Verwerkersovereenkomst

Deze verwerkersovereenkomst regelt de verwerking van persoonsgegevens door Urenfabriek (Meierij IT B.V.) namens de klant.

Artikel 1: Definities

• Verwerkingsverantwoordelijke: De klant die de Dienst afneemt
• Verwerker: Urenfabriek (Meierij IT B.V.)
• Persoonsgegevens: Gegevens van medewerkers zoals naam, kloktijden, locaties
• AVG: Algemene Verordening Gegevensbescherming

Artikel 2: Onderwerp en Duur

Deze verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens in het kader van de urenregistratie-diensten. De overeenkomst geldt zolang de dienstverleningsovereenkomst loopt.

Artikel 3: Verplichtingen Verwerker

Urenfabriek verwerkt persoonsgegevens uitsluitend:

• Op gedocumenteerde instructie van de verwerkingsverantwoordelijke
• Voor de uitvoering van de dienstverlening (urenregistratie)
• Niet voor eigen doeleinden
• Met inachtneming van geheimhouding door alle medewerkers

Artikel 4: Aard van de Verwerking

Doel: Urenregistratie en verlofadministratie
Duur: Tijdens de looptijd van de overeenkomst
Aard gegevens: Naam, emailadres, kloktijden, projecten, GPS-locaties (optioneel)
Betrokkenen: Medewerkers van de verwerkingsverantwoordelijke

Artikel 5: Beveiligingsmaatregelen

Urenfabriek neemt passende technische en organisatorische maatregelen:

• SSL/TLS-versleuteling voor alle dataverkeer
• Encryptie van gevoelige gegevens in de database
• Toegangscontrole en authenticatie
• Dagelijkse backups met 30 dagen retentie
• Logging van toegang tot persoonsgegevens
• Nederlandse datacenters met ISO 27001 certificering

Artikel 6: Subverwerkers

Urenfabriek maakt gebruik van de volgende subverwerkers:

• Hosting: Nederlandse hosting provider voor serverinfrastructuur
• Email: Email service provider voor notificaties
• Betalingen: Payment service provider voor facturatie

Met alle subverwerkers is een schriftelijke verwerkersovereenkomst gesloten. De verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen nieuwe subverwerkers.

Artikel 7: Datalekken

Bij een datalek stelt Urenfabriek de verwerkingsverantwoordelijke hiervan onverwijld, maar uiterlijk binnen 48 uur op de hoogte. De melding bevat minimaal:

• Aard van het datalek
• Betrokken persoonsgegevens en betrokkenen
• Getroffen maatregelen
• Aanbevolen acties voor verwerkingsverantwoordelijke

Artikel 8: Rechten van Betrokkenen

Urenfabriek verleent, binnen redelijke termijn, medewerking aan verzoeken van betrokkenen (medewerkers) met betrekking tot inzage, correctie, verwijdering of bezwaar. De verwerkingsverantwoordelijke is zelf verantwoordelijk voor afhandeling van deze verzoeken.

Artikel 9: Audits en Inspectie

De verwerkingsverantwoordelijke heeft het recht audits uit te voeren of te laten uitvoeren. Urenfabriek verleent hier volledige medewerking aan, mits:

• De audit met minimaal 2 weken vooraf wordt aangekondigd
• De audit plaatsvindt tijdens kantooruren
• De kosten voor rekening van verwerkingsverantwoordelijke zijn

Artikel 10: Beëindiging

Bij beëindiging van de overeenkomst:

• Worden alle persoonsgegevens binnen 30 dagen verwijderd of geretourneerd
• Kan de verwerkingsverantwoordelijke kiezen voor export van gegevens
• Blijven backups maximaal 30 dagen bewaard conform retentiebeleid

Artikel 11: Aansprakelijkheid

Elke partij is aansprakelijk voor schade veroorzaakt door niet-naleving van de AVG-verplichtingen die op die partij rusten. Urenfabriek is niet aansprakelijk voor schade voortvloeiend uit instructies van de verwerkingsverantwoordelijke.

Artikel 12: Toepasselijk Recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing.