Aanvullende voorwaarden AVG (“verwerkersovereenkomst”)
Versie: 1 november 2023
Indien u een Overeenkomst (zie artikel 1 van deze voorwaarden) gesloten heeft met HelloFlex B.V. (KvK 63800276) en/of FlexService Solutions B.V. (KvK 28090507), Uitzend Software Diensten B.V. (KvK 34229614), CAOWijzer B.V. (KvK 17207523) om diensten aan u te leveren bestaande uit software en bijbehorende ondersteuning, dan zijn deze aanvullende voorwaarden van toepassing. Bij deze dienstverlening verwerken wij als Verwerker Persoonsgegevens (zie bijlage 1) voor u in de rol van Verwerkingsverantwoordelijke. In deze aanvullende voorwaarden worden Partijen verder ook als Verwerker en Verantwoordelijke geduid. Deze aanvullende voorwaarden maken integraal onderdeel uit van bovengenoemde Overeenkomst, tenzij schriftelijk anders overeengekomen is, en door gebruik te maken van genoemde diensten gaat u akkoord met deze aanvullende voorwaarden. Deze voorwaarden zijn niet van toepassing indien u uitsluitend ‘on premise’ gebruik maakt van de software behalve in de gevallen dat u in het kader van supportverlening (onderhoud en tests) ons persoonsgegevens/databases verstrekt.
1. DEFINITIES
In deze aanvullende voorwaarden worden de hierna volgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven. “Algemene Voorwaarden”: de Algemene Voorwaarden van HelloFlex B.V. Voor laatste versie van de Algemene Voorwaarden zie: Algemene Voorwaarden – HelloFlex. “AVG”: de Algemene Verordening Gegevensbescherming (EU) 2016/679. “Datalek”: iedere inbreuk op de beveiliging van Persoonsgegevens voor zover deze gemeld moet worden aan de Autoriteit Persoonsgegevens en/of betrokkenen onder de AVG; “Overeenkomst”: de overeenkomst inclusief wijzigingen en aanvullende overeenkomsten, zoals die ter zake tussen Verantwoordelijke en Verwerker bestaan; “Persoonsgegevens”: de gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon die Verwerkt worden door de Verwerker onder de Overeenkomst, zoals opgenomen in Bijlage 1; “Sub Verwerker”: een verwerker, zoals gedefinieerd in de AVG, die in opdracht van de Verwerker Persoonsgegevens zal Verwerken ten behoeve van de Verantwoordelijke; “Verwerken” of “Verwerking”: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; “Verwerkersovereenkomst”: deze aanvullende voorwaarden (het “model’ conform artikel 4.3.4. van de Algemene Voorwaarden)
2. VERPLICHTINGEN VAN DE VERWERKER
2.1. Behoudens afwijkende wettelijke verplichtingen, zal Verwerker:
- uitsluitend Persoonsgegevens Verwerken conform Overeenkomst en instructies van de Verantwoordelijke;
- Persoonsgegevens alleen bewaren zolang de Verantwoordelijke dat verlangt en de Persoonsgegevens wijzigen, anonimiseren, blokken of verwijderen zodra de Verantwoordelijke daartoe instructies geeft;
- de Verantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 35 en 36 AVG tegen het overeengekomen uurtarief;
- rekening houdend met de aard van de verwerking, de Verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken om uitoefening van de rechten van de betrokkene onder de AVG te beantwoorden; en
- ervoor zorgen dat alleen (i) haar werknemers; en (ii) Sub Verwerkers toegang krijgen tot Persoonsgegevens en slechts zolang dit noodzakelijk is in het kader van de uitvoering van de verplichtingen van de Verwerker onder de Overeenkomst, en dat deze bij de verwerking de vertrouwelijkheid in acht nemen;
- Persoonsgegevens nimmer aan een derde verstrekken, dan wel een derde toegang verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft gekregen van Verantwoordelijke of zonder dat Verwerker hiertoe verplicht is op grond van een wettelijk voorschrift;
- desgevraagd samenwerken met de toezichthoudende autoriteit bij het vervullen van haar taken.
3. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
3.1. De Verwerker zal rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de technische en organisatorische maatregelen treffen en in stand houden, zoals uiteengezet in Bijlage 2;
3.2. De Verantwoordelijke heeft nadrukkelijk kennis genomen van deze in Bijlage 2 opgenomen maatregelen.
4. SUB VERWERKERS
4.1. Het is de Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst gebruik te maken van Sub Verwerkers. De Sub Verwerkers zijn opgenomen in Bijlage 3 van de Verwerkersovereenkomst.
