VERWERKERSOVEREENKOMST

 

 

ONDERGETEKENDEN:

 

  1. Klant van ClockAssist B.V. en gebruikers van de Softwareoplossing (“Verantwoordelijke“);en
  2. ClockAssist B.V., gevestigd te (3143CT) Maassluis aan de Zomerdijk 56C en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 75216426 (“Verwerker“);

hierna gezamenlijk te noemen: “Partijen” en ieder afzonderlijk: “Partij”;

 

OVERWEGENDE DAT:

 

  1. Verantwoordelijke tijdens haar werkzaamheden in aanraking komt met (persoons)gegevens die betrekking hebben op haar klanten voor wie zij diensten verricht en ten aanzien zij doel en middelen bepaalt zoals bedoeld in artikel 4 lid 7 AVG;
  2. Verwerker een softwareoplossing heeft ontwikkeld waarmee automatisch tijd en werkzaamheden van de (medewerkers van) Verantwoordelijke kunnen worden geregistreerd (hierna: de “Softwareoplossing”);
  3. Verantwoordelijke in verband daarmee een overeenkomst is aangegaan of overweegt aan te gaan met betrekking tot het gebruik van de Softwareoplossing (hierna: de “Overeenkomst”);
  4. Verantwoordelijke in het kader hiervan bepaalde vormen van verwerking van Persoonsgegevens wil laten verrichten door Verwerker;
  5. Verwerker bereid is tot verwerking van de Persoonsgegevens;
  6. Verwerker de Persoonsgegevens onder verantwoordelijkheid van Verantwoordelijke zal verkrijgen; en
  7. Partijen, mede gelet op het bepaalde in de AVG (zoals hieronder gedefinieerd), hun rechten en verplichtingen in verband met de verwerking van de Persoonsgegevens door Verwerker wensen vast te leggen.
  8. Deze overeenkomst te gelden heeft als Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de AVG;

 

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

 

Artikel 1 – Definities

 

Annex

Een Annex van deze overeenkomst met een overzicht van de Persoonsgegevens die Partijen verwachten te verwerken, de wijze van Verwerking van die gegevens, een lijst van Subverwerkers van Verwerker, of een lijst met beveiligingsmaatregelen.

AVG                    

De Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet.

Betrokkene

Degene op wie een Persoonsgegeven betrekking heeft.

Datalek                 

Elke situatie waarin door een beveiligingsincident Persoonsgegevens onbedoeld worden ingezien door een onbevoegde, kwijtraken, vernietigd worden, aangepast worden of onrechtmatig worden verwerkt.

DPIA                    

Data Protection Impact Assessment (gegevensbeschermingseffectbeoordeling) zoals bedoeld in de AVG.

Opdracht

Alle dienstverlening van Verwerker aan Verantwoordelijke en iedere andere vorm van samenwerking, waarbij Verwerker Persoonsgegevens verwerkt waarvoor Verantwoordelijke verantwoordelijk is in de zin van de AVG, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt.

Overeenkomst         

De betekenis zoals voormeld in de considerans.

Persoonsgegeven

Elk gegeven betreffende een geïdentificeerd of identificeerbare natuurlijke persoon, dat Verwerker bij of in verband met het uitvoeren van de Opdracht verkrijgt.

Softwareoplossing     

De betekenis zoals voormeld in de considerans.

Subverwerker          

Elke Partij die door de Verwerker wordt ingeschakeld om, in opdracht van de Verwerker, de Persoonsgegevens te verwerken waarvoor de Verwerker bij deze overeenkomst door de Verantwoordelijke is gemachtigd.

Verwerking:

Een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

 

