Verwerkersovereenkomst Flexsoftware

Flexsoftware B.V. bouwt uitzendsoftware voor uitzendbureaus, hierin kunt u denken aan uitzendbureau websites, matchtools, online urensystemen, vacaturesites. Flexsoftware B.V. vindt privacy belangrijk en doet er alles aan om dit te beschermen. Dit verwerkingsovereenkomst is van toepassing op alle producten, diensten en websites die door Flexsoftware B.V., zijn dochterondernemingen of gelieerde ondernemingen worden aangeboden.

Partijen

Deze Verwerkersovereenkomst is van toepassing op alle vormen van Verwerking van Persoonsgegevens die Flexsoftware B.V., ingeschreven bij de Kamer van Koophandel onder nummer 61271667, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verantwoordelijke). Verwerkingsverantwoordelijke en Verwerker worden hieronder gezamenlijk aangeduid als Partijen.

Overwegingen

  1. Verwerker heeft met Verantwoordelijke een overeenkomst gesloten met betrekking tot het ter beschikking stellen en/of het leveren van software voor het verrichten van administratieve handelingen (hierna: de Overeenkomst);
  2. Verwerkingsverantwoordelijke stelt aan Verwerker Persoonsgegevens ter beschikking om ten behoeve van haar te Verwerken;
  3. Omdat er sprake is van een Verwerking van Persoonsgegevens door Verwerker wensen Partijen – mede ter uitvoering van het bepaalde in artikel 14 lid 2 Wbp

respectievelijk artikel 28 van de AVG – in de onderhavige Verwerkersovereenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in verband met de Verwerking van Verwerker.

Komen overeen

Artikel 1 – Definities

De hierna en hiervoor in deze Verwerkersovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:

  1. Betrokkene:
    de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.
  2. Datalek:
    een inbreuk op beveiligingsmaatregelen die erop zijn gericht Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking, alsmede enig incident

of

enige gebeurtenis waarbij verlies of onrechtmatige Verwerking van Persoonsgegevens plaatsvindt dan wel zou kunnen plaatsvinden.

  1. Persoonsgegeven:
    elk gegeven betreffende een geïdentificeerde of identificeerbare, natuurlijke persoon.
  2. Sub-Verwerker:
    de natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het verwerken van Persoonsgegevens ten behoeve van Verantwoordelijke.
  3. Verwerkersovereenkomst:
    deze overeenkomst tussen Verantwoordelijke en Verwerker met als onderwerp het verwerken van Persoonsgegevens.
  4. Verwerking:
    elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens.

Artikel 2: Ingangsdatum en duur van de Verwerkersovereenkomst

  1. Deze overeenkomst gaat in op het moment van ondertekening door beide partijen en zal van kracht zijn zolang de Verwerker als verwerker van Persoonsgegevens optreedt in het kader van de door de Verantwoordelijke aan Verwerker ter beschikking gestelde Persoonsgegevens.

Artikel 3: Onderwerp van de Verwerkersovereenkomst

  1. Verantwoordelijke stelt het doel en de middelen voor de Verwerking van Persoonsgegevens vast. Het doel van de Verwerking is opgenomen in Bijlage 1.
  2. Verantwoordelijke verstrekt Persoonsgegevens aan Verwerker. Een overzicht van de categorieën Persoonsgegevens die aan Verwerker verstrekt kunnen worden, wordt opgenomen in Bijlage 1. Verwerker verwerkt deze Persoonsgegevens uitsluitend ter uitvoering van de Overeenkomst, deze Verwerkersovereenkomst, en de door verantwoordelijke gegeven schriftelijke instructies. Verwerker zal de Persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.
  3. Verantwoordelijke geeft aan Verwerker toestemming een Sub-Verwerker in te schakelen. Verwerker zal Verantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of vervanging van Sub-Verwerkers. Daarbij wordt de Verantwoordelijke de mogelijkheid geboden bezwaar te maken tegen deze veranderingen. Daarnaast zal Verwerker, alvorens zij overgaat tot inschakeling van de Sub-Verwerker, in een schriftelijke overeenkomst dezelfde verplichtingen aan die Sub-Verwerker opleggen als die op Verwerker zelf rusten uit hoofde van deze Verwerkersovereenkomst.
  4. Verwerker zal, indien nodig, Verantwoordelijke bijstand verlenen bij het nakomen van de verplichtingen uit hoofde van Hoofdstuk III van de AVG. Met name zal Verwerker medewerking verlenen bij uitvoering van de nodige handelingen naar aanleiding van verzoeken van Betrokkenen omtrent inzage, correctie of verwijdering van Persoonsgegevens. Verwerker zal tevens de nodige bijstand verlenen met betrekking tot de nakoming door Verantwoordelijke van de artikelen 32 tot en met 36 van de AVG.
  5. Verwerker zal de Persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Unie, tenzij anders overeengekomen met Verantwoordelijke.

Artikel 4: Geheimhoudingsplicht

  1. Partijen zijn zich ervan bewust dat zij Persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de Persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de Overeenkomst en deze Verwerkersovereenkomst.
  2. Partijen zullen de Persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. Verwerker zal waarborgen dat zijn werknemers en/of derden die toegang hebben tot de Persoonsgegevens zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.

Artikel 5: Beveiligingsmaatregelen

  1. Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van te beschermen Persoonsgegevens met zich meebrengen.
  2. De bij het aangaan van de Verwerkersovereenkomst genomen maatregelen als bedoeld in artikel 5.1 worden weergegeven in Bijlage 2.

