Privacybeleid
Inleiding
Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst die is gesloten tussen TimeKing B.V. (Hierna: “TimeKing”) en een natuurlijke persoon of juridische entiteit (Hierna: “Afnemer”). Samen worden Afnemer en TimeKing de “Partijen” genoemd.
TimeKing wordt op basis van de Toepasselijke Wetgeving gekwalificeerd als verwerker en Afnemer als verwerkingsverantwoordelijke.
In deze Verwerkersovereenkomst zijn de afspraken vastgelegd met betrekking tot de verwerking van Persoonsgegevens in het kader van de Hoofdovereenkomst. Heeft Afnemer vragen over deze Verwerkersovereenkomst, neem dan contact op ons op via [email protected].
1. Definities
In deze Verwerkersovereenkomst worden een aantal begrippen gebruikt die met een hoofdletter worden aangeduid. Die begrippen krijgen de betekenis zoals hieronder vermeld:
- Betrokkene of Betrokken Personen: de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden.
- Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
- Hoofdovereenkomst: De overeenkomst tussen Afnemer en TimeKing, op basis waarvan Afnemer gebruik maakt van de TimeKing applicatie en waar tevens de Algemene Voorwaarden van TimeKing op van toepassing zijn.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die TimeKing in het kader van de Hoofdovereenkomst ten behoeve van Afnemer als Verwerkingsverantwoordelijke verwerkt.
- Medewerker(s): de personen die door de Partijen worden gemachtigd voor de uitvoering van deze Verwerkingsovereenkomst en die onder hun verantwoordelijkheid werken.
- Subverwerker: iedere derde partij die door TimeKing wordt ingeschakeld om ten behoeve van TimeKing Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van TimeKing te zijn onderworpen.
- Toepasselijke Wetgeving: wetten of andere (lokale) voorschriften, verordeningen, richtlijnen of beleidslijnen, instructies of aanbevelingen van overheidsinstanties die van toepassing zijn op de verwerking van de persoonlijke gegevens, inclusief eventuele wijzigingen, vervangingen, updates of andere latere versies daarvan;
- Verwerking: iedere bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
- Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen, wijzigingen en updates.
2. Onderwerp van deze Verwerkersovereenkomst
- Deze Verwerkersovereenkomst heeft als doel uiteen te zetten onder welke voorwaarden TimeKing Persoonsgegevens in opdracht van Afnemer mag verwerken.
- De Verwerkersovereenkomst maakt integraal deel uit van de Hoofdovereenkomst tussen Afnemer en TimeKing. De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking.
- Partijen garanderen te voldoen aan de vereisten van de Toepasselijke Wetgeving betreffende de Verwerking van Persoonsgegevens.
3. Verplichtingen van Afnemer als Verwerkingsverantwoordelijke
- Afnemer stelt de Persoonsgegevens ter beschikking aan TimeKing en bepaalt het doel van en de middelen voor de Verwerking. Afnemer garandeert dat de Verwerking van de Persoonsgegevens, waaronder de verzameling, gebeurt overeenkomstig de relevante Toepasselijke Wetgeving.
- Indien Medewerkers van Afnemer Persoonsgegevens verwerken, valt de verantwoordelijkheid voor de naleving van de Toepasselijke Wetgeving onder de verantwoordelijkheid van Afnemer.
4. Toegestane Verwerkingen
- TimeKing verbindt zich ertoe enkel Persoonsgegevens te verwerken voor rekening van Afnemer, met als doel het aanbieden van een online boekhoud applicatie voor Afnemer, zoals tevens omschreven in de Hoofdovereenkomst. Verwerking vindt enkel plaats op instructie van Afnemer.
- TimeKing verwerkt de volgende soorten Persoonsgegevens:
- Naam
- Adres
- E-mail
- Telefoonnummer
- Financiële gegevens en bankgegevens
- KvK-nummer
- BTW-nummer
- Klantgegevens - Deze Persoonsgegevens hebben betrekking op de volgende categorieën van Betrokkenen:
- Klanten van Afnemer;
- Voormalig klanten van Afnemer;
- Leveranciers van Afnemer;
- Voormalig leveranciers van Afnemer;
- Debiteuren en crediteuren van Afnemer;
- Betrokkenen in dienst of werkzaam bij/voor Afnemer. - Voor de uitvoering van de Hoofdovereenkomst kan TimeKing de Persoonsgegevens aan de volgende Verwerkingen onderwerpen: Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, combineren, afschermen, wissen of vernietigen.
5. Gegevensverwerking
- TimeKing mag enkel de Persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de Hoofdovereenkomst. TimeKing heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.
- TimeKing zal de Persoonsgegevens uitsluitend bekendmaken aan Medewerkers en/of subverwerkers die (noodzakelijkerwijs) toegang hebben tot de Persoonsgegevens voor de uitvoering van de verplichtingen onder de Hoofdovereenkomst, tenzij anders vereist door de Toepasselijke Wet. TimeKing informeert zijn Medewerkers over de verplichtingen van deze Verwerkersovereenkomst.
- Indien noodzakelijk voor de uitvoering van Hoofdovereenkomst, kan TimeKing overgaan tot het maken van back-ups. De Persoonsgegevens op back-ups genieten dezelfde bescherming als de originele Persoonsgegevens.
- TimeKing verwerkt geen Persoonsgegevens buiten de Europese Economische Ruimte (EER).
6. Subverwerkers
- Afnemer aanvaardt dat TimeKing bij de uitvoering van de Hoofdovereenkomst gebruik kan maken van subverwerkers. Op aanvraag kan informatie over subverwerkers worden opgevraagd door Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan enkel weigeren mits gegronde redenen.
