Deze Gegevensverwerkingsovereenkomst ('DPA') is opgenomen in en is onderworpen aan de bepalingen en voorwaarden van de overeenkomst(en) ('Overeenkomst'), gesloten met betrekking tot het gebruik van de software-as-a-service, de TimeMoto Cloud, ('SaaS') diensten inclusief de TimeMoto algemene voorwaarden, tussen TimeMoto B.V., gevestigd en kantoorhoudende te Heliumstraat 14, 2718 SL Zoetermeer, Nederland, hierna ('Verwerker'), en de klantentiteit die partij is bij de overeenkomst hierna ('Verwerkingsverantwoordelijke'); elk hierna ('Partij'), samen ('de Partijen').

OVERWEGENDE DAT:

A.   De Verwerkingsverantwoordelijke heeft het recht om de SaaS te gebruiken voor de duur van de Overeenkomst, waarbij de Verwerker Persoonsgegevens verwerkt namens en voor de Verwerkingsverantwoordelijke;

B.   De Verwerkingsverantwoordelijke en de Verwerker hebben hun afspraken over de verwerking van Persoonsgegevens door de Verwerker, zoals aangegeven door de Verwerkingsverantwoordelijke, bevestigd in deze DPA.

DAAROM KOMEN DE PARTIJEN HET VOLGENDE OVEREEN:

Artikel 1      Definities

1.1   'Persoonsgegevens' verwijzen naar alle informatie die direct of indirect betrekking hebben tot een geïdentificeerde of identificeerbare natuurlijke persoon, zoals een naam, een identificatienummer, locatiegegevens, een online identificatie of een of meer factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.2   'Betrokkene' verwijst naar elke natuurlijke persoon wiens Persoonsgegevens worden verwerkt.

1.3   'Verwerkingsverantwoordelijke' verwijst naar de natuurlijke of rechtspersoon die het doel en de middelen voor de verwerking van Persoonsgegevens vaststelt. In de context van deze DPA is dit de klantentiteit die partij is bij de Overeenkomst.

1.4   'Verwerker' verwijst naar de natuurlijke of rechtspersoon die gegevens verwerkt namens de Verwerkingsverantwoordelijke voor de verwerking. In de context van deze DPA is dit TimeMoto B.V.

1.5     'Subverwerker' betekent elke derde partij die door Verwerker wordt ingeschakeld om te helpen bij het vervullen van de verplichtingen van Verwerker op grond van de Overeenkomst of deze DPA. Subverwerkers omvatten geen werknemers, contractanten of consultanten van de Verwerker.

1.6   'Speciale Categorieën van Persoonsgegevens' verwijst naar Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, en de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over het seksleven of de seksuele geaardheid van een Betrokkene.

1.7   'Beveiligingsincident' betekent elke ongeautoriseerde of onwettige inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, het verlies of de wijziging van, of de ongeautoriseerde bekendmaking van of toegang tot Persoonsgegevens van de Verwerker.

1.8     'Gegevensbeschermingswetgeving' verwijst naar de toepasselijke wetgeving die van toepassing is op de bescherming van Persoonsgegevens en gegevensprivacy. Dit omvat in de eerste plaats de wetgeving die van toepassing is op de verwerking van Persoonsgegevens in de EU en het Verenigd Koninkrijk, zoals de Algemene Verordening Gegevensbescherming, de ePrivacy-richtlijn, de Data Protection Act 2018, de Britse Algemene Verordening Gegevensbescherming, de Privacy- en Elektronische Communicatieverordening 2003, evenals alle nationale wetten die in verband met voornoemde wetgeving zijn geïmplementeerd.

Artikel 2      Onderwerp van de DPA

2.1   Deze DPA is van toepassing op de SaaS-diensten en -activiteiten die door de Verwerker namens de Verwerkingsverantwoordelijke worden uitgevoerd onder de Overeenkomst, die de specifieke SaaS-licentiegegevens, algemene voorwaarden en gebruiksvoorwaarden omvat.

2.2   Deze DPA vervangt alle eerdere afspraken tussen de Partijen over de verwerking van Persoonsgegevens. Waar een bepaling van deze DPA eerdere overeenkomsten over de verwerking van Persoonsgegevens tegenspreekt of wijzigt, prevaleren de bepalingen van deze DPA, tenzij uitdrukkelijk anders bepaald in deze DPA.

2.3   Volgens deze DPA verwerkt de Verwerker Persoonsgegevens namens de Verwerkingsverantwoordelijke en onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. 