4.2. In het geval van beoogde veranderingen inzake de toevoeging of vervanging van Sub Verwerkers wordt de Verantwoordelijke hierover door de Verwerker op de hoogte gesteld. Verantwoordelijke is gerechtigd om binnen vier weken na ontvangst van dit bericht bezwaar te maken tegen deze verandering. Partijen zullen over dit bezwaar in overleg treden. Indien dit overleg niet leidt tot het wegnemen van het bezwaar dan kan de Verantwoordelijke de Overeenkomst met Verwerker opzeggen tegen de datum waarop de Sub Verwerker zal starten met het Verwerken van de Persoonsgegevens.
4.3. De Verwerker zal de Sub Verwerker dezelfde verplichtingen opleggen als die voor hem uit deze Verwerkersovereenkomst voortvloeien.
5. DOORGIFTE PERSOONSGEGEVENS
5.1. De Verwerker mag Persoonsgegevens doorgeven en Verwerken in een land buiten de Europese Economische Ruimte (EER), indien Verwerker:
a. hiertoe verplicht is op grond van een wettelijk voorschrift; of
b. dat land een passend beschermingsniveau waarborgt en welke is goedgekeurd door (plaatsing op de ‘witte lijst’ van) de Europese Commissie; of
c. gebruik maakt van een modelcontract als bedoeld in artikel 46, tweede lid, sub c en d van de AVG;
of d. de doorgifte is toegestaan op basis van een andere grondslag onder Toepasselijke Wetgeving.
5.2. Indien Verwerker verplicht is persoonsgegevens op grond van een wettelijk voorschrift door te geven, zoals is bepaald in artikel 5.1.a, zal Verwerker de Verantwoordelijke hierover informeren, tenzij het wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
5.3. Indien Persoonsgegevens worden doorgestuurd naar een Sub Verwerker in een land buiten de EER en Verwerker niet op eigen naam een modelcontract kan sluiten met Sub Verwerker, geeft de Verantwoordelijke hierbij instructie en een volmacht aan de Verwerker om, op naam van de Verantwoordelijke, de Sub Verwerker instructies te geven en de onder artikel 5.1.c. genoemde overeenkomsten te sluiten.
6. GEHEIMHOUDING
6.1. Op alle informatie die de Verwerker van de Verantwoordelijke ontvangt, rust een geheimhoudingsplicht jegens derden. Verwerker zal de Persoonsgegevens geheimhouden en zal haar werknemers en Sub Verwerkers voordat zij toegang verkrijgen tot de Persoonsgegevens, contractueel verplichten tot geheimhouding van de Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Overeenkomst kennis kunnen nemen.
6.2. Deze geheimhoudingsplicht is niet van toepassing voor zover de Verantwoordelijke zijn voorafgaande uitdrukkelijke toestemming heeft gegeven om informatie aan derden te verstrekken of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Verantwoordelijke aan de Verwerker verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien de Verwerker op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.
6.3. Na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.
7. MELDPLICHT
7.1. Verwerker zal Verantwoordelijke volledig en zonder onredelijke vertraging informeren over ieder Datalek zodra zij met het bestaan van het Datalek bekend is geworden, onder andere over:
a. het tijdstip van aanvang van het Datalek;
b. de aard en de omvang en gevolgen van het Datalek;
c. de verwachte hersteltijd;
en d. welke maatregelen zijn genomen of worden voorgesteld om te nemen om het Datalek te beëindigen.
7.2. De informatie onder 7.1. zal door Verwerker verstrekt worden aan de contactpersoon die bij haar bekend is. Indien deze informatie aan een andere contactpersoon moet worden doorgegeven verstrekt Verantwoordelijke aan Verwerker naam, functie en contactgegevens. Indien de Verantwoordelijke een Functionaris voor Gegevensbescherming heeft aangesteld worden hiervan ook naam en contactgegevens aan Verwerker medegedeeld.
7.3. Verwerker zal maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van het Datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken. Deze maatregelen zal de Verwerker voorts ook zo snel mogelijk aan de Verantwoordelijke melden.
8. AUDITS
8.1. Verwerker zal Verantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van de in de Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.
8.2. Verwerker zal eens per jaar door een door haar aangewezen onafhankelijke derde een audit, waaronder een inspectie, laten verrichten naar de naleving door de Verwerker van artikel 28 AVG en de technische en organisatorische maatregelen die in Bijlage 2 zijn genomen.