Artikel 2 – De Betrokkenen en hun rechten

  1. Ter uitvoering van de Overeenkomst tussen Partijen verwerkt de Verwerker Persoonsgegevens van Betrokkenen. De Betrokkenen van wie Persoonsgegevens hierbij worden verwerkt, zijn:
    1. De klanten van Verantwoordelijke;
    2. Eventueel: de klanten van deze klanten (en zo verder).
    3. De medewerkers van Verantwoordelijke
    4. Een ieder met wie (een medewerker van) Verantwoordelijke communiceert, ten aanzien van welke communicatie de Softwareoplossing kan worden gebruikt.
  1. Gegevens van eventuele andere Betrokkenen worden niet door de Verwerker voor de Verantwoordelijke verwerkt.
  2. Verwerker draagt er zorg voor dat Betrokkene al zijn rechten voortvloeiende uit de AVG en/of andere toepasselijke wet- en regelgeving kan uitoefenen. Verwerker voert verzoeken van Verantwoordelijke aangaande het recht op inzage, verwijdering, aanpassing of overdracht van Persoonsgegevens van een Betrokkene uit binnen een redelijke termijn, en geeft in voorkomende gevallen opdracht aan haar Subverwerkers uitvoering te geven aan de verzoeken. Verwerker kan eventuele kosten van de uitvoering tot op redelijke hoogte bij Verantwoordelijke in rekening brengen.
  3. Verwerker zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, maar uiterlijk binnen 28 dagen nadat daartoe een verzoek is gedaan, overgaan tot:
    1. het verstrekken van de benodigde informatie;
    2. het verbeteren, aanvullen, verwijderen of het afschermen van de Persoonsgegevens; en
    3. Het overdragen van de gegevens aan de Verantwoordelijke of aan een door de Verantwoordelijke aangewezen Partij.

 

Artikel 3 – Onderwerp van de Verwerking

  1. Verantwoordelijke verleent aan Verwerker opdracht tot het verwerken van Persoonsgegevens. Verwerker aanvaardt deze opdracht en verwerkt de gegevens voor geen ander doel dan hetgeen is opgedragen door Verantwoordelijke.
  2. Partijen zullen in Annex I vastleggen:
  1. Partijen zullen in Annex II vastleggen:
  1. Partijen bevestigen dat Verantwoordelijke volledig en als enige verantwoordelijk is voor het vaststellen van het doel en de middelen voor de Verwerking van Persoonsgegevens.
  2. Het doel voor de verwerking is de juiste nakoming door de Verwerker van de Overeenkomst;
  3. De bewaartermijn zoals aangehouden door de Verwerker is gelijk voor alle Persoonsgegevens en bedraagt, behoudens voor zover andere afspraken worden gemaakt, 7 jaar.

 

Artikel 4 – Uitvoering door Verwerker en Subverwerkers

  1. Verwerker verbindt zich om onder de voorwaarden van deze overeenkomst en in overeenstemming met de AVG en/of andere toepasselijke wet- en regelgeving de Opdracht uit te voeren voor Verantwoordelijke.
  2. Verantwoordelijke heeft en houdt volledige zeggenschap en verantwoordelijkheid over de Persoonsgegevens. Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze met inachtneming van de beginselen rechtmatigheid, transparantie, doelbinding en juistheid van de verwerking.
  3. Verwerker verwerkt de Persoonsgegevens uitsluitend in het kader van de Opdracht met het oog op uitvoering van de Overeenkomst en met inachtneming van de vastgestelde bewaartermijnen, en in voorkomend geval op bevel van een rechterlijke, toezichthoudende of handhavende overheidsinstantie.
  4. Een lijst met Subverwerker(s) die ten behoeve van Verwerker eventueel Persoonsgegevens afkomstig van Verantwoordelijke verwerken is opgenomen in Annex III bij deze overeenkomst. In de lijst staat aangegeven welke Verwerkingsactiviteiten en ten aanzien van welke Persoonsgegevens de Subverwerker Verwerkingen uitvoert.
  5. Verwerker doet Verantwoordelijke een nieuwe versie van de lijsten toekomen zodra er een nieuwe Subverwerker wordt aangesteld. Verantwoordelijke kan vervolgens binnen 14 dagen bezwaar maken tegen de aanstelling van de nieuwe Subverwerker.
  6. Verwerker zorgt er voor dat Subverwerker(s) schriftelijk dezelfde plichten op zich nemen als tussen Verantwoordelijke en Verwerker in deze verwerkersovereenkomst is overeengekomen.

 

Artikel 5 – Data Protection Impact Assessment

  1. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke om te voldoen aan de uitvoering van een DPIA, indien de Verantwoordelijke een DPIA moet uitvoeren.
  2. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings)maatregelen die genomen moeten worden naar aanleiding van een DPIA.
  3. De Verwerker brengt bij de Verantwoordelijke slechts redelijk gemaakte kosten in rekening voor het voldoen aan deze verplichtingen. Deze redelijke kosten bedragen € 150 per uur.
  4. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings)maatregelen die genomen moeten worden naar aanleiding van overige analyses en veranderingen, zoals veranderende (inzichten in de) wetgeving.

