HelloFlex

Aanvullende voorwaarden AVG (“verwerkersovereenkomst”)

Versie: 1 januari 2025

Indien u een Overeenkomst (zie artikel 1 van deze voorwaarden) gesloten heeft met HelloFlex B.V. (KvK 63800276) en/of FlexService Solutions B.V. (KvK 28090507), Uitzend Software Diensten B.V. (KvK 34229614), CAOWijzer B.V. (KvK 17207523) om diensten aan u te leveren bestaande uit software en bijbehorende ondersteuning, dan zijn deze aanvullende voorwaarden van toepassing. Bij deze dienstverlening verwerken wij als Verwerker Persoonsgegevens (zie bijlage 1) voor u in de rol van Verwerkingsverantwoordelijke. In deze aanvullende voorwaarden worden Partijen verder ook als Verwerker en Verantwoordelijke geduid. Deze aanvullende voorwaarden maken integraal onderdeel uit van bovengenoemde Overeenkomst, tenzij schriftelijk anders overeengekomen is, en door gebruik te maken van genoemde diensten gaat u akkoord met deze aanvullende voorwaarden. Deze voorwaarden zijn niet van toepassing indien u uitsluitend ‘on premise’ gebruik maakt van de software behalve in de gevallen dat u in het kader van supportverlening (onderhoud en tests) ons persoonsgegevens/databases verstrekt.

1. Definities
1.1 Termen met een hoofdletter die in deze Verwerkersovereenkomst worden gebruikt en die hierin niet worden gedefinieerd, hebben de betekenis die is uiteengezet in de AVG (waaronder Persoonsgegevens, Betrokkene, Verwerkingsverantwoordelijke en Verwerker).
1.2 In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
(a) Inbreuk:
i. een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
ii. een Inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;

(b) Medewerker: een bij de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen;

(c) Hoofdovereenkomst: de overeenkomst(en) betreffende de levering van producten en/of diensten. waarvan deze Verwerkersovereenkomst als bijlage onderdeel uitmaakt.

2. Onderwerp
2.1 De Verwerkersovereenkomst maakt onlosmakelijk en integraal onderdeel uit van de Hoofdovereenkomst en prevaleert bij eventuele tegenstrijdigheid tussen bepalingen in de Hoofdovereenkomst en de bepalingen in de Verwerkersovereenkomst.
2.2 Verwerkingsverantwoordelijke geeft hierbij schriftelijk opdracht aan Verwerker om de Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke ter uitvoering van de diensten zoals omschreven in de Hoofdovereenkomst en op de wijze zoals omschreven in Annex 1 en in overeenstemming met de bepalingen van deze Verwerkersovereenkomst, de AVG en de UAVG.
2.3 Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de levering van de diensten onder de Hoofdovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete schriftelijke opdracht van Verwerkingsverantwoordelijke of als daartoe een wettelijke verplichting bestaat, dan echter uitsluitend na informeren van Verwerkingsverantwoordelijke. Informeren van Verwerkingsverantwoordelijke blijft achterwege indien dat in strijd zou zijn met de wet.
2.4 Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens die door hem worden en mag de Persoonsgegevens niet voor eigen of andere doeleinden verwerken.
2.5 Verwerker garandeert dat hij de Persoonsgegevens zal verwerken op behoorlijke en zorgvuldige wijze, in overeenstemming met de doelen van de verwerking van Verwerkingsverantwoordelijke, de AVG, de in artikel 5.1 genoemde richtlijnen en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens, alsmede eventuele aanwijzingen of aanbevelingen van de Autoriteit Persoonsgegevens of een andere toezichthouder.
2.6 De Verwerkingsverantwoordelijke kan aanvullende, schriftelijke instructies aan Verwerker geven ingeval van aanpassingen of wijzigingen in de van toepassing zijnde wet- en regelgeving op het gebied van bescherming van Persoonsgegevens.
2.7 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’). Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerkingsverantwoordelijke, voor het correct uitvoeren van de DPIA.

3. Geheimhouding
3.1 Verwerker is verplicht de Persoonsgegevens en al hetgeen waarvan hij met betrekking tot de uitvoering van deze Verwerkersovereenkomst kennisneemt, geheim te houden. Verwerker zal ervoor zorgen dat diens personeel en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen, zich houden aan de geheimhoudingsverplichting, en waar nodig door hen een geheimhoudingsverklaring te laten ondertekenen. Deze verplichting zal schriftelijk worden vastgelegd en een kopie daarvan zal op eerste verzoek van de Verwerkingsverantwoordelijke ter inzage worden aangeboden.
3.2 Na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.

