Verwerkersovereenkomst HR365

VERWERKERSOVEREENKOMST

Deze verwerkersovereenkomst is onderdeel van de overeenkomst tussen HR365 B.V. (“Verwerker”) en de Klant (“Verwerkingsverantwoordelijke”), en zal ingaan op de datum dat u deze verwerkersovereenkomst namens de klant heeft aanvaard. U staat ervoor in dat u deze verwerkersovereenkomst namens de klant mag sluiten. Als u deze bevoegdheid niet heeft verzoeken wij u om deze overeenkomst niet te aanvaarden.

In overweging nemende dat:

• Verwerkingsverantwoordelijke gebruik wenst te maken van de HR365 Software, eventueel aangevuld met aanvullende Services en Diensten van HR365;
• Verwerker de applicatie voor Verwerkingsverantwoordelijke host en in die hoedanigheid (bijzondere) persoonsgegevens van medewerkers van Verwerkingsverantwoordelijke opslaat;
• Verwerker persoonsgegevens van haar medewerkers verzamelt en deze met behulp van de applicatie verwerkt;
• Verwerkingsverantwoordelijke ten aanzien van de verwerking van persoonsgegevens als verwerkingsverantwoordelijke in de zin van artikel 4 aanhef en onder 7 van de Algemene verordening gegevensbescherming (“AVG”) is aan te merken;
• Verwerker ten aanzien van het voor Verwerkingsverantwoordelijke opslaan en verwerken van de persoonsgegevens als verwerker in de zin van artikel aanhef en onder 8 AVG is aan te merken.

 

Verklaren als volgt te zijn overeengekomen:

Artikel 1 Begripsbepalingen

Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 (1) AVG;

Bijlage: aanhangsel bij de Verwerkersovereenkomst, dat onlosmakelijk deel uitmaakt van de Verwerkers-

overeenkomst;

Datalek: een inbreuk in verband met de Persoonsgegevens zoals bedoeld in artikel 33 en 34 AVG;

Overeenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten overeenkomst op basis waarvan Verwerker

diensten ten behoeve van Verwerkingsverantwoordelijke verricht;

Partijen: Verwerkingsverantwoordelijke en Verwerker tezamen;

Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een Verwerkersovereenkomst natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;

Verwerkingsverantwoordelijke: de partij die het doel en de middelen van de Verwerking van Persoonsgegevens vaststelt, zoals bedoeld in artikel 4 (7)

AVG, zijnde de klant;

Verwerker: de partij die in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zoals

bedoeld in artikel 4 (8) AVG, zijnde HR365 B.V.;

Verwerken: het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG;

Verwerkersovereenkomst: de onderhavige overeenkomst welke deel uitmaakt van de Overeenkomst, en die als verwerkersovereenkomst tussen Partijen kwalificeert in de zin van artikel 28 lid 3 AVG.

Artikel 2 Verwerkingsverantwoordelijke voor en Verwerker van de gegevens

2.1 Verwerker verbindt zich in het kader van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te Verwerken. Verwerkingsverantwoordelijke en Verwerker hebben onderhavige Verwerkersovereenkomst gesloten met betrekking tot uitvoering van de Overeenkomst. Een overzicht van het soort Persoonsgegevens, de categorieën van betrokkenen en de doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt, is opgenomen in Bijlage 1.

2.2 Partijen garanderen elkaar dat zij zich maximaal zullen inspannen om de Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving te Verwerken. Verwerkings- verantwoordelijke garandeert hiernaast dat de opdracht tot Verwerking van de Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Partijen vrijwaren elkaar tegen alle aanspraken van derden welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.

2.3 Verwerker verbindt zich uitsluitend persoonsgegevens te Verwerken ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Verwerker garandeert dat zij, zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke, op geen enkele wijze gebruik zal maken van de persoonsgegevens die onder deze Verwerkersovereenkomst en/of Overeenkomst worden Verwerkt, tenzij een op de Verwerker van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 3 Technische en organisatorische voorzieningen

3.1 Verwerker zal passende technische en organisatorische maatregelen ten uitvoer (laten) leggen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking en zo een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens met zich meebrengen. Verwerker zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.

3.2 De door Verwerker genomen technische en organisatorische maatregelen staan beschreven in Bijlage 2.

Verwerkingsverantwoordelijke erkent kennis te hebben genomen van de betreffende maatregelen en door aanvaarding van deze Verwerkersovereenkomst gaat Verwerkingsverantwoordelijke akkoord met de door Verwerker genomen maatregelen.