2.4   Alle bijlagen zijn aan deze DPA toegevoegd en maken er integraal deel van uit.

2.5   Alle met een hoofdletter geschreven termen die niet in deze DPA zijn gedefinieerd, hebben de betekenis die in de Overeenkomst is vastgelegd.

Artikel 3      Verplichtingen van de Partijen

3.1   De Verwerker verwerkt Persoonsgegevens uitsluitend voor de doeleinden zoals beschreven in de Overeenkomst en zoals nader omschreven in Bijlage A.

3.2   De Verwerker zal Persoonsgegevens uitsluitend verwerken in overeenstemming met en volgens strikte instructies van de Verwerkingsverantwoordelijke. De Verwerker heeft geen onafhankelijke controle over de Persoonsgegevens die hij verwerkt. Het is de Verwerker niet toegestaan Persoonsgegevens te verwerken ten behoeve van zichzelf, derden of voor andere doeleinden, tenzij met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke of indien wettelijk vereist. Om twijfel te voorkomen is deze DPA niet van toepassing op gevallen waarin TimeMoto B.V. onafhankelijk de verantwoordelijke voor de verwerking is.

3.3   De Verwerkingsverantwoordelijke kan de instructies geven die in deze DPA en de Overeenkomst zijn voorzien, evenals verdere instructies. Alle instructies worden schriftelijk gegeven, tenzij urgentie of andere specifieke omstandigheden een andere (bijv. mondelinge, elektronische) vorm vereisen. Specificaties en/of nadere instructies die in een andere vorm dan schriftelijk worden verstrekt, dienen onverwijld schriftelijk door de Verwerkingsverantwoordelijke te worden bevestigd. 

3.4    De Verwerkingsverantwoordelijke zal geen Speciale Categorieën van Persoonsgegevens aan de Verwerker verstrekken (of laten verstrekken) voor verwerking onder de DPA. De Verwerker is op geen enkele wijze aansprakelijk voor dergelijke Persoonsgegevens, hetzij in verband met een Beveiligingsincident of anderszins.

3.5    De Verwerkingsverantwoordelijke is verantwoordelijk voor het beoordelen of de gegevensverwerking legitiem is en gebaseerd op geldige rechtsgronden, en voor het waarborgen van de rechten van de Betrokkenen.

Artikel 4      Vertrouwelijkheid

4.1   De Verwerker zal Persoonsgegevens vertrouwelijk behandelen en op geen enkele wijze bekendmaken aan zijn werknemers en/of derden, behalve wanneer, (i) het noodzakelijk is dat werknemers en/of derden kennis moeten hebben van Persoonsgegevens ten behoeve van de uitvoering van de Overeenkomst, of (ii) het wettelijk verplicht is.

4.2   De Verwerker zal zijn werknemers en/of derden slechts toegang verlenen tot Persoonsgegevens voor zover dit noodzakelijk is voor het uitvoeren van de verwerking die noodzakelijk is voor de uitvoering van de Overeenkomst. De Verwerker zorgt ervoor dat alle personen die bevoegd zijn om Persoonsgegevens te verwerken, onder een passende wettelijke of contractuele geheimhoudingsplicht vallen.

Artikel 5      Subverwerkers

5.1   De Verwerkingsverantwoordelijke geeft algemene toestemming aan de Verwerker voor het toevoegen of vervangen van bestaande Subverwerkers onder de voorwaarden die in deze DPA zijn vastgelegd. De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van Subverwerkers die Persoonsgegevens zullen verwerken onder deze Overeenkomst. De Verwerkingsverantwoordelijke kan bezwaar maken tegen dergelijke wijzigingen, maar het bezwaar mag niet onredelijk zijn.

5.2    De Verwerker zal elke Subverwerker zorgvuldig kiezen met bijzondere aandacht voor zijn goede reputatie en ervaring met de levering van de uitbestede diensten en de geschiktheid van zijn technische en organisatorische maatregelen. De Verwerker blijft verantwoordelijk voor enig handelen of nalaten van zijn Subverwerkers op dezelfde wijze als voor zijn eigen handelen en nalaten hieronder. De Verwerker zal met alle toegestane Subverwerkers een schriftelijke gegevensverwerkingsovereenkomst aangaan. De Verwerker zal ervoor zorgen dat alle Subverwerkers contractueel gebonden zijn aan dezelfde of hogere verplichtingen met betrekking tot de verwerking als waaraan Verwerker gebonden is onder deze DPA.

