal Bedrijfsrooster er redelijkerwijs zorg voor dragen dat een dergelijke Verwerking plaatsvindt in overeenstemming met wettelijke regels inzake internationale gegevensdoorgifte.
6.4. Bedrijfsrooster zal aan de Subverwerker dezelfde verplichtingen opleggen en een en ander schriftelijk vastleggen in een verwerkingsovereenkomst, als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker. Wanneer Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Bedrijfsrooster ten aanzien van Verwerkingsverantwoordelijke aansprakelijk voor het nakomen van de verplichtingen van Subverwerker.
7. Verzoeken en Verstrekking Persoonsgegevens
7.1. Betrokkenen die verzoeken met betrekking tot Persoonsgegevens gedurende de Overeenkomst en Overdrachtsperiode aan Bedrijfsrooster doen, zullen door Bedrijfsrooster verzocht worden het verzoek bij Klant in te dienen, welke de verantwoordelijkheid neemt daarop te antwoorden en indien nodig zover mogelijk de Applicatie of Service gebruikt om aan het verzoek tegemoet te komen.
7.2. Bedrijfsrooster zal Klant in geval van een verzoek zoals bedoeld in lid 7.1, met inachtneming van de aard van de verwerking van Persoonsgegevens, zover redelijkerwijs mogelijk assisteren met het nakomen van wettelijke verplichtingen volgens de AVG door Aanvullende Maatregelen te treffen, Service te bieden of anderszins te ondersteunen.
7.3. Het is Bedrijfsrooster niet toegestaan Persoonsgegevens aan anderen dan Klant en Gebruiker te verstrekken, tenzij op grond van een wettelijke verplichting of met schriftelijke toestemming van Klant. Bedrijfsrooster zal iedere verstrekking aan een derde schriftelijk aan Klant bevestigen met vermelding van alle betrokken partijen en/of personen, behoudens wettelijke verplichtingen.
7.4. Indien Bedrijfsrooster op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Bedrijfsrooster de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en, voorafgaand aan de verstrekking, Klant ter zake informeren, behoudens wettelijke verplichtingen, de verstrekking beperken tot hetgeen wettelijk verplicht is en Klant in staat stellen om de rechten van Klant en Betrokkenen uit te oefenen en hun belangen te verdedigen.
7.5. Bedrijfsrooster zal Persoonsgegevens in een gestructureerde, gangbare en machine leesbare vorm verstrekken, een en ander mogelijk gemaakt door Aanvullende Maatregelen of via Service aangeleverd.
8. Beveiliging van Persoonsgegevens
8.1. Bedrijfsrooster treft passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek en de kosten van de implementatie en uitvoering daarvan, om een op het risico afgestemd beveiligingsniveau te waarborgen, opdat de Verwerking aan de vereisten van de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd. Bedrijfsrooster treft hiertoe in ieder geval, waar passend, de maatregelen zoals genoemd in artikel 32 van de AVG.
8.2. Bedrijfsrooster zal de Persoonsgegevens beveiligen tegen indringers en tegen van buiten komend onheil alsmede tegen onzorgvuldige verwerking, onrechtmatige verstrekking of ongeoorloofde verstrekking en tegen verlies, vernietiging of beschadiging.
8.3. Bedrijfsrooster zal waarborgen dat systemen gebruikt bij de Verwerking (blijvend) voldoen aan adequate eisen van beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en snel herstel na tijdelijke falen.
8.4. Indien Klant daarom schriftelijk verzoekt, zal Bedrijfsrooster ten aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere (aanvullende) maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot kosten voor Bedrijfsrooster, zal Klant deze vergoeden.
8.5. Bedrijfsrooster legt vast en implementeert een veiligheidsbeleid met betrekking tot de verwerking van Persoonsgegevens van Klant, waarin de kwetsbaarheden van betreffende systemen in kaart worden gebracht en waarin de maatregelen zijn beschreven om deze te monitoren en om risico's te voorkomen, op te lossen en te beperken, en rapporteert Klant daar jaarlijks over.