8.3. De Verwerker zal de uitkomst van deze audit in de vorm van een Third Party Inspection Memorandum delen met Verantwoordelijke. Verantwoordelijke is hiervoor een vergoeding aan Verwerker verschuldigd die afhankelijk is van het aantal gebruikers conform onderstaand schema. aantal gebruikers vergoeding
< 5 150 EUR
> 5 EN < 50 275 EUR
> 50 500 EUR
8.4. Verantwoordelijke is voorts gerechtigd om een aanvullende audit, waaronder inspecties, te (laten) doen naar de naleving door de Verwerker van artikel 28 AVG en de technische en organisatorische maatregelen in Bijlage 2. Partijen zullen hierover in overleg afspraken maken. Verantwoordelijke zal Verwerker minimaal 3 weken voorafgaand van de audit hiervan op de hoogte stellen.
8.5. De redelijke kosten van de uitvoering van artikel 8.1 en 8.4 zijn voor Verantwoordelijke.
9. AANSPRAKELIJKHEID
9.1. Met betrekking tot de (beperking van) aansprakelijkheid van Verwerker, geldt hetgeen tussen Partijen is overeengekomen onder de Overeenkomst.
9.2. Verantwoordelijke vrijwaart en stelt de Verwerker schadeloos met betrekking tot de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst ter zake van (i) alle schade; en (ii) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van één of meer verplichtingen van de Verantwoordelijke uit de Verwerkersovereenkomst of uit hoofde van toepasselijke wetgeving, waaronder de AVG.
9.3. Indien er inzake de aansprakelijkheid geen nadere afspraken onder de Overeenkomst zijn overeengekomen geldt hierover hetgeen is opgenomen in onze Algemene Voorwaarden.
10. DUUR EN BEËINDIGING VERWERKERSOVEREENKOMST
10.1. Deze Verwerkersovereenkomst wordt gesloten op het moment dat Partijen deze hebben ondertekend en loopt door tot beëindiging van de Overeenkomst.
10.2. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na het einde van de Verwerkersovereenkomst bestaan.
10.3. Verwerker draagt er zorg voor dat de hiervoor bedoelde Persoonsgegevens onverwijld na beëindiging van de Overeenkomst, of zoveel eerder als dat mogelijk is, op een wijze naar keuze van de Verantwoordelijke, over te dragen aan Verantwoordelijke. De Verantwoordelijke zal alleen een medium kiezen dat wordt aangeboden door de Verwerker, waaronder Excel en SQL.
10.4. Na overdracht, schriftelijke afwijzing van overdracht door Verantwoordelijke, of indien de Verantwoordelijke niet reageert, na één maand na het aanbod tot overdracht, dient de Verwerker de Persoonsgegevens onverwijld te vernietigen. Op eerste verzoek van Verantwoordelijke zal Verwerker schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.
10.5. Indien Verantwoordelijke na afloop van de Overeenkomst besluit een zogenaamde kijklicentie af te nemen blijft deze Verwerkersovereenkomst voor de duur van deze licentie van kracht.
11. OVERIGE BEPALINGEN
11.1. Verwerker heeft het recht om deze voorwaarden eenzijdig te wijzigen als daarvoor een zwaarwegend belang is en Verwerkingsverantwoordelijke hierdoor niet onevenredig zwaar benadeeld wordt.
11.2. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
BIJLAGE 1
BESCHRIJVING VERWERKING PERSOONSGEGEVENS
Categorieën persoonsgegevens
Verwerker zal van sollicitanten, flexwerkers, inleners, ZZP’ers, leveranciers en medewerkers van Verantwoordelijke persoonsgegevens verwerken. Het betreft hier met name de onderstaande gegevens.
Sollicitanten
- NAWTE;
- Administratienummer;
- Geslacht;
- Functie;
- Geboortedatum en geboorteplaats;
- CV, inclusief werkervaring en opleiding;
- Diploma’s en certificaten;
- Resultaten assessments;
- Kopie paspoort/ID;
- Burger service nummer;
- Nationaliteit en taal;
- Pasfoto;
- Beschikbaarheidsgegevens;
- Verblijfsvergunning en werkvergunning;
- Verklaring omtrent gedrag (VOG).
Flexwerkers (aanvullend)
- Correspondentie met uitzendkrachten;
- Beoordelingen en evaluaties;
- Resultaten assessments;
- Uitzendovereenkomst (met verschillende bijlagen en addenda) inclusief fase-indeling;
- Financiële gegevens, waaronder bankrekeningnummer, salaris-afspraken, inhoudingen daarop en vergoedingen, loonafrekeningen, jaaropgaves, loonheffingsformulieren;
- Burger service nummer;
- Kopie rijbewijs;
- Gegevens over bruikleen of lease;
- Handtekening;
- Gegevens ziekmeldingen;
- Burgerlijke staat;
- Verlofgegevens;
- Inloggegevens.