5.3   Wanneer tijdens de looptijd van deze DPA een nieuwe Subverwerker wordt ingeschakeld, zal de Verwerker, binnen een redelijke termijn voordat de nieuwe Subverwerker Persoonsgegevens van de Verwerkingsverantwoordelijke verwerkt, de Verwerkingsverantwoordelijke informeren over de indienstneming (met inbegrip van de naam en locatie van de relevante Subverwerker en de activiteiten die deze zal uitvoeren) door contact op te nemen met de accounteigenaar(s) van de Verwerkingsverantwoordelijke, zoals vermeld in de account die door de Verwerkingsverantwoordelijke is ingesteld bij de registratie van het TimeMoto-product.

5.4    De Verwerkingsverantwoordelijke kan binnen vijf (5) kalenderdagen na ontvangst van de kennisgeving schriftelijk bezwaar maken tegen de aanstelling van een nieuwe Subverwerker door de Verwerker, mits dit bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. In een dergelijk geval zullen de partijen dergelijke bezwaren te goeder trouw bespreken om tot een commercieel redelijke oplossing te komen. Indien een dergelijke oplossing niet kan worden bereikt, zal de Verwerker, naar eigen goeddunken, ofwel een dergelijke Subverwerker niet aanstellen, ofwel de Verwerkingsverantwoordelijke toestaan om de betreffende dienst op te schorten of te beëindigen in overeenstemming met de beëindigingsbepalingen in de Overeenkomst zonder aansprakelijkheid jegens een van de partijen (maar onverminderd eventuele vergoedingen die de Verwerkingsverantwoordelijke vóór de opschorting of beëindiging heeft betaald).

5.5    De door de Verwerker ingeschakelde Subverwerkers zijn opgenomen in Bijlage B van deze DPA.

Artikel 6      Beveiligingsincident

6.1   De Verwerker heeft technische en organisatorische beveiligingsmaatregelen geïmplementeerd zoals beschreven in Bijlage C, met inbegrip van procedures gericht op het redelijkerwijs opsporen van en handelen naar aanleiding van Beveiligingsincidenten, ter waarborging van een passend beschermingsniveau voor de verwerking van Persoonsgegevens binnen de reikwijdte van de Overeenkomst.

6.2   Bij ontvangst van informatie over een (potentieel) Beveiligingsincident van Persoonsgegevens van de Verwerkingsverantwoordelijke, zal de Verwerker de Verwerkingsverantwoordelijke onverwijld en zonder onnodige vertraging op de hoogte stellen via de accounteigenaar(s) van de Verwerkingsverantwoordelijke.

6.3.   De in paragraaf 6.2 genoemde kennisgeving bevat, voor zover beschikbaar, de volgende informatie: 

1.      De dag en het tijdstip waarop de Verwerker op de hoogte is gesteld van het Beveiligingsincident;

2.      De aard van het Beveiligingsincident;

3.      Het moment, of het meest waarschijnlijke moment of de meest waarschijnlijke periode, waarop het Beveiligingsincident heeft plaatsgevonden en hoe lang het heeft geduurd;

4.      De reeks Persoonsgegevens van de Verwerkingsverantwoordelijke die (mogelijk) betrokken zijn bij het Beveiligingsincident;

5.      De mogelijke gevolgen/risico's van het Beveiligingsincident voor de privacy van de Betrokkenen;

6.      Het (de) contactpunt(en) waar meer informatie over het Beveiligingsincident kan worden verkregen;

7.      De aanbevolen maatregelen om de negatieve gevolgen van het Beveiligingsincident te beperken;

8.      De maatregelen die de Verwerker heeft genomen of voorstelt te nemen om het Beveiligingsincident te verhelpen.

9.      Alle andere informatie die relevant is om het Beveiligingsincident te beoordelen.

6.4   Ten aanzien van elk Beveiligingsincident als bedoeld in paragraaf 6.2 hierboven, zal de Verwerker alle bijstand verlenen aan de Verwerkingsverantwoordelijke die redelijkerwijs van de Verwerker kan worden verwacht, waaronder het verstrekken van adequate informatie en ondersteuning met betrekking tot het verstrekken van informatie als bedoeld in paragraaf 6.3 hierboven, onderzoeken van autoriteiten, het beperken van de impact van een Beveiligingsincident op de privacy van de Betrokkene(n) en/of het beperken van de schade van de Verwerkingsverantwoordelijke als gevolg van het Beveiligingsincident.

6.5    De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor het naleven van wetten inzake het melden van Beveiligingsincidenten of andere incidenten die van toepassing zijn op de Verwerkingsverantwoordelijke en voor het nakomen van eventuele meldingsverplichtingen van derden met betrekking tot een Beveiligingsincident.