9. Inbreuk in verband met Persoonsgegevens
9.1. Bedrijfsrooster informeert Klant onmiddellijk, doch in elk geval uiterlijk binnen 24 uur nadat hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3 (Procedure bij Inbreuk in verband met Persoonsgegevens).
9.2. Bedrijfsrooster zal alle redelijkerwijs benodigde maatregelen treffen om de Inbreuk in verband met Persoonsgegevens en verdere onrechtmatige Verwerkingen te beëindigen, te voorkomen of te beperken.
9.3. Nadat Bedrijfsrooster een Inbreuk in verband met Persoonsgegevens gemeld heeft bij Klant, houdt Bedrijfsrooster Klant op de hoogte van eventuele nieuwe ontwikkelingen rond de Inbreuk in verband met Persoonsgegevens en van de maatregelen die Bedrijfsrooster treft om de gevolgen daarvan te beperken en herhaling te voorkomen. Bedrijfsrooster verleent Klant alle redelijke medewerking bij het voldoen aan de meldplicht van artikel 33 van de AVG aan de Autoriteit Persoonsgegevens en de Betrokkenen. Afspraken over de melding aan Klant zijn opgenomen in Bijlage 3 (Procedure bij Inbreuk in verband met Persoonsgegevens).
9.4. Bedrijfsrooster zal geen inhoudelijke inspectie of beoordeling maken van Persoonsgegevens om wettelijke of andere verplichtingen van Klant te kunnen vaststellen. Klant is zelf verantwoordelijk voor het nakomen van wettelijke verplichtingen met betrekking tot een Inbreuk in verband met Persoonsgegevens en daarbij horende melding en kennisgeving aan derden.
10. Data Overdracht
10.1. Betrokkene kan Persoonsgegevens via Applicatie (gedeeltelijk) inzien, bijwerken, overdragen danwel exporteren, en verwijderen, een en ander in te voorzien door Klant via de in Applicatie beschikbaar gestelde formulieren, overzichten, exports en Aanvullende Maatregelen.
10.2. Klant zal Persoonsgegevens via Applicatie voor overdracht geschikt maken en exporteren alsmede voor verwijdering en uiteindelijke volledige vernietiging markeren door middel van een Verwijderactie of opdracht indien daarom is verzocht door Xxxxxxxxxx. Bedrijfsrooster zal Klant indien nodig via Service assisteren.
11. Data Vernietiging en Beëindiging
11.1. De bewaartermijn van Persoonsgegevens wordt uitsluitend bepaald door Klant en is nooit langer dan de termijn van de Overeenkomst, een en ander nader toegelicht in Bijlage 1 (Specificatie Verwerking).
11.2. Klant of Gebruiker geeft door een Verwijderactie of instructie tot verwijdering zonder terugzet mogelijkheid van Persoonsgegevens zoals via de Applicatie, Service of Aanvullende Maatregelen mogelijk wordt gemaakt, de instructie aan Bedrijfsrooster de Persoonsgegevens per direct permanent te vernietigen.
11.3. Bedrijfsrooster zal opdrachten tot vernietiging van Persoonsgegevens zo spoedig als redelijkerwijs mogelijk uitvoeren, behoudens wettelijke verplichtingen en met inachtneming van backup roulatie en andere vertragende Maatregelen of fysieke opslagmechanismen, doch altijd volledig binnen 194 dagen.
11.4. Klant verplicht zich, indien hij overdacht van Persoonsgegevens bij beëindiging wenst of nodig acht, als enige zorg te dragen voor een tijdige en juiste export danwel overdracht van Persoonsgegevens voorafgaand aan beëindiging van de Verwerkersovereenkomst. Bedrijfsrooster zal Klant een schriftelijke melding sturen aan Notificatie E-mailadres op het moment van beëindigen van Overeenkomst en aanvangen Overdrachtsperiode.
11.5. Bedrijfsrooster biedt indien van toepassing en zover redelijkerwijs mogelijk aan Klant ondersteuning en mogelijk Aanvullende Maatregelen ter bevordering van het bewerken, de overdracht of vernietiging van Persoonsgegevens van Betrokkenen.