3.3 Verwerker zal Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

3.4 Partijen erkennen dat de bedoelde technische en organisatorische maatregelen in de loop van de tijd kunnen veranderen en dat effectieve beveiligingsmaatregelen regelmatige evaluatie en verbetering van de maatregelen vereisen. Verwerker zal deze maatregelen derhalve regelmatig evalueren, aanscherpen en/of verbeteren om te (blijven) voldoen aan de eisen en verplichtingen zoals in genoemd in dit artikel.

3.5 Verwerker dient Verwerkingsverantwoordelijke zoveel mogelijk vooraf te informeren indien Verwerker haar beveiligingsmaatregelen wijzigt, daarbij rekening houdend met eventuele extra kosten voor Verwerkingsverantwoordelijke.

Artikel 4 Geheimhouding en Vertrouwelijkheid

4.1 Op alle persoonsgegevens die Verwerker van Verwerkersverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen.

4.2 De persoonsgegevens mogen alleen toegankelijk zijn voor werknemers van Verwerker of ingeschakelde derden voor wie toegang tot deze gegevens op basis van hun functie en takenpakket noodzakelijk is. Hieronder worden begrepen werknemers of ingeschakelde derden die betrokken zijn bij de ontwikkeling en verbetering van de Software, Diensten en Services van de Verwerker.

4.3 Alle werknemers van Verwerker en/of ingeschakelde derden die op enige wijze toegang krijgen tot de persoonsgegevens dienen:

• Hiertoe door Verwerker te zijn geautoriseerd;
• Correct en volledig te worden geïnformeerd inzake hun verplichtingen met betrekking tot de rechtmatige verwerking van de persoonsgegevens op basis van de toepasselijke wetgeving en deze Verwerkersovereenkomst, inclusief de verplichting om deze Verwerkersovereenkomst, inclusief de verplichting om de persoonsgegevens te verwerken voor zover vereist voor de correcte uitvoering van de overeenkomst.

4.4 Verwerker is verplicht om:

• Verleende autorisaties tijdig aan te passen in geval van functiewijziging of vertrek van werknemers of ingeschakelde derden;
• De verleende bevoegdheden alsmede alle mutaties hierop periodiek te evalueren.

 

4.5 Indien Verwerker op basis van de overeenkomst is toegestaan de persoonsgegevens te verstrekken of anderszins te laten verwerken door derden, dan is Verwerker verplicht om ten aanzien van deze derden de beperkingen en verplichtingen zoals vervat in deze Verwerkersovereenkomst op te leggen, om zo een equivalent beschermingsniveau van de persoonsgegevens te waarborgen.

4.6 De geheimhoudingsplicht als bedoeld in dit artikel is niet van toepassing indien Verwerker op grond van een wettelijke verplichting de informatie aan een derde partij dient te verstrekken of indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst.

4.7 Ook na de beëindiging van deze Verwerkersovereenkomst blijft de in dit artikel bedoelde geheimhoudingsplicht bestaan, behalve voor zover het informatie betreft die reeds publiekelijk bekend is geworden, anders dan ten gevolge van een schending van de voormelde geheimhoudingsplicht.

Artikel 5 Sub-Verwerkersschap

5.1 Verwerker garandeert dat er in het kader van de uitvoering van de overeenkomst geen persoonsgegevens worden verwerkt buiten de Europese Unie.

5.2 Het is Verwerker alleen na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke toegestaan om gedurende de looptijd van de overeenkomst delen van de verwerking over te dragen aan sub-verwerkers en/of onderaannemers.

5.3 Verwerker is verplicht om veranderingen in locaties waar (Persoon)gegevens door Verwerker en/of sub-verwerkers kunnen worden opgeslagen of verwerkt, schriftelijk door te geven aan Verantwoordelijke.

5.4 Verwerker waarborgt contractueel dat alle sub-Verwerkers die een rol spelen bij de uitvoering van de overeenkomst de volledige beperkingen en verplichtingen zoals vervat in deze Verwerkersovereenkomst na zullen leven, om zo een equivalent beschermingsniveau van de persoonsgegevens te waarborgen.

5.5 Bij uitbesteding van de verwerking of delen van de verwerking van de persoonsgegevens door Verwerker aan derden blijft Verwerker onverkort verantwoordelijk voor de juiste verwerking van de persoonsgegevens conform de overeenkomst, de Verwerkersovereenkomst, de Wbp en/of andere wet-of regelgeving.