Artikel 7      Persoonsgegevens exporteren

7.1   De Verwerker of een door de Verwerker ingeschakelde Subverwerker zal Persoonsgegevens uitsluitend overdragen aan landen buiten de Europese Economische Ruimte (EER) en het Verenigd Koninkrijk, inclusief voor de verstrekking van Persoonsgegevens, in overeenstemming met de normen voor gegevensbescherming zoals uiteengezet in de Wetgeving inzake Gegevensbescherming.

Artikel 8      Recht op controle

8.1   De Verwerker zal aan de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die redelijkerwijs nodig is om de naleving van deze DPA aan te tonen en zal controles toestaan en eraan meewerken, met inbegrip van inspecties door de Verwerkingsverantwoordelijke om de naleving van deze DPA te beoordelen.

8.2   De Verwerkingsverantwoordelijke draagt er zorg voor dat zijn vertegenwoordigers die de controle uitvoeren, alle redelijke inspanningen leveren om elke verstoring van de activiteiten van de Verwerker met betrekking tot de ondersteuning van de controle door de Verwerker tot een minimum te beperken.

8.3    Er mag niet vaker dan eenmaal per jaar om ondersteuning bij controles worden gevraagd of wanneer dit wordt vereist door de wetgeving inzake gegevensbescherming of door een bevoegde toezichthoudende autoriteit.

8.4   De Verwerkingsverantwoordelijke is verantwoordelijk voor alle kosten die voortvloeien uit of in verband staan met de controle, tenzij een dergelijke controle vaststelt dat de Verwerker niet voldoet aan zijn informatiebeveiligingsverplichtingen op grond van de wetgeving inzake gegevensbescherming of op grond van deze DPA, in welk geval de Verwerker kan delen in de redelijke kosten na overleg met de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke kan een controlerapport opstellen met een samenvatting van de bevindingen en observaties, en dit behandelen als vertrouwelijke informatie die niet aan derden bekend mag worden gemaakt, behalve wanneer dit strikt noodzakelijk is, bijvoorbeeld aan de juridisch adviseur van de Verwerkingsverantwoordelijke, consultants, functionaris voor gegevensbescherming, werknemers, gelieerde ondernemingen of indien vereist door de wet of een bevoegde toezichthoudende autoriteit, of met toestemming van de Verwerker voor de bekendmaking.

8.5   De Verwerker is niet verplicht om de Verwerkingsverantwoordelijke of een aangestelde auditor informatie te verstrekken of toegang te verlenen:

1.      Alle (persoons)gegevens die betrekking hebben op een andere klant van de Verwerker;

2.      Interne, bedrijfsgevoelige of financiële informatie van de Verwerker; of

3.      Alle informatie die, naar het redelijke oordeel van de Verwerker, de veiligheid van de Verwerker of de bedrijfsruimten van de Verwerker in gevaar kan brengen, of ertoe kan leiden dat de Verwerker zijn wettelijke of contractuele verplichtingen niet nakomt.

Artikel 9      Inspectie of controles door overheidsinstanties

9.1   De Verwerker zal zijn relevante verwerkingssystemen, faciliteiten en ondersteunende documentatie onderwerpen aan een inspectie of controle met betrekking tot de Verwerking door een bevoegde overheidsinstantie indien dit noodzakelijk is om te voldoen aan een wettelijke verplichting. In het geval van een inspectie of controle verleent elke Partij alle redelijke bijstand aan de andere Partij bij het beantwoorden van die inspectie of controle. Als een bevoegde overheidsinstantie de Verwerking met betrekking tot de DPA onwettig acht, zullen de Partijen onmiddellijk actie ondernemen om ervoor te zorgen dat in de toekomst de toepasselijke wetgeving inzake gegevensbescherming wordt nageleefd.

Artikel 10     Vragen over samenwerking en rechten van Betrokkenen

10.1  De Verwerkingsverantwoordelijke voor de verwerking is primair verantwoordelijk voor het behandelen van en reageren op verzoeken van Betrokkenen. De Verwerkingsverantwoordelijke is verplicht om vast te stellen of een Betrokkene al dan niet het recht heeft om dergelijke rechten van de Betrokkene uit te oefenen zoals uiteengezet in de Gegevensbeschermingswetgeving en om aan de Verwerker specificaties te geven in hoeverre de in paragraaf 10.3 van dit artikel vermelde bijstand vereist is.