11.6. Voor de overdracht van Persoonsgegevens nadat Overeenkomst is beëindigd bestaat voor Klant gedurende de Overdrachtsperiode de mogelijkheid gegevens via Applicatie te exporteren of op verzoek te laten overdragen, een en ander in overleg met Bedrijfsrooster.
11.7. Na beëindiging van deze Verwerkersovereenkomst en het verstrijken van de Overdrachtsperiode zal Bedrijfsrooster alle Persoonsgegevens permanent vernietigen, behoudens wettelijke verplichtingen.
11.8. Bedrijfsrooster zal in opdracht van Klant zover redelijkerwijs mogelijk assisteren bij een juiste en rechtmatige overdracht of zorg dragen voor vernietiging van Persoonsgegevens, kopieën en verwerkingen daarvan, alsmede alle gegevensdragers waarop de Persoonsgegevens, kopieën of bewerkingen daarvan zijn of zullen worden vastgelegd.
12. Geheimhouding
12.1. Persoonsgegevens zijn vertrouwelijk en zullen door Bedrijfsrooster als zodanig worden behandeld en is zodoende gehouden tot geheimhouding van alle Persoonsgegevens die zij verwerkt.
12.2. Bedrijfsrooster zal een contractuele geheimhoudingsplicht opleggen aan haar personeel.
12.3. De geheimhouding is niet van toepassing op informatie waarvan vrijgave is vereist op grond van enige wettelijke bepaling of rechterlijk bevel, een en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van Bedrijfsrooster aan Klant.
12.4. Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin vastgelegde geheimhoudingsplicht van kracht blijven.
13. Aansprakelijkheid
13.1. Bedrijfsrooster is aansprakelijk voor schade die Klant lijdt en boetes die Klant verbeurt als gevolg van het door Bedrijfsrooster niet-nakomen van, of in strijd handelen van, voorschriften bij of krachtens de AVG en richtlijnen ten aanzien van bescherming van persoonsgegevens en/of overige wet- en regelgeving terzake en/of deze Verwerkersovereenkomst.
13.2. Klant vrijwaart Bedrijfsrooster voor aanspraken van derden (met name Xxxxxxxxxxx) en de eventuele schade als gevolg daarvan, gebaseerd op niet naleving door Klant van voorschriften bij of krachtens de AVG en richtlijnen ten aanzien van bescherming van persoonsgegevens en/of overige wet- en regelgeving terzake en/of deze Verwerkersovereenkomst.
13.3. Bedrijfsrooster vrijwaart Klant voor aanspraken van derden (met name Xxxxxxxxxxx) en de eventuele schade als gevolg daarvan, gebaseerd op niet naleving door Bedrijfsrooster van voorschriften bij of krachtens de AVG en richtlijnen ten aanzien van bescherming van persoonsgegevens en/of overige wet- en regelgeving terzake en/of deze Verwerkersovereenkomst.
13.4. Klant vrijwaart Bedrijfsrooster voor enige schade die voortvloeit uit de Verwerking van Persoonsgegevens door Klant middels software of hardware ontwikkeld of gefabriceerd door derden die Klant zelf verbindt met Applicatie, waaronder die van API koppeling partners, tijdregistratie terminals, tablets en smartphones.
13.5. Ten aanzien van de aansprakelijkheid van Bedrijfsrooster onder deze Verwerkersovereenkomst alsmede ten aanzien van de daarin opgenomen vrijwaringsverplichtingen voor Bedrijfsrooster, geldt onverkort de in Overeenkomst opgenomen regeling inzake de beperking van aansprakelijkheid. Deze beperking van de aansprakelijkheid komt te vervallen, indien en voor zover de schade het gevolg is van opzet of grove schuld (bewuste roekeloosheid) van Bedrijfsrooster.
14. Ontbinding
14.1. Elke Partij kan de Overeenkomst geheel of gedeeltelijk ontbinden indien de wederpartij toerekenbaar tekortschiet in de nakoming van de Verwerkersovereenkomst en ook na ingebrekestelling de tekortkoming niet is opgeheven, onverminderd het recht op schadevergoeding.