4. Geen verdere verstrekking
4.1 Verwerker zal de instructies van Verwerkingsverantwoordelijk in verband met de verwerking van de Persoonsgegevens tijdig en volledig opvolgen. Indien Verwerker van mening is dat instructies van Verwerkingsverantwoordelijke in strijd zijn met de AVG, stelt Verwerker Verwerkingsverantwoordelijke daarvan op de hoogte.
4.2 Verwerker zal de Persoonsgegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verwerkingsverantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Persoonsgegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verwerkingsverantwoordelijke hierover voorafgaand schriftelijk en onverwijld informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
4.3 Verwerker zal steeds tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de uitoefening van diens plicht om verzoeken van Betrokkenen, inzake de uitoefening van de in de AVG neergelegde rechten, te beantwoorden. Verwerker zal onder meer zijn medewerking verlenen aan Verwerkingsverantwoordelijke om (i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke Betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens, (ii) Persoonsgegevens te verwijderen of te corrigeren, (iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen dat de Betrokkene zijn Persoonsgegevens als incorrect beschouwt en (iv) inzage te krijgen in de door Verwerker bijgehouden register en documentatie als bedoeld in artikel 30 AVG.

5. Beveiligingsmaatregelen
5.1 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, in standhouden en indien nodig aanpassen om de Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen voldoen aan het bepaalde in artikel 32 AVG.
5.2 In de in artikel 5.1 bedoelde beveiligingsmaatregelen omvatten in ieder geval:
(a) maatregelen om te waarborgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in Annex 1;
(b) maatregelen waarbij Verwerker zijn medewerkers of onderaannemers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
(c) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
(d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
(e) maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen, een en ander zoals nader uitgewerkt in Annex 2;
(f) de overige maatregelen die Partijen in Annex 2 en in de Hoofdovereenkomst zijn overeengekomen.
5.3 Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in lid 1 en 2 van dit artikel 5 genoemde maatregelen uiteen zijn gezet.
5.4 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Partijen zullen daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 5 periodiek evalueren. Maatregelen worden in goed overleg tussen Partijen en verscherpt, aangevuld of verbeterend om te blijven voldoen aan de verplichtingen onder dit artikel. Verwerker zal alle redelijke instructies van verwerkingsverantwoordelijke dienaangaande steeds tijdig opvolgen.
6. Toezicht op naleving
6.1 Verwerker zal Verantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van de in de Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.
6.2 Verwerker zal eens per jaar door een door haar aangewezen onafhankelijke derde een audit, waaronder een inspectie, laten verrichten naar de naleving door de Verwerker van artikel 28 AVG en de technische en organisatorische maatregelen die in Annex 2 zijn genomen.
6.3. De Verantwoordelijke kan de uitkomst van deze audit in de vorm van een Third Party Inspection Memorandum opvragen bij de Verwerker.
6.4. Verantwoordelijke is voorts gerechtigd om een aanvullende audit, waaronder inspecties, te (laten) doen naar de naleving door de Verwerker van artikel 28 AVG en de technische en organisatorische maatregelen in Annex 2. Partijen zullen hierover in overleg afspraken maken. Verantwoordelijke zal Verwerker minimaal 3 weken voorafgaand van de audit hiervan op de hoogte stellen.
6.5. De redelijke kosten van de uitvoering van artikel 6.1 en 6.4 zijn voor Verantwoordelijke.

7. Incidentenmanagement
7.1 Verwerker zal Verantwoordelijke volledig en zonder onredelijke vertraging (streven is binnen 24 uur) informeren over iedere Inbreuk zodra zij met het bestaan van de Inbreuk bekend is geworden, onder andere over: i) het tijdstip van aanvang van de Inbreuk; ii) de aard en de omvang en gevolgen van de Inbreuk; iii) de verwachte hersteltijd; en iv) welke maatregelen zijn genomen of worden voorgesteld om te nemen om de Inbreuk te beëindigen.
7.2 Verwerker zal maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van de Inbreuk in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken. Deze maatregelen zal de Verwerker voorts ook zo snel mogelijk aan de Verantwoordelijke melden en ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
7.3 Meldingen die worden gedaan op grond van dit artikel worden ogenblikkelijk gericht aan de in Annex 3 opgenomen werknemer van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere werknemer van Verwerkingsverantwoordelijke.
7.6 In concrete gevallen, en altijd na overleg met en schriftelijke toestemming van Verwerkingsverantwoordelijke, kan het mogelijk zijn dat de Verwerker de eerste melding van een incident aan de Autoriteit Persoonsgegevens doet. Over deze melding en over de voortgang daarvan, houdt de Verwerker Verwerkingsverantwoordelijke voortdurend op te hoogte.