10.2 Als onderdeel van de dienstverlening in het kader van de Overeenkomst, voorziet de Verwerker de Verwerkingsverantwoordelijke van een aantal selfservicefuncties, die de Verwerkingsverantwoordelijke kan gebruiken om zonder extra kosten de Persoonsgegevens van de eindgebruiker op te vragen, te corrigeren, te verwijderen of het gebruik ervan te beperken. Daarnaast zal de Verwerker redelijke technische en organisatorische maatregelen nemen om Verwerkingsverantwoordelijke te helpen bij het nakomen van de verplichting om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene zoals beschreven in de Wetgeving inzake gegevensbescherming, voor zover dit mogelijk is. 

10.3 De Verwerker zal, voor zover mogelijk, snel en volledig medewerking verlenen, uiterlijk binnen tien (10) werkdagen, aan vragen van de Verwerkingsverantwoordelijke met betrekking tot de Verwerking onder de DPA, met inbegrip van, maar niet beperkt tot, klachten, verzoeken of vragen ontvangen van Betrokkenen. De Verwerker zal niet rechtstreeks antwoorden aan Betrokkenen, tenzij de Verwerkingsverantwoordelijke hiertoe specifiek opdracht heeft gegeven.

10.4 Indien de Verwerkingsverantwoordelijke aanvullende of gewijzigde technische en organisatorische maatregelen nodig heeft om te reageren op de rechten van Betrokkenen, die verder gaan dan de assistentie die de Verwerker verleent op grond van paragraaf 10.2 en 10.3 hierboven, zal de Verwerker de Verwerkingsverantwoordelijke informeren over de kosten om dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen te implementeren. Zodra de Verwerkingsverantwoordelijke heeft bevestigd dergelijke kosten te zullen dragen, zal de Verwerker dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen ten uitvoer leggen om de Verwerkingsverantwoordelijke bij te staan bij het beantwoorden van verzoeken van Betrokkenen.

Artikel 11     Impactbeoordelingen gegevensbescherming

11.1 De Verwerker zal de Verwerkingsverantwoordelijke assisteren bij zijn verplichting om een impactbeoordeling gegevensbescherming en voorafgaand overleg met toezichthoudende autoriteiten uit te voeren die betrekking heeft op de diensten die de Verwerker aan de Verwerkingsverantwoordelijke verleent onder deze DPA door middel van het verstrekken van de noodzakelijke en beschikbare informatie aan Verwerkingsverantwoordelijke. Indien de Verwerker hierdoor extra kosten moet maken, zullen partijen dit te goeder trouw bespreken en hierover tot overeenstemming komen.

Artikel 12     Verzoeken van overheidsinstanties

12.1  De Verwerker zal alleen gevolg geven aan een verzoek van een overheidsinstantie om (toegang tot) Persoonsgegevens te verstrekken indien dit wettelijk vereist is en het verzoek voldoet aan de wettelijke vereisten, waaronder de beginselen van proportionaliteit en subsidiariteit.

12.2  De Verwerker informeert de Verwerkingsverantwoordelijke over een verzoek van een overheidsinstantie om Persoonsgegevens te verwerken, tenzij het verzoek van de overheidsinstantie een dergelijke kennisgeving uitdrukkelijk verbiedt. 

Artikel 13     Aansprakelijkheid en vrijwaring 

13.1 Elke Partij is aansprakelijk voor zijn verplichtingen zoals uiteengezet in deze DPA en in de Gegevensbeschermingswetgeving. Elke aansprakelijkheid die voortvloeit uit of verband houdt met een schending van de verplichtingen van deze DPA of onder de Gegevensbeschermingwetgeving, volgt en wordt beheerst door de aansprakelijkheidsbepalingen die zijn uiteengezet in, of anderszins van toepassing zijn op, de Overeenkomst, tenzij anders bepaald in deze DPA. Als de aansprakelijkheid wordt beheerst door de aansprakelijkheidsbepalingen die zijn uiteengezet in, of anderszins van toepassing zijn op, de Overeenkomst, wordt ten behoeve van het berekenen van aansprakelijkheidslimieten en/of het bepalen van de toepassing van andere aansprakelijkheidsbeperkingen, de aansprakelijkheid die onder deze DPA ontstaat geacht te ontstaan onder de betreffende Overeenkomst.

13.2  De Verwerkingsverantwoordelijke zal de Verwerker verdedigen tegen, schadeloosstellen voor en vrijwaren van alle claims, schade, aansprakelijkheden, beoordelingen, verliezen, kosten, administratieve boetes en andere uitgaven (met inbegrip van, maar niet beperkt tot, redelijke honoraria van advocaten en juridische kosten) die voortvloeien uit of het gevolg zijn van enige claim, bewering, eis, rechtszaak, actie, bevel of enige andere procedure door een derde partij (met inbegrip van toezichthoudende autoriteiten) die voortvloeit uit of verband houdt met de schending van de verplichtingen van de Verwerkingsverantwoordelijke onder deze DPA of de Gegevensbeschermingswetgeving.