Artikel 6 Aansprakelijkheid

6.1 Verwerker is alleen aansprakelijk voor schade als gevolg van opzet of bewuste roekeloosheid aan de zijde van Verwerker, dan wel indien er sprake is van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst aan de zijde van Verwerker, daaronder begrepen wanneer bij de verwerking niet wordt voldaan aan de specifiek tot Verwerker gerichte verplichtingen van de AVG, of buiten de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld, zoals bedoeld in artikel 2.3. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de 12 maanden voorafgaande aan de schadeveroorzakende gebeurtenis.

6.2 Met uitzondering van het eerste lid is artikel 10 van de Algemene Voorwaarden onverkort van toepassing op de Verwerkersovereenkomst.

6.3 Verwerker is uitdrukkelijk niet aansprakelijk voor schade van Verwerkingsverantwoordelijke als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten.

Dit, tenzij de boete aan Verwerkingsverantwoordelijke is opgelegd als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst door Verwerker, en Verwerkingsverantwoordelijke en Verwerker redelijke inspanningen hebben verricht om de boete te voorkomen dan wel te verminderen.

Artikel 7 Inbreuk in verband met persoonsgegevens

7.1 Indien Verwerker kennis krijgt van een inbreuk in verband met persoonsgegevens zoals gedefinieerd in de AVG en/of enig ander incident ten aanzien van de beveiliging van Persoonsgegevens, zal zij 1) Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging, doch in ieder geval binnen 48 uur, op de hoogte stellen en 2) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen of te beperken en die maatregelen treffen die noodzakelijk zijn om een herhaling van het de inbreuk in verband met de Persoonsgegevens te voorkomen. Verwerker zal een gedetailleerd logboek bijhouden van (alle vermoedens van) elke inbreuk in verband met de Persoonsgegevens. Het logboek bevat minimaal de informatie zoals bedoeld in Bijlage 4, en Verwerker geeft daar op eerste verzoek van de Verwerkingsverantwoordelijke inzage in.

7.2 Verwerker zal, voor zover redelijk, haar medewerking verlenen aan Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.

7.3 Verwerker zal, voor zover redelijk, Verwerkingsverantwoordelijke ondersteunen bij de op Verwerkingsverantwoordelijke rustende meldplicht ten aanzien van de inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de betrokkene, zoals bedoeld in artikel 33, lid 3 en 34, lid 1 AVG. Verwerker is nimmer gehouden tot het zelfstandig verrichten van een melding van een inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de betrokkene.

7.4 Verwerker is nimmer aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in artikel 33 en 34 AVG, tenzij Verwerker niet heeft voldaan aan haar verplichtingen op grond van artikel 8.1.

Artikel 8 Bijstand aan Verwerkingsverantwoordelijke

8.1. Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het vervullen van diens plicht onder de AVG om verzoeken om uitoefening van de rechten van een betrokkene te beantwoorden, in het bijzonder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Verwerker zal een klacht of een verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens zo snel mogelijk doorsturen naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerkingsverantwoordelijke heeft zelf de tools ter beschikking om aan deze verzoeken te voldoen middels de Klant Account van de Service.

8.2. Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren. Verwerkingsverantwoordelijke heeft het recht om zelfstandig onderzoek (audit) uit te (laten) voeren om de effectieve implementatie en werking van de genoemde maatregelen en normen vast te stellen. Deze audit zal worden uitgevoerd op initiatief van Verantwoordelijke en op rekening van Verantwoordelijke. Verwerker zal voorafgaand aan het onderzoek de kosten hiervoor specificeren.

8.3. Verwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat Verwerker voldoet aan haar verplichtingen onder de AVG. Voorts zal Verwerker op verzoek van Verwerkingsverantwoordelijke audits, waaronder inspecties, door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maken en eraan bijdragen. Verwerker is gerechtigd de eventuele kosten die hiermee gemoeid zijn, in rekening te brengen bij Verwerkings- verantwoordelijke.

Artikel 9 Beëindiging & Varia

9.1 Ten aanzien van opzegging en/of ontbinding van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Verwerker op eerste verzoek van de Verwerkingsverantwoordelijke alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is de Persoonsgegevens op te blijven slaan.

9.2 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.

9.3 De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.

9.4 De rechtskeuze en bevoegde rechter komen overeen met het bepaalde te dien aanzien in de Overeenkomst.

Artikel 10 Wijzigingen

10. 1 Verwerker heeft het recht deze Verwerkersovereenkomst te wijzigen en de gewijzigde Verwerkersovereenkomst op bestaande Overeenkomsten van toepassing te verklaren.

 

10.2 Indien Verwerker de gewijzigde Verwerkersovereenkomst op bestaande Overeenkomsten van toepassing verklaart, zal Verwerker de wijzigingen tijdig bekend maken. Zij zullen 31 dagen na de schriftelijke bekendmaking van de wijziging in werking treden tenzij op de bekendmaking een latere datum wordt vermeld.