15. Overige
15.1. Wijzigingen van deze Verwerkersovereenkomst of aanvullingen daarop worden tussen Bedrijfsrooster en Klant schriftelijk of via Applicatie overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een addendum bij deze overeenkomst en zijn bindend als dit addendum door beide Partijen is ondertekend of wanneer door Klant via Applicatie daarbij op accepteren is geklikt.
15.2. Eventuele uit deze Verwerkersovereenkomst voortvloeiende geschillen zullen, nadat een poging om het geschil in onderling overleg op te lossen vruchteloos is gebleken, worden beslecht zoals bepaald in Overeenkomst.
15.3. Indien en voor zover tussen partijen reeds eerder afspraken werden gemaakt met betrekking tot de verwerking van persoonsgegevens in het kader van de Overeenkomst (bijvoorbeeld maar niet uitsluitend in een Bewerkersovereenkomst) dan komen deze eerdere afspraken met het sluiten van de onderhavige overeenkomst te vervallen en treedt de Verwerkersovereenkomst daarvoor in de plaats.
Aldus overeengekomen en ondertekend,
Verwerkingsverantwoordelijke:
Ondertekend door:
Plaats: Datum:
Verwerker:
Bedrijfsrooster BV
Ondertekend door:
Plaats: Datum:
Bijlage 1. Specificatie Verwerking
Onderwerp van de Verwerking
De levering van Applicatie en Service door Bedrijfsrooster in opdracht van Klant volgens Overeenkomst.
Doeleinden van de Verwerking
Bedrijfsrooster zal Persoonsgegevens uitsluitend verwerken voor het doel van het leveren van Applicatie en Service aan Klant zoals bepaald in Overeenkomst, ter ondersteuning van de bedrijfsmatige planning omtrent individuen en het samenstellen en verbinden van administratie omtrent arbeidsuren, beschikbaarheid, verlof, verzuim, kilometers, loonkosten en declaraties, alsmede het voorbereiden van persoonlijke urenregistratie overzichten en het genereren van door mens en machine leesbare exportbestanden daarvan.
Categorieën Betrokkenen
Betrokkenen zijn werknemers in dienstverband of tijdelijke opdracht van Klant, klanten van Klant of andere zakelijke relaties van Klant, die voor de bedrijfsvoering de planning beheren of ingepland moeten worden.
Categorieën Persoonsgegevens
Persoonsgegevens die mogelijk worden Verwerkt zijn beperkt tot de volgende categorieën:
NAW, telefoonnummer, e-mailadres
Geslacht, geboortedatum
Planning gerelateerde contractvoorwaarden
Financieel gegeven: uurloon en vergoedingen
Gezondheid gegeven: begin- en eindtijd verzuim
Biometrisch gegeven: pasfoto
GPS locatie, IP-adres en UniqueID van apparaat
Arbeidstijden en urenadministratie
Wijziging ten aanzien van de categorieën Persoonsgegevens of de te verwerken Persoonsgegevens zal enkel na schriftelijke kennisgeving door Klant aan Bedrijfsrooster en bevestiging door Partijen plaatsvinden.
Bewaartermijn Persoonsgegevens
Persoonsgegevens zijn beschikbaar en worden bewaard tot een Verwijderactie door Klant of Gebruiker, of zolang de Overeenkomst van toepassing is plus de Overdrachtstermijn en tot wanneer alle Persoonsgegevens door Bedrijfsrooster zijn verwijderd overeenkomstig de bepalingen in deze Verwerkersovereenkomst.
Subverwerkers betrokken bij de Verwerking van Persoonsgegevens
Klant geeft Bedrijfsrooster algemene toestemming voor het inschakelen van Subverwerkers bij de Verwerking van Persoonsgegevens zoals bepaald in Artikel 6 (Subverwerkers) en verder gespecificeerd in Bijlage 4 (Overzicht Subverwerkers) van deze Verwerkersovereenkomst.