Artikel 14     Teruggave en vernietiging van Persoonsgegevens

14.1  Na beëindiging van de Overeenkomst kan de Verwerkingsverantwoordelijke de Persoonsgegevens inclusief eventuele kopieën daarvan naar eigen keuze downloaden. De Verwerkingsverantwoordelijke kan de Verwerker verzoeken de Persoonsgegevens veilig te vernietigen, behalve voor zover de Overeenkomst of de Gegevensbeschermingwetgeving anders bepaalt. In dat geval zal de Verwerker de Persoonsgegevens niet langer verwerken, behalve voor zover vereist door de Overeenkomst of de Gegevensbeschermingswetgeving. De Verwerker biedt de Verwerkingsverantwoordelijke een aantal selfservicefuncties die de Verwerkingsverantwoordelijke kan gebruiken om zijn Persoonsgegevens zelfstandig te extraheren.

14.2 Indien de Verwerkingsverantwoordelijke aanvullende of gewijzigde technische en organisatorische maatregelen nodig heeft om Persoonsgegevens te ontvangen, die verder gaan dan de redelijke assistentie die door de Verwerker wordt verleend op grond van paragraaf 14.1 hierboven, zal de Verwerker de Verwerkingsverantwoordelijke informeren over de kosten om dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen te implementeren. Zodra de Verwerkingsverantwoordelijke heeft bevestigd dergelijke kosten te zullen dragen, zal de Verwerker dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen treffen om de Verwerkingsverantwoordelijke te helpen een kopie van zijn Persoonsgegevens te ontvangen.

14.3  Indien de Verwerkingsverantwoordelijke niet binnen dertig (30) dagen na beëindiging van de DPA de Verwerker verzoekt de Persoonsgegevens te retourneren of te vernietigen, kan de Verwerker de Persoonsgegevens vernietigen. In een dergelijk geval zal de Verwerker de Persoonsgegevens uiterlijk binnen negentig (90) dagen na beëindiging van de DPA vernietigen.

Artikel 15     Duur en beëindiging

15.1  Deze DPA treedt in werking zodra de Verwerker begint met de verwerking van Persoonsgegevens namens de Verwerkingsverantwoordelijke na aanvaarding van de DPA.

15.2  Deze DPA is van kracht zolang de Overeenkomst voortduurt. Bij beëindiging van de Overeenkomst eindigt deze DPA van rechtswege.

15.3  Alle verplichtingen onder deze DPA die volgens hun aard bedoeld zijn om na beëindiging van de Overeenkomst van kracht te blijven, blijven van toepassing na beëindiging.

Artikel 16     Wijzigingen en heronderhandelingen

16.1  Verwerker kan van tijd tot tijd wijzigingen aanbrengen in deze voorwaarden. Als er wijzigingen worden aangebracht, zal de Verwerkingsverantwoordelijke hiervan op de hoogte worden gesteld via de accounteigenaar(s) van de Verwerkingsverantwoordelijke of door een melding in het product of een ander praktisch communicatiekanaal aan te bieden. Tenzij Verwerker anders vermeldt in de kennisgeving, zullen de gewijzigde voorwaarden van kracht zijn vanaf het moment dat de Overeenkomst van de Verwerkingsverantwoordelijke wordt verlengd. Verlenging van de Overeenkomst bevestigt dat de Verwerkingsverantwoordelijke de wijzigingen accepteert. Indien de Verwerkingsverantwoordelijke niet akkoord gaat met de gewijzigde voorwaarden, dient hij het gebruik van de diensten van de Verwerker te staken door de Overeenkomst te beëindigen in overeenstemming met de beëindigingsrechten.

16.2  De Partijen stemmen hierbij bij voorbaat in met wijzigingen in de DPA als gevolg van wijzigingen in het wettelijk kader voor de bescherming van Persoonsgegevens die strikt noodzakelijk zijn om te voldoen aan de relevante wet- en regelgeving of de interpretatie daarvan of het beleid van de autoriteiten.

Artikel 17     Contactpersonen

17.1  Voor vragen of klachten met betrekking tot deze DPA kan contact worden opgenomen met de klantenservice van de Verwerker via de onderstaande contactgegevens:

Rol: Klantenservice

Contactpagina: https://www.timemoto.com/contact-sales  

Artikel 18     Diversen

18.1  Op deze DPA is Nederlands recht van toepassing.

18.2  Geschillen die voortvloeien uit deze DPA worden door uitsluiting voorgelegd aan de instantie die bevoegd is om kennis te nemen van geschillen die voortvloeien uit de Overeenkomst. Bij gebreke van een dergelijke instantie is de in de Overeenkomst overeengekomen bevoegde rechter exclusief bevoegd.