- TimeKing waarborgt dat met ingeschakelde subverwerkers dezelfde waarborgen inzake gegevensbescherming worden overeengekomen, als uiteengezet in deze Verwerkersovereenkomst.
- TimeKing blijft volledig verantwoordelijk ten aanzien van de Verwerkingsverantwoordelijke voor de naleving door de Subverwerker van haar verplichtingen. TimeKing blijft voor Afnemer te allen tijde het aanspreekpunt.
7. Vertrouwelijkheid
- TimeKing is gehouden tot een vertrouwelijkheidplicht ten aanzien van de Persoonsgegevens die in opdracht van Verwerkingsverantwoordelijke worden verwerkt. Deze geheimhoudingsplicht geldt onverkort voor de Medewerkers van TimeKing en voor eventuele Subverwerkers. Ook na het beëindigen van de verwerkersovereenkomst blijft de vertrouwelijkheidplicht voortduren.
- Deze vertrouwelijkheidplicht geldt niet wanneer TimeKing door de toezichthoudende autoriteit, een wettelijke bepaling of een rechterlijk bevel verplicht wordt deze Persoonsgegevens mede te delen, wanneer de informatie openbaar bekend is en wanneer de gegevensverstrekking plaatsvindt in opdracht van Afnemer.
8. Veiligheidsmaatregelen
- TimeKing neemt de vereiste passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen zodat de Verwerking aan de Toepasselijke Wetgeving voldoet en de rechten van Betrokkenen zijn gewaarborgd.
- Het beschermingsniveau wordt op de risico’s afgestemd, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking.
- TimeKing is verantwoordelijk voor het aanbrengen en/of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht of vereist door de wet.
- Indien en voor zover Afnemer daarom uitdrukkelijk verzoekt, kan TimeKing aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens. Eventuele extra kosten komen voor rekening van Opdrachtgever, tenzij anders is overeengekomen.
9. Melding van een Datalek
- Indien TimeKing een Datalek vaststelt, melden wij dit onverwijld en ten laatste aan Afnemer binnen de 48 uur na de vaststelling. In deze melding wordt ten minste het volgende omschreven of meegedeeld:
- De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van Betrokkenen en de Persoonsgegevens in kwestie;
- De waarschijnlijke gevolgen van het Datalek in verband met Persoonsgegevens;
- De maatregelen die TimeKing neemt om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen daarvan te beperken. - TimeKing informeert Afnemer ook na een melding op basis van het vorige artikel over de ontwikkelingen betreffende het vastgestelde Datalek.
- Afnemer beoordeelt zelf of de toezichthoudende autoriteit en/of de Betrokkenen door hem geïnformeerd worden over een ontstane Datalek.
- Partijen dragen beide de door henzelf gemaakte kosten in verband met een melding aan de toezichthoudende autoriteit en/of Betrokkene.
10. Verzoeken van Betrokkenen of overheidsinstanties
- TimeKing assisteert Afnemer in de mate van het mogelijke bij verzoeken van Betrokken. In het geval dat een Betrokkene een dergelijk verzoek richt aan TimeKing, wordt het verzoek doorgestuurd aan Afnemer. Afnemer handelt verzoeken af, tenzij expliciet anders overeengekomen.
- TimeKing staat Afnemer in de mate van het mogelijke bij om verzoeken van overheidsinstanties te beantwoorden.
- Voor de uitvoering van artikel 10.1 en 10.2 worden de door TimeKing gemaakte kosten door Afnemer vergoed, tenzij anders is overeengekomen.
11. Informatieverplichting en Audit
- TimeKing stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
- Afnemer heeft de mogelijkheid om maximaal eenmaal per jaar op eigen kosten een audit of gegevensbeschermingseffectbeoordeling uit te (laten) voeren. TimeKing verleent alle benodigde medewerking aan audits. Door TimeKing gemaakte (indirecte) kosten in verband met een audit worden tevens door Afnemer vergoed.
12. Duur en einde van de overeenkomst
- De Verwerkersovereenkomst treedt in werking op het moment waarop deze door Afnemer is aanvaard en wordt aangegaan voor de duur van de Hoofdovereenkomst.
- Partijen kunnen de Verwerkersovereenkomst niet tussentijds opzeggen.
- De Verwerkersovereenkomst eindigt nadat en voor zover TimeKing alle Persoonsgegevens overeenkomstig artikel 12.4 heeft gewist.
- Bij beëindiging van de Hoofdovereenkomst blijven alle verwerkte Persoonsgegevens 30 dagen beschikbaar voor TimeKing. Na deze periode worden Persoonsgegevens verwijderd. Back-ups en kopieën worden na 90 dagen permanent verwijderd, behoudens wettelijke voorschriften.
- In de terugbezorging van de Persoonsgegevens wordt voorzien, doordat Afnemer tot het moment van beëindiging van de Hoofdovereenkomst de mogelijkheid behoudt om Persoonsgegevens te exporteren uit de TimeKing applicatie door middel van een financiële auditfile.
13. Algemene bepalingen
- Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst. De rechten en verplichtingen die voortvloeien uit de Hoofdovereenkomst en de algemene voorwaarden van TimeKing zijn daarom ook van toepassing op de Verwerkersovereenkomst.
- Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst voor zover de bepalingen specifiek betrekking hebben op de Verwerking van Persoonsgegevens.
- Deze overeenkomst vervangt alle voorgaande of bestaande afspraken tussen de partijen met betrekking tot de verwerking van Persoonsgegevens. Deze overeenkomst kan enkel schriftelijk gewijzigd worden.
- Overeenkomstig de algemene voorwaarden van TimeKing is ook op de Verwerkersovereenkomst het Nederlandse recht van toepassing en geschillen worden aanhangig gemaakt bij de rechtbank Amsterdam.