 

Artikel 6 – Beveiligingsmaatregelen

  1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatig gebruik of Verwerking, waarbij rekening wordt gehouden met de stand van de techniek. Verwerker tracht daarbij te voorkomen dat onbevoegden, waaronder in voorkomende gevallen onbevoegd personeel van de eigen organisatie of van Subverwerker(s), op enig moment toegang hebben tot de gegevens.
  2. De beveiligingsmaatregelen die Verwerker treft zijn opgenomen in Annex II.
  3. Verwerker staat ervoor in dat personen die handelen onder haar gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken.
  4. Indien Verwerker tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de wet, deze maatregelen op kosten van Verwerker uit te voeren of te laten uitvoeren.
  5. Verwerker zal Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker doet dit uiterlijk binnen 24 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in rekening.
  6. Verwerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en regelgeving, deze overeenkomst en de overige instructies van Verantwoordelijke te voldoen.
  7. Verwerker volgt instructies van de Verantwoordelijke met betrekking tot beveiligingsmaatregelen op binnen een redelijke termijn. Verantwoordelijke brengt voor de nodige maatregelen geen kosten in rekening voor zover de maatregelen gebruikelijk zijn in de branche of zijn voorgeschreven in voor één der Partijen bindende richtsnoeren of aanbevelingen.

Artikel 7 – Registers

  1. Verantwoordelijke zal een register bijhouden van alle Persoonsgegevens die hij verwerkt. In dit register legt hij in ieder geval zijn eigen naam en contactgegevens, de te verwerken categorieën van Persoonsgegevens, de verwerkingsdoeleinden en de categorieën van Betrokkenen vast.
  2. Verwerker zal een register bijhouden van alle Persoonsgegevens die hij vanwege de Opdracht voor de Verantwoordelijke verwerkt. In dit register legt hij in ieder geval zijn naam, contactgegevens en de naam van de Verantwoordelijke waarvoor hij Persoonsgegevens verwerkt, de categorieën Persoonsgegevens die hij voor de Verantwoordelijke verwerkt en een beschrijving van de genomen beveiligingsmaatregelen, vast.

 

Artikel 8 – Doorgifte van persoonsgegevens

  1. Verwerker en haar Subverwerker(s) verwerken de Persoonsgegevens enkel in landen binnen de Europese Unie en de Europese Economische Ruimte. Doorgifte van de Persoonsgegevens naar landen buiten de Europese Unie of de Europese Economische Ruimte is niet toegestaan, behoudens doorgifte opgenomen bij deze overeenkomst of op grond van schriftelijke toestemming of instructies van de Verantwoordelijke.
  2. Verwerker meldt Verantwoordelijke binnen welk land of welke landen de Persoonsgegevens worden verwerkt. Dit doet Verwerker ook als de Persoonsgegevens door een Datalek of anderszins abusievelijk in een derde land terecht zijn gekomen.

 

Artikel 9 – Geheimhouding

  1. Op alle Persoonsgegevens die Verwerker in het kader van deze overeenkomst ontvangt en/of verzamelt, rust een geheimhoudingsplicht jegens derden. Verwerker en alle personen in dienst van, dan wel werkzaam ten behoeve van Verwerker, zijn verplicht tot geheimhouding van de Persoonsgegevens. Verwerker staat in voor de vertrouwelijkheid en integriteit van haar personeel met betrekking tot de Verwerking.
  2. Verwerker draagt er zorg voor dat alle mensen die voor Verwerker werkzaam zijn verplicht worden tot geheimhouding.
  3. Deze geheimhoudingsplicht is niet van toepassing indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

 

Artikel 10 – Duur en beëindiging

  1. Partijen gaan deze overeenkomst aan voor één jaar per de datum van ondertekening.
  2. Deze overeenkomst wordt na afloop van een jaar, steeds automatisch verlengd voor een jaar.
  3. Deze overeenkomst is opzegbaar tegen het einde van een jaar. De opzegtermijn is 1 maand. Deze overeenkomst eindigt automatisch indien de samenwerking tussen Partijen stopt.
  4. Als deze overeenkomst eindigt of wordt ontbonden blijft het bepaalde in deze overeenkomst met betrekking tot geheimhouding van kracht.
  5. Partijen kunnen deze overeenkomst met onmiddellijke ingang schriftelijk opzeggen in geval van:
  6. aanvraag door of verlening van surseance van betaling aan de andere Partij;
  7. aanvraag van faillissement door of faillietverklaring van de andere Partij; of
  8. liquidatie van de andere Partij of niet tijdelijke stopzetting van de onderneming van de andere Partij.