18.3  Eventuele standaardvoorwaarden van de Verwerkingsverantwoordelijke zijn niet van toepassing op deze DPA en worden expliciet verworpen door de Verwerker. In geval van tegenstrijdigheid tussen deze DPA en de Overeenkomst, prevaleert de DPA.

BIJLAGE A - INFORMATIE OVER DE VERWERKING

A.1. De Verwerker heeft een tijdregistratieoplossing met de naam TimeMoto gedefinieerd, ontworpen en ontwikkeld met behulp van intelligente klokkensystemen. De oplossing maakt eenvoudig en veilig klokken van tijd mogelijk met een bijbehorende TimeMoto Cloud waarmee organisaties real-time gegevens kunnen beheren, waaronder werkroosters, overuren en afwezigheden. Het doel of de doelen van de verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke is:

-            Eindgebruikersaccounts aanmaken en instellen.

-            Tijdregistraties en planning.

-            Afwezigheid en overwerk registreren.

-            Rapporten genereren.

A.2. De verwerking omvat de volgende soorten Persoonsgegevens:

·      Met betrekking tot TimeMoto-klokken

Vingerafdruk en gezicht ID, pin, badge ID.

TimeMoto B.V. verwerkt deze gegevens niet in de hoedanigheid van de Verwerker en valt daarom buiten het toepassingsgebied van deze DPA. TimeMoto heeft geen toegang tot deze gegevens.

·      Over TimeMoto Cloud

Voor- en achternaam, tijdregistraties, e-mailadres, accountwachtwoord, Time Clock-eindgebruiker ID, tijdzone, taal, personeelsnummer / tweede personeelsnummer, badgenummer (nummer van de badge die de eindgebruiker kan gebruiken voor identificatie bij de Time Clock(s)), status eindgebruiker, activiteitsdata, salarissjabloon (met alle informatie over de beloning van de werknemer en overwerkregels), werkrooster, uurtarief, vakantie/vakantieprofiel, andere redenen van verlof (bijv. ziekte) zonder dat specifieke informatie over ziekte of gezondheid wordt vrijgegeven, Flexibank met vermelding van opgebouwd verlof, lid noodteam (leden van het noodteam hebben de bevoegdheid om brandoproepen te activeren om het personeel van de Verwerkingsverantwoordelijke ter plaatse te waarschuwen in geval van nood), afdeling, locaties waar werknemers tijdklokken kunnen gebruiken om hun werktijd te registreren, eindgebruikersbevoegdheden, locatie voor in- en uitklokken.

A.3. De verwerking omvat de volgende categorieën van Betrokkenen:

-            Medewerkers van de Verwerkingsverantwoordelijke;

-            Consultants, interim professionals, stagiaires of andere personen die door de Verwerkingsverantwoordelijke toegang kunnen worden verleend.

BIJLAGE B - SUBVERWERKERS

Naam:          Microsoft Azure

Rol:              Subverwerker

Activiteiten: De hostingservice voor klanten in de EU en het Verenigd Koninkrijk bevindt zich in de EU (Nederland).

Naam:          Utilus

Rol:              Subverwerker

Activiteiten: Productontwikkeling en onderhoud van de software en de infrastructuur.

Naam:          Sendgrid

Rol:              Subverwerker

Activiteiten: Verzenden van transactie-e-mails (toegang tot e-mailgegevens) zoals activering, wachtwoordreset, rapportage van meldingen.

Naam:          Hibernating Rhinos

Rol:              Subverwerker

Activiteiten: Databaseservices.

BIJLAGE C - TECHNISCHE EN ORGANISATORISCHE VEILIGHEIDSMAATREGELEN

De Verwerker neemt passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen, de implementatiekosten en de aard, de omvang, de context en de verwerkingsdoelen bieden een passend beveiligingsniveau. De maatregelen zijn ook gericht op het voorkomen van het onnodig verzamelen en verder verwerken van Persoonsgegevens. De beveiligingsmaatregelen omvatten het volgende:  

A.   Vertrouwelijkheid van Persoonsgegevens: 

1.    Maatregelen voor fysieke toegang tot de hardware 

De applicaties van de Verwerker worden gehost in streng beveiligde datacenters in de EU (Nederland). De datacenters zijn uitgerust met strenge fysieke toegangscontroles zoals: 

-       Fysieke toegang tot de datacenters wordt alleen verleend aan aangewezen en geregistreerd personeel van klanten en datacenters;

-       Bezoekers moeten vooraf worden aangemeld bij het management van het datacenter voor toestemming;

-       Bezoekers van de datacenters moeten zich identificeren met een geldig identiteitsbewijs en een persoonlijke toegangsbadge op naam;

-       Van alle bezoeken wordt een logboek bijgehouden;

-       De racks waarin de servers zijn gemonteerd, zijn vergrendeld. Sleutelbeheer is aanwezig;

-       Inbraakpreventiemaatregelen en verbinding met alarmcentrale.