8. Subverwerkers en EER
8.1 Verwerker is slechts gerechtigd bij de uitvoering van haar werkzaamheden een derde in te schakelen indien Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijk toestemming heeft gegeven en indien voor betreffende derde bij de verwerking van de Persoonsgegevens dezelfde voorwaarden gelden als in deze Verwerkersovereenkomst omschreven. De verwerker is aansprakelijk voor het nakomen van de verplichtingen van de subverwerker.
8.2 De goedgekeurde Sub Verwerkers zijn opgenomen in Annex 3 van de Verwerkersovereenkomst.
8.3 De Verwerker mag Persoonsgegevens doorgeven en Verwerken in een land buiten de Europese Economische Ruimte (EER), indien Verwerker: i) hiertoe verplicht is op grond van een wettelijk voorschrift; of ii) dat land een passend beschermingsniveau waarborgt en welke is goedgekeurd door (plaatsing op de ‘witte lijst’ van) de Europese Commissie; of iii) gebruik maakt van een modelcontract als bedoeld in artikel 46, tweede lid, sub c en d van de AVG; of iv) de doorgifte is toegestaan op basis van een andere grondslag onder Toepasselijke Wetgeving.
8.4 Indien Verwerker verplicht is persoonsgegevens op grond van een wettelijk voorschrift door te geven, zoals is bepaald in artikel 5.1.a, zal Verwerker de Verantwoordelijke hierover informeren, tenzij het wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

9. Aansprakelijkheid
9.1 Partijen zijn, overeenkomstig het bepaalde in artikel 82 AVG, aansprakelijk voor alle schade of nadeel van de andere Partij en Betrokkenen die het gevolg zijn van (i) aan Partij toerekenbare schendingen van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens, (ii) de werkzaamheden onder deze Verwerkersovereenkomst en/of (iii) de niet-nakoming door Partij van verplichtingen uit deze Verwerkersovereenkomst.
9.2 Verantwoordelijke vrijwaart en stelt de Verwerker schadeloos met betrekking tot de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst ter zake van (i) alle schade; en (ii) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van één of meer verplichtingen van de Verantwoordelijke uit de Verwerkersovereenkomst of uit hoofde van toepasselijke wetgeving, waaronder de AVG.
9.3 Verwerker vrijwaart en stelt de Verantwoordelijke schadeloos met betrekking tot de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst ter zake van (i) alle schade; en (ii) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van één of meer verplichtingen van de Verwerker uit de Verwerkersovereenkomst of uit hoofde van toepasselijke wetgeving, waaronder de AVG.

10. Duur en beëindiging
10.1 Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst heeft een looptijd die is gelijk aan van de Hoofdovereenkomst.
10.2 De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt , tenzij Partijen in voorkomend geval anders overeenkomen.
10.3 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst bestaan. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.

11. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
11.1 Verwerker zal de Persoonsgegevens niet langer bewaren dan strikt noodzakelijk is, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Annex 1.
11.2 Verwerker draagt er zorg voor dat de hiervoor bedoelde Persoonsgegevens onverwijld na beëindiging van de Overeenkomst, of zoveel eerder als dat mogelijk is, op een wijze naar keuze van de Verantwoordelijke, over te dragen aan Verantwoordelijke. De Verantwoordelijke zal alleen een medium kiezen dat wordt aangeboden door de Verwerker, waaronder Excel en SQL.
11.3. Na overdracht, schriftelijke afwijzing van overdracht door Verantwoordelijke, of indien de Verantwoordelijke niet reageert, na één maand na het aanbod tot overdracht, dient de Verwerker de Persoonsgegevens onverwijld te vernietigen. Op eerste verzoek van Verantwoordelijke zal Verwerker schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.
11.4. Indien Verantwoordelijke na afloop van de Overeenkomst besluit een zogenaamde kijklicentie af te nemen blijft deze Verwerkersovereenkomst voor de duur van deze licentie van kracht.