 

10.3 Indien de Verwerkingsverantwoordelijke een wijziging in de Verwerkersovereenkomst niet wenst te accepteren kan hij schriftelijk tegen het gewijzigde beding reclameren. Indien de Verwerkingsverantwoordelijke niet uiterlijk binnen twee (2) weken na de schriftelijke bekendmaking van de wijziging schriftelijk zijn bezwaren aan Verwerker bekend heeft gemaakt, wordt de Verwerkingsverantwoordelijke geacht te hebben ingestemd met de nieuwe gewijzigde Verwerkersovereenkomst.

 

BIJLAGE 1 OVERZICHT SOORT PERSOONSGEGEVENS

– NAW gegevens;

– Telefoonnummers en email adressen;

– Pasfoto;

– Geslacht;

– BSN;

– Relatiegegevens (ICE);

– Bedrijfsnaam;

– Dienstverband gegevens;

– Salaris gerelateerde gegevens;

– Absentie gerelateerde gegevens;

– Prestatie gerelateerde gegevens.

 

CATEGORIEËN VAN BETROKKENEN

– Gebruikers van de software;

 

DOELEN WAARVOOR DE VERWERKING VAN PERSOONSGEGEVENS PLAATSVINDT

– Personeelsadministratie;

– Salarisadministratie;



BIJLAGE 2 SPECIFICATIE VAN BEVEILIGING

1. HR365 B.V. neemt alle redelijke en passende organisatorische en technische beveiligingsmaatregelen om de continuïteit en de prestaties van de Services te beschermen.

 

1. HR365 B.V. maakt voor alle verbindingen van en naar de software gebruik van versleuteling middels een  SSL certificaat, beveiligd door authenticatie en encryptie. Je kunt de software uitsluitend benaderen via deze versleutelde HTTPS verbinding.

 

Via deze link van SSL labs kun je de actuele beoordeling van onze SSL certificaten controleren.

1. Back-ups

Wij maken dagelijks beveiligde back-ups van gegevens op een gescheiden locatie.

1. Uitgebreide rechten en autorisatie

• Voor iedere gebruikersgroep is exact aan te geven tot welke modules en acties deze gebruiker toegang heeft. Zo kan ongewenst handelen voorkomen worden.

1. Datacenter

De HR365 Software en netwerkverbindingen draaien op basis van de clouddiensten van Exonet B.V.

De Exconet-cloud werkt vanuit beveiligde datacenters met state-of-the-art (elektronische) beveiliging.

De locatie van het datacenter is in Nederland en valt volledig binnen de Europese wetgeving.

 

Exonet is gecertificeerd conform de volgende normen: ISO9001, ISO27001 en NEN7510.

Voor meer informatie hierover, verwijzen we u naar onderstaande webpagina van Exonet B.V.

• https://www.exonet.nl/en/managed-hosting/security-en-compliance

 

BIJLAGE 3 SPECIFICATIE SUB-VERWERKERS

1. Bourne & Healey B.V. t.h.o.d.n. EXPERT ONLINE. Deze entiteit valt onder dezelfde holding als HR365 B.V. en is verantwoordelijk voor het ontwerp, beheer, hostingbeheer en ondersteuning van de Software waar de klanten van HR365 B.V. gebruik van maken;
2. Exonet B.V. met hosting in Nederlandse datacenters.

 

BIJLAGE 4 INFORMATIE TEN AANZIEN VAN EEN INBREUK IN VERBAND MET PERSOONSGEGEVENS

De Verwerker zal alle inlichtingen verschaffen die de Verwerkingsverantwoordelijke noodzakelijk acht om de inbreuk te kunnen beoordelen. Daarbij verschaft de Verwerker in ieder geval de volgende informatie aan de Verwerkingsverantwoordelijke:

• wat de (vermeende) oorzaak is van de inbreuk;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de voorgestelde oplossing is;
• de contactgegevens voor de opvolging van de melding;
• (een inschatting van) het aantal personen waarvan gegevens betrokken zijn bij de inbreuk;
• een omschrijving van de categorie betrokkenen die betrokken zijn bij de inbreuk;
• het soort of de soorten Persoonsgegevens die betrokken zijn bij de inbreuk;
• de datum waarop/periode waarin de inbreuk heeft plaatsgevonden;
• de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door m ingeschakelde derde;
• of de gegevens versleuteld, gehasht of op een andere manier ontoegankelijk zijn gemaakt voor onbevoegden;
• wat de genomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.