2.    Maatregelen voor fysieke toegang tot het kantoor van de externe IT-partner van de Verwerker 

-       Bezoekers moeten vooraf worden aangekondigd bij het management van de IT-partner;

-       Bezoekers op het terrein van de IT-partner moeten te allen tijde worden begeleid door een personeelslid van de IT-partner;

-       Er worden geen productiegegevens bewaard bij de IT-partner; 

-       Inbraakpreventiemaatregelen en verbinding met alarmcentrale.

3.    Maatregelen voor toegangscontrole op serverniveau 

-       Voor toegang tot servers via VPN (Virtual Private Network) zijn individuele referenties nodig en het VPN is alleen toegankelijk op klantsystemen in een speciaal netwerk waarvoor een wachtwoordgebaseerde netwerkverificatie vereist is. Alleen geautoriseerd personeel heeft de benodigde referenties en er bestaat een autorisatiematrix;       

-       VPN-beheer loopt via een apart netwerkbeheersysteem dat alleen toegankelijk is voor bevoegd personeel. Er is een autorisatiematrix;      

-       Toegang tot de servers wordt bijgehouden en is traceerbaar.

4.    Maatregelen voor toegangscontrole op gegevensniveau  

-       Toegang tot gegevens vereist autorisatiesleutels, die worden beheerd via een autorisatiematrix;

-       Softwareversiebeheer en DTAP-protocollen (Design, Test, Accept & Production) zijn aanwezig.

5.    Maatregelen voor kopieermethoden en beveiliging 

-       Alle back-ups worden versleuteld en op een aparte locatie bewaard;

-       Alle wachtwoorden en referenties worden veilig versleuteld en opgeslagen met een duidelijke structuur en hiërarchie en zijn alleen toegankelijk voor bevoegd personeel;

-       Alle relevante personeelsleden hebben een geheimhoudingsverklaring ondertekend en hebben ingestemd met de gedragscode voor gegevensbeveiliging en -integriteit;

-       Alle servers hebben geldige SSL-certificaten;

-       Veilige VPN-tunnels worden gehasht met versleutelingsstandaarden zoals AES256 en/of 3DES en PFS (zie A.3);

-       Firewalls zijn aanwezig om de servers te beschermen tegen aanvallen van buitenaf;

-       Biometrische gegevens worden altijd veilig versleuteld in gehashte tekststrings, die niet herleidbaar zijn naar individuele biometrische gegevens. Er worden geen stamgegevens van biometrische gegevens bewaard op producten van de TimeMoto-suite;

-       Alleen bepaalde rollen hebben de rechten binnen het systeem om profielen te verwijderen;

-       Een activiteitenlogboek van wie de verwijdering van een profiel heeft geïnitieerd; in situaties waarin een back-up opzettelijk en mogelijk kwaadwillig is verwijderd, zou het systeem een logboek toestaan van wie de verwijdering heeft uitgevoerd.

B.   Integriteit van gegevens: 

-        De interfaces tussen terminals en servers zijn beveiligd met HTTPS-verbindingen;

-        Alleen die persoonsgegevens worden verwerkt die nodig zijn voor een goede uitvoering van het doel van de overeenkomst (voor- en achternamen, e-mailadressen en tijdregistratiegegevens (aanwezigheid, afwezigheid, projecttijden, vrije dagen, vakantie, verzuim));

-        VPN-tunnels om toegang te krijgen tot servers (zie A.3);

-        Er zijn traceerbare logboeken voor terminal-naar-servercommunicatie, servertoegang en databasetoegang.

C.   Beschikbaarheid van gegevens: 

-        Servers hebben een uptime van 99,95%;

-        Periodieke testherstellingen van back-ups worden uitgevoerd;

-        Redundante hardware en verbindingen zijn aanwezig;

-        Datacenters zijn uitgerust met verschillende UPS-systemen (Uninterruptible Power Supplies) en dieselgeneratoren om stroom te garanderen.