Artikel 6: Controle

  1. Verantwoordelijke is bevoegd om te controleren dan wel te laten controleren of Verwerker de verplichtingen uit deze Verwerkersovereenkomst en geldende wetgeving nakomt.
  2. Verantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Verwerker.
  3. Verwerker zal alle redelijkerwijs benodigde medewerking verlenen aan de controle en er voor zorgen dat ook de door hem ingeschakelde derden hiertoe de redelijkerwijs benodigde medewerking zullen verlenen.
  4. De met de controle gemoeide kosten zijn voor rekening van Verantwoordelijke.

Artikel 7: Teruggave Persoonsgegevens

  1. Na afloop van de Overeenkomst en de Verwerkersovereenkomst zullen alle Persoonsgegevens, kopieën en bewerkingen daarvan, alsmede alle gegevensdragers waarop de Persoonsgegevens, kopieën of bewerkingen daarvan zijn of zullen worden vastgelegd, onmiddellijk op eerste verzoek worden vernietigd.
  2. Op het moment dat deze Verwerkersovereenkomst eindigt, zal Verwerker al zijn medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de verwerking van de Persoonsgegevens aan Verantwoordelijke of een opvolgende Verwerker en wel op zo een wijze dat vanaf het moment dat de overdracht plaatsvindt de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van Verwerker wordt belemmerd. De kosten gemoeid met deze inspanningen van Verwerker, komen voor rekening van Verantwoordelijke voor zover deze kosten niet

inbegrepen zijn in de overeengekomen prijzen en vergoedingen van Verwerker voortvloeiende uit de uitvoering van de Overeenkomst.

Artikel 8: Datalekken

  1. Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkenen.
  2. Verwerker zal enig Datalek, na de eerste ontdekking hiervan door Verwerker, zo snel mogelijk rapporteren aan Verantwoordelijke. Verwerker vermeldt daarbij in ieder geval de volgende gegevens:

Verwerker heeft met Verantwoordelijke een overeenkomst gesloten met betrekking tot het

ter beschikking stellen en/of het leveren van software voor het verrichten van

administratieve handelingen (hierna: de Overeenkomst);

  1. de (vermoedelijke) oorzaak van het Datalek;
  2. de (vooralsnog bekende en/of te verwachten) gevolgen van het Datalek;
  3. locatiegegevens van het Datalek;
  4. de eventuele onbevoegde ontvangers van de Persoonsgegevens en alle beschikbare informatie over hen;
  5. voorstellen voor maatregelen ter beperking van de schade;
  6. eventuele andere gegevens indien Verantwoordelijke daarom verzoekt.
  1. Verwerker zal op verzoek van Verantwoordelijke meewerken aan het adequaat informeren van Betrokkenen of de toezichthoudende instanties over het Datalek, en zich ter zake beschikbaar houden voor overleg met Verantwoordelijke.
  2. Verantwoordelijke en Verwerker betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.

Artikel 9: Aansprakelijkheid en vrijwaring

  1. Verwerker is alleen aansprakelijk voor de schade die is veroorzaakt door een Verwerking die inbreuk maakt op de Wbp en/of de AVG als het verplichtingen betreft die specifiek tot Verwerker zijn gericht of sprake is van handelen in strijd met de rechtmatige instructies van Verantwoordelijke.
  2. Het bedrag van de te betalen schadevergoeding uit hoofde van het bepaalde in artikel 9.1 is beperkt tot het bedrag van € 100,-

Artikel 10: Toepasselijk recht

  1. Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
  2. Op deze overeenkomst is het Nederlands recht van toepassing. De Nederlandse rechter is bevoegd kennis te nemen van geschillen.
  3. Door akkoord aan te geven via de website u tevens toestemming aan de privacyverklaring en gebruikersovereenkomst van Verwerker.

BIJLAGE 1 – VERWERKING VAN PERSOONSGEGEVENS

(Behorende bij de Verwerkersovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)

  1. De volgende categorieën Persoonsgegevens kunnen door Verwerker verwerkt worden:
  1. personeelsadministratie;
  2. financiële administratie;
  3. salarisadministratie;
  1. Doel van verwerking:

Wij verwerken Persoonsgegevens uitsluitend in het kader van het uitvoeren van de Overeenkomst tot het ter beschikking stellen van software.

  1. Wijze van verwerking:

Onze werkzaamheden met betrekking tot Persoonsgegevens bestaan uit het opslaan van door Betrokkene in de software ingevoerde Persoonsgegevens.

  1. Sub-Verwerkers:

Voor het opslaan van data maken wij gebruik van de volgende dienstverleners:

– Hosting Bytesnet B.V.

BIJLAGE 2 – TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

Behorende bij de Verwerkersovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens.

Technische beveiligingsmaatregelen:

– Dagelijkse back-ups zodat verlies van Persoonsgegevens wordt tegengegaan;

– Gegevens worden opgeslagen in een professioneel gecertificeerd data center om een hoge mate van betrouwbaarheid te garanderen;

– Verwerker treft voorzieningen voor adequate toegangsbeveiliging zodat toegang tot Persoonsgegevens alleen voorbehouden is aan geautoriseerd personeel;

– Verwerker heeft maatregelen getroffen om kwaadaardige software, zoals – maar niet beperkt tot – computervirussen, op te sporen en af te wenden;

– Een beveiligd intern netwerk;

– Fysieke maatregelen voor toegangsbeveiliging;

– Controle en toegekende bevoegdheden.

Organisatorische beveiligingsmaatregelen:

– Toegang tot Persoonsgegevens is voorbehouden aan geautoriseerd personeel;

– Indien Sub-Verwerkers worden ingeschakeld, sluit Verwerker een SubVerwerkersovereenkomst teneinde de verantwoordelijkheden en verplichtingen inzake de gegevensbescherming ook bij de Sub-Verwerkers te waarborgen.