Opdrachtgevers/inleners
- NAWTE contactpersoon;
- Factuurgegevens;
- Inloggegevens.
ZZP
- NAWTE;
- BTW-nummer;
- KVK;
- Bankrekeningnummer.
Eigen medewerkers
- Inloggegevens en namen gebruikers.
Verwerking persoonsgegevens
Verwerker levert software en support aan Verantwoordelijke welke door Verantwoordelijke wordt gebruikt om de bovengenoemde gegevens mee te verwerken en/of op te slaan in de daarvoor door Verwerker opgezette databases en om deze gegevens te analyseren en in de vorm van managementinformatie te presenteren.
BIJLAGE 2
BESCHRIJVING TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Deze Bijlage beschrijft de technische en organisatorische maatregelen en procedures die Verwerker zal nemen om de verwerking van Persoonsgegevens passend te beveiligen. Verwerker zal documentatie van de technische en organisatorische maatregelen bewaren als bewijs.
Informatiebeveiligingsbeleid
- Wij werken conform informatiebeveiligingsbeleid waarin rollen en verantwoordelijkheden zijn vastgelegd.
Medewerkers
- Medewerkers en ingehuurde externen krijgen, voor zover relevant voor hun functie, terzake doende instructies en training. Ook stimuleren wij privacy en security bewustzijn.
- Medewerkers tekenen voor geheimhouding en vertrouwelijkheid en weten dat ze gegevens alleen in opdracht van onze klanten mogen verwerken.
- We voeren functiescheiding door in beheer en gebruik.
Toegangsbeveiliging
- We hanteren een autorisatiebeleid op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben en alleen tot data die noodzakelijk voor het uitoefenen van hun functie zijn.
Logging en controle
- Activiteiten van werknemers alsmede verstoringen en pogingen tot ongeautoriseerd toegang worden gelogd en gecontroleerd.
- Jaarlijks vindt er een onafhankelijke externe toetsing plaats op naleving van in deze bijlage genoemde maatregelen. De uitkomst hiervan wordt in de vorm van een Third Party Inspection Memorandum met Verantwoordelijke gedeeld.
Netwerk-, server- en applicatiebeveiliging en onderhoud
- We zorgen er voor dat gebruikte soft- en hardware en patches up to date zijn.
- We nemen alle relevante maatregelen om virusbesmetting tegen te gaan.
- Onze netwerkomgeving is beveiligd; verkeerstromen zijn gescheiden en er zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
- We hanteren een modern wachtwoordbeleid en voor het inloggen worden versleutelde verbindingen gebruikt.
- Wij passen versleuteling toe bij de verwerking van (gevoelige) persoonsgegevens bij opslag en verkeer.
Incidentenbeheer
- We hebben procedures voor het tijdig en doeltreffend signaleren (security monitoring) en behandelen van informatiebeveiligingsincidenten en- zwakten, het melden van ‘datalekken’ en het doorvoeren van verbetermaatregelen.
Continuïteitsbeheer
- IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
- We hebben beleid t.a.v. het borgen van de continuïteit van dienstverlening (disaster recovery).
- Om continuïteit van dienstverlening te verzekeren maken we periodieke back-ups.
Apparatuur
- We hanteren een goedkeuringsproces voor de aanschaf van nieuwe apparatuur.
Nieuwe systemen
- In alle systemen zijn beveiligingsmaatregelen ingebouwd om er voor te zorgen dat de verwerking aan de vooraf gestelde eisen voldoet.
- Bij de ontwikkeling van nieuwe systemen laten we ons leiden door de uitgangspunten van privacy en security by design & default.
- We scheiden de test- van de productieomgeving.
Hosting
- Voor hosting van data wordt gebruik gemaakt van Sub Verwerkers waarmee een verwerkersovereenkomst is afgesloten (zie Bijlage 3).
Verwerkingsregister
- We hebben verwerkingen van onze klanten conform AVG in een register opgenomen en houden dit register actueel.
Functionaris Gegevensbescherming (FG)
- We hebben een FG aangesteld die is aangemeld bij de Autoriteit Persoonsgegevens. Privacymeldingen kan je doen via cirt@helloflexgroup.com
BIJLAGE 3
SUB VERWERKERS
Voor onze dienstverlening maken we gebruik van de onderstaande Sub Verwerkers:
- Microsoft Corporation (Azure, inz. hosting data & documenten)
- Neople (inz. AI assistant in ticketingsysteem)