Bijlage 2. Maatregelen
Bedrijfsrooster treft ten behoeve van de Beveiliging van Persoonsgegevens zoals bepaald in Artikel 8 (Beveiliging van Persoonsgegevens) waar passend en met inachtneming van de stand van de techniek en de tijd en kosten gemoeid bij de implementatie en uitvoering, de volgende technische en organisatorische maatregelen:
1. Gebruik van ISO 27001 (informatiebeveiliging) gecertificeerde datacenters voor de fysieke opslag en hosting van en toegang tot kritieke systemen en netwerken ten behoeve van Applicatie, zodat fysieke bescherming van omgevingen, vereiste autorisatie en hoge kwaliteit daarbij gewaarborgd zijn.
2. Firewalls, redundante opslag, pseudonimisering, SSL encryptie, regelmatige backups en software updates en overige voorzieningen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van Applicatie te waarborgen en indien nodig tijdig te herstellen.
3. Een procedure voor het periodiek testen, beoordelen en evalueren van de doeltreffendheid van het beveiligingsbeleid en de Maatregelen zoals opgenomen in deze bijlage.
4. Personeel betrokken bij de verwerking van persoonsgegevens wordt gehouden aan een geheimhoudingsplicht, moet kennis nemen van, akkoord gaan met en zich houden aan het interne beleid inzake beveiliging, privacy en Verwerking van Persoonsgegevens en wordt voorafgaand aan indiensttreding gescreend, zodat Klant van Bedrijfsrooster kan verlangen dat deze bevestigt dat er voor deze werknemers een Verklaring Omtrent het Gedrag (VOG) is gecontroleerd.
5. Subverwerkers worden middels een interne audit gecontroleerd op en middels een schriftelijke overeenkomst gehouden aan het handelen in overeenstemming met Overeenkomst, de AVG, en dat beveiliging en privacy maatregelen voldoende zijn om het niveau, dat verwacht mag worden danwel wettelijk verplicht is gekeken naar de aard van de verwerking, te waarborgen.
6. Diverse via Applicatie aan Klant geboden (optionele) Aanvullende Maatregelen, tools en procedures voor de bevordering van beveiliging met betrekking tot de Verwerking van Persoonsgegevens, onder meer wachtwoordbeleid instellingen, Two-Factor-Authentication (2FA), toegangsbeperking op IP- adres, automatisch uitloggen na inactiviteit, rolverdelingen en beperking van de interface.
Bedrijfsrooster voorziet Klant jaarlijks van een gedetailleerde schriftelijke rapportage van de door haar geïmplementeerde beveiligingsmaatregelen (inclusief administratieve, technische, fysieke of organisatorische voorzorgsmaatregelen), zodat Klant redelijkerwijs kan bepalen of alle Persoonsgegevens worden verwerkt, gebruikt en openbaar gemaakt in overeenstemming met de toepasselijke wetten en Overeenkomst.
Bijlage 3. Procedure bij Inbreuk in verband met Persoonsgegevens
Bedrijfsrooster hanteert de volgende procedure in het geval van een Inbreuk in verband met Persoonsgegevens, waarmee Klant zelfstandig kan bepalen of hij daarbij wettelijke verplichtingen na moet komen met betrekking tot melding aan autoriteiten of Betrokkene.
Bedrijfsrooster zal, behoudens wettelijke verplichtingen, nooit zelf melding maken van een Inbreuk in verband met Persoonsgegevens bij Betrokkene of autoriteiten.
Melding
Bedrijfsrooster zal zonder onredelijke vertraging en, indien redelijkerwijs mogelijk, binnen 24 uur na kennisneming van de Inbreuk in verband met Persoonsgegevens, melding doen aan Klant van tenminste:
1. De (vermeende) oorzaak van de Inbreuk in verband met Persoonsgegevens
2. De (vooralsnog bekende en/of te verwachten) gevolgen
3. De (voorgestelde) oplossing en termijn waarin deze wordt gerealiseerd
4. Contactgegevens en contactpersoon voor de opvolging van de melding
5. Datum en tijd waarop, of de periode waarbinnen, het incident heeft plaatsgevonden
6. De categorie Persoonsgegevens, zover door Bedrijfsrooster (tijdig) redelijk is te bepalen
7. Een benadering van het aantal personen dat betrokken is bij de inbreuk
8. De naam van de Subverwerker indien de inbreuk plaatsvond bij een Subverwerker
9. Zover mogelijk een tijdlijn van het incident, procedure en uitgevoerde maatregelen
Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan Bedrijfsrooster de informatie zonder onredelijke vertraging in stappen aan Klant verstrekken.