12. Toepasselijk recht
12.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Indien en voor zover de toepasselijke wetgeving zich hier niet tegen verzet, sluiten Partijen voor wat betreft de rechts- en forumkeuze aan bij de bepalingen in de Hoofdovereenkomst.
12.2 Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

ANNEX 1: Overzicht Persoonsgegevens en categorieën van Betrokkenen, doeleinden, bewaartermijn en toegang

1. Welke Persoonsgegevens zullen worden verwerkt in het kader van de Hoofdovereenkomst

Verwerkingsverantwoordelijke zal Verwerker de volgende categorieën Persoonsgegevens laten verwerken:
Kandidaatgegevens
• NAW gegevens;
• Contactgegevens (telefoonnummer en e-mailadres)
• Administratienummer;
• Geslacht;
• Functie;
• Geboortedatum en geboorteplaats;
• CV, inclusief werkervaring en opleiding;
• Diploma’s en certificaten;
• Resultaten assessments;
• Kopie paspoort/ID;
• Burger service nummer;
• Nationaliteit en taal;
• Pasfoto;
• Beschikbaarheidsgegevens;
• Verblijfsvergunning en werkvergunning;
• Verklaring omtrent gedrag (VOG).
• Correspondentie met uitzendkrachten;
• Beoordelingen en evaluaties;
• Resultaten assessments;
• Uitzendovereenkomst (met verschillende bijlagen en addenda) inclusief fase-indeling;
• Financiële gegevens, waaronder bankrekeningnummer, salaris-afspraken, inhoudingen daarop en vergoedingen, loonafrekeningen, jaaropgaves, loonheffingsformulieren;
• Burger service nummer;
• Kopie rijbewijs;
• Gegevens over bruikleen of lease;
• Handtekening;
• Gegevens ziekmeldingen;
• Burgerlijke staat;
• Verlofgegevens;
• Factuurgegevens;
• BTW-nummer;
• KvK;
• Bankrekeningnummer;
Applicatiegegevens
• User ID’s en wachtwoorden;
• Diagnostische gegevens, logfiles;
• IP-adres;
• Correspondentie tussen de Verantwoordelijke en de Verwerker over de werking van het platform en eventuele additionele informatieverstrekking (waaronder incident management);
2. Welke categorieën van Betrokkenen zijn er
Verwerker zal van sollicitanten, flexwerkers, inleners, ZZP’ers, leveranciers en medewerkers van Verantwoordelijke persoonsgegevens verwerken. Het betreft hier met name de bovenstaande gegevens.
3. Voor welke doeleinden worden de Persoonsgegevens verwerkt

De Persoonsgegevens onder sub 1 worden uitsluitend gebruikt voor de levering van de dienstverlening zoals omschreven in de Hoofdovereenkomst.
Verwerker levert software en support aan Verantwoordelijke welke door Verantwoordelijke wordt gebruikt om de bovengenoemde gegevens mee te verwerken en/of op te slaan in de daarvoor door Verwerker opgezette databases en om deze gegevens te analyseren en in de vorm van managementinformatie te presenteren.
4. Wat is de duur van de opslag

De Persoonsgegevens worden niet langer bewaard dan nodig voor de levering van de dienstverlening onder de Hoofdovereenkomst en facturering daarvan, één en ander in overeenstemming met artikel 11.
De Verantwoordelijke is verantwoordelijk voor het vaststellen van de bewaartermijnen van de persoonsgegevens, het instellen van deze parameters in de applicatie en het tijdig activeren van de opschoningsactie. De verwerker waarborgt dat na het activeren van de opschoningsactie de persoonsgegevens verwijderd worden binnen de applicatie op basis van de door de Verantwoordelijke ingegeven bewaartermijnen. De Verantwoordelijke is hierin leidend.
Op het moment dat de overeenkomst beëindigd is kan de Verantwoordelijke door Verwerker een datadump laten maken van de (persoons)gegevens binnen de applicatie. Na een maand verwijdert de Verwerker actief alle persoonsgegevens en configuratie data. Door het verwijderen van de configuratie data en de versleuteling van de data zijn de back-up gegevens niet meer leesbaar dan wel kunnen niet meer terug gezet worden. (data is door de afwezigheid van de configuratiedata, versleuteling en/of anonimisering onbruikbaar opgeslagen).