 

Artikel 11 – Vernietiging Persoonsgegevens

  1. Verwerker stelt alle Persoonsgegevens op verzoek van Verantwoordelijke, of binnen 30 dagen na het einde van de dienstverleningsovereenkomst ter beschikking aan Verantwoordelijke, als diegene daarom verzoekt.
  2. Verwerker is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.
  3. Verwerker kan afwijken van het bepaalde in lid 1 en 2 van dit artikel, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.

 

Artikel 12 – Controle

  1. Verantwoordelijke is gerechtigd de naleving van het bepaalde in deze overeenkomst ten minste eenmaal per jaar te controleren. Verantwoordelijke kan de controle na toestemming van Verwerker daartoe zelf doen of kan het laten uitvoeren door een onafhankelijke (beveiligings)controleur of andere daartoe gecertificeerde auditor.
  2. Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het personeel van Verwerker dat de controle begeleidt.
  3. Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan Verwerker, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.
  4. Indien Verwerker zelf de naleving van deze overeenkomst laat controleren door een onafhankelijke daartoe gecertificeerde Partij, verstrekt Verwerker daarvan de eindresultaten aan Verantwoordelijke.

 

Artikel 13 – Ongeldigheid

Indien een bepaling van deze overeenkomst nietig dan wel onverbindend mocht blijken te zijn, blijven Partijen gebonden aan de overige bepalingen van deze overeenkomst. Partijen zullen de nietige dan wel onverbindende bepaling(en) vervangen door een bepaling die wel verbindend is en waarvan de strekking zoveel mogelijk dezelfde is als die van de te vervangen bepaling(en), rekening houdend met het oogmerk van deze overeenkomst.

 

Artikel 14 – Toepasselijk recht en forumkeuze

  1. Deze overeenkomst, en alle niet-contractuele rechten en verplichtingen daaruit voortvloeiende, worden in alle opzichten beheerst door het Nederlands recht.
  2. Alle geschillen tussen Partijen welke mochten ontstaan naar aanleiding van deze overeenkomst zullen in eerste instantie worden beslecht door de bevoegde rechter van Rechtbank Rotterdam.

 

Aldus elektronisch binnen de webportal overeengekomen op het moment dat de Softwareoplossing in gebruik genomen wordt.

 

 

ANNEX I:  PERSOONSGEGEVENS

{een overzicht van de Persoonsgegevens die Partijen verwachten te verwerken en de wijze van Verwerking van die gegevens } 

  1. Persoonsgegevens van medewerkers van Verantwoordelijke
  1. Persoonsgegevens van de klanten van Verantwoordelijke, alsmede (eventueel) de klanten van deze klanten (en zo verder).
  1. Persoonsgegevens van anderen / derden met wie (een medewerker van) Verantwoordelijke communiceert, ten aanzien van welke communicatie de Softwareoplossing kan worden gebruikt.

 

ANNEX II: BEVEILIGINGSMAATREGELEN

ClockAssist maakt gebruik van managed hosting op eigen servers die beheerd worden in een datacenter in Amsterdam. Hiervoor gelden de volgende keurmerken en certificeringen:

Alle verbindingen naar de server zijn versleuteld in transit. De data die in ClockAssist wordt verwerkt, wordt veilig opgeslagen in een datacenter Amsterdam. Buiten de Europese Unie en de Europese Economische Ruimte wordt geen data van ClockAssist opgeslagen of verwerkt.

ClockAssist slaat geen gebruikerswachtwoorden op in tekstvorm. Alleen wachtwoord-hashes die niet te ontcijferen zijn bewaren we en deze versleutelen we met Bcrypt.

We bieden daarnaast de gebruiker de mogelijkheid two factor authentication in te stellen. Meer informatie: Beveiliging en privacy

 

ANNEX III: SUBVERWERKERS VAN VERWERKER