De melding wordt verzonden naar het Notificatie E-mailadres van Klant en optioneel telefonisch toegelicht. Uitsluitend Klant is verantwoordelijk voor de juistheid en bereikbaarheid van het Notificatie E-mailadres.
Maatregelen
Bedrijfsrooster zal na kennisneming van de Inbreuk in verband met Persoonsgegevens:
1. Maatregelen nemen om beperking danwel beëindiging van de inbreuk te bewerkstelligen
2. Een rapportage daarover starten en deze (indien nodig periodiek) aan Klant kenbaar maken
3. Na beëindiging van de inbreuk dit melden aan Klant
Medewerking
Bedrijfsrooster zal Klant alle redelijke medewerking en informatie verlenen die redelijkerwijs nodig is om de Autoriteit Persoonsgegevens, onderscheidenlijk de Betrokkene adequaat in te lichten over de oorzaak en omvang van de Inbreuk in verband met Persoonsgegevens.
Bijlage 4. Overzicht Subverwerkers
Bedrijfsrooster kan gebruik maken van de diensten van de volgende Subverwerkers bij het uitvoeren van de Overeenkomst en het nakomen van verplichtingen zoals opgenomen in de Verwerkersovereenkomst.
Datacentra betrokken bij opslag en uitvoering van kritische processen en bijbehorende data
Datacentrum organisatie | Fysieke locatie voor en opslag van | Locatie datacentrum |
The Datacenter Group Amsterdam BV | Backups, databases & webservers | NL Amsterdam, Delft |
Google Cloud Europe – Google, LLC | Backups, databases & webservers | NL, BE, DE |
Google Cloud Europe – Google, LLC | Bestand uploads door Klant | NL, BE |
Google Cloud Europe – Google, LLC | General operational infrastructure | NL, BE, DE, FI (Europe Location) |
Organisaties binnen de EER
Organisatie | Service | Bedrijfslocatie |
Mobile Tulip BV | SMS voorzieningen | Amsterdam, Nederland |
Park Two BV | Technisch management & support | Haarlem, Nederland |
Thingo Internet BV | Technisch management & support | Haarlem, Nederland |
TransIP BV | Technisch management & support | Amsterdam, Nederland |
TeamViewer GmbH | Customer Support | Göppingen, Duitsland |
Voys BV | VoIP voorzieningen & Customer Support | Groningen, Nederland |
Organisaties buiten de EER
Product – Organisatie | Service | Bedrijfslocatie |
Amazon Web Services, Inc | Technisch management & operations | Seattle, WA, USA |
Apple, Inc | App push notificaties & analytics | Cupertino, CF, USA |
DocuSign | Elektronische handtekeningen | Xxx Xxxxxxxxx, XX, XXX |
Firebase APIs & Services – Google, LLC | App push notificaties & analytics | Mountain View, CA, USA |
Google Analytics – Google, LLC | App, web & system analytics | Xxxxxxxx Xxxx, XX, XXX |
Google Cloud Platform – Google, LLC | Technisch management & operations | Mountain View, CA, USA |
Google Maps Platform – Google, LLC | GPS & adres voorzieningen | Mountain View, CA, USA |
Google GSuite – Google, LLC | Customer Support | Mountain View, CA, USA |
Hubspot, Inc | Customer Support | Cambridge, MA, USA |
Intercom R&D Unlimited Company | Customer Support | San Francisco, CA, USA |
Microsoft Corp. | Customer Support | Redmond, WA, USA |
SendGrid, Inc | E-mail voorzieningen | Denver, CO, USA |
The Rocket Science Group, LLC | E-mail voorzieningen | Atlanta, GA, USA |
Zendesk, Inc | Customer Support | Xxx Xxxxxxxxx, XX, XXX |