ANNEX 2: Beveiligingsmaatregelen

Deze Bijlage beschrijft de technische en organisatorische maatregelen en procedures die Verwerker zal nemen om de verwerking van Persoonsgegevens passend te beveiligen. Verwerker zal documentatie van de technische en organisatorische maatregelen bewaren als bewijs. 
Informatiebeveiligingsbeleid
• Wij werken conform informatiebeveiligingsbeleid waarin rollen en verantwoordelijkheden zijn vastgelegd.
Medewerkers
• Medewerkers en ingehuurde externen krijgen, voor zover relevant voor hun functie, terzake doende instructies en training. Ook stimuleren wij privacy en security bewustzijn.
• Medewerkers tekenen voor geheimhouding en vertrouwelijkheid en weten dat ze gegevens alleen in opdracht van onze klanten mogen verwerken.
• We voeren functiescheiding door in beheer en gebruik.
Toegangsbeveiliging
• We hanteren een autorisatiebeleid op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben en alleen tot data die noodzakelijk voor het uitoefenen van hun functie zijn.
Logging en controle
• Activiteiten van werknemers alsmede verstoringen en pogingen tot ongeautoriseerde toegang worden gelogd en gecontroleerd.
• Jaarlijks vindt er een onafhankelijke externe toetsing plaats op naleving van in deze bijlage genoemde maatregelen. De uitkomst hiervan wordt in de vorm van een Third Party Inspection Memorandum met Verantwoordelijke gedeeld.
Netwerk-, server- en applicatiebeveiliging en onderhoud
• We zorgen er voor dat gebruikte soft- en hardware up-to-date zijn.
• We nemen alle relevante maatregelen om malwarebesmetting tegen te gaan.
• Onze netwerkomgeving is beveiligd; verkeerstromen zijn gescheiden en er zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
• We hanteren een modern wachtwoordbeleid en voor het inloggen worden versleutelde verbindingen gebruikt.
• Wij passen versleuteling toe bij de verwerking van (gevoelige) persoonsgegevens bij opslag en verkeer.
• Wij voeren Incidentenbeheer met een Incident Response Team, door middel van een Incident Response Plan en Incidentregister.
• We hebben procedures voor het tijdig en doeltreffend signaleren (security monitoring, SOC/SIEM) en behandelen van informatiebeveiligingsincidenten en- zwakten, het melden van ‘datalekken’ en het doorvoeren van verbetermaatregelen.

Continuïteitsbeheer
• IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
• We hebben beleid t.a.v. het borgen van de continuïteit van dienstverlening (disaster recovery).
• Om continuïteit van dienstverlening te verzekeren maken we periodieke back-ups.
Apparatuur
• We hanteren een goedkeuringsproces voor de aanschaf van nieuwe apparatuur.
Nieuwe systemen
• In alle systemen zijn beveiligingsmaatregelen ingebouwd om er voor te zorgen dat de verwerking aan de vooraf gestelde eisen voldoet.
• Bij de ontwikkeling van nieuwe systemen laten we ons leiden door de uitgangspunten van privacy en security by design & default.
• We scheiden de test- van de productieomgeving.
Hosting
• Voor hosting van data wordt gebruik gemaakt van Sub Verwerkers waarmee een verwerkersovereenkomst is afgesloten (zie Annex 3).
Verwerkingsregister
• We hebben verwerkingen van onze klanten conform AVG in een register opgenomen en houden dit register actueel.
Functionaris Gegevensbescherming (FG)
• We hebben een FG aangesteld die is aangemeld bij de Autoriteit Persoonsgegevens. Privacymeldingen kan je doen via cirt@helloflexgroup.com

Annex 3 Lijst met subverwerkers

Naam Subverwerker: Microsoft Corporation
Verwerking: Hoofdverwerking, betreft alle verwerkingen van het platform. 
 

Naam Subverwerker: Zendesk
Verwerking: Incidentmanagement

Naam Subverwerker: The Matchbox
Verwerking: Job matching

Naam Subverwerker: AriadNext
Verwerking: ID-checker

Naam Subverwerker: Zoho
Verwerking: Document editor
 
Naam Subverwerker: Bullhorn
Verwerking: Recruitment

Naam Subverwerker: Spryng
Verwerking: SMS-provider

Naam Subverwerker: Flowmailer
Verwerking: e-Mail provider