Verwerkersovereenkomst

Deze Verwerkersovereenkomst (hierna: “Overeenkomst”) is een aanvulling op de hoofdovereenkomst tussen de volgende partijen:

Verwerkingsverantwoordelijke — de Klant (de organisatie die gebruikmaakt van de diensten van Hoeray), hierna: “Klant”.

Verwerker — Hoeray, gevestigd in Nederland, hierna: “Hoeray” of “Verwerker”.

Betrokkenen — de medewerkers van de Klant wiens persoonsgegevens door Hoeray worden verwerkt.

Begrippen die in deze Overeenkomst met een hoofdletter worden geschreven, hebben de betekenis zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Deze Overeenkomst heeft betrekking op de verwerking van persoonsgegevens van medewerkers van de Klant door Hoeray. De duur van de verwerking is gelijk aan de looptijd van de hoofdovereenkomst tussen partijen. Bij beëindiging van de hoofdovereenkomst eindigt ook deze Verwerkersovereenkomst.

Hoeray verwerkt persoonsgegevens van medewerkers van de Klant met als doel het op basis van HR-gegevens automatisch versturen van kaartjes en bloemen bij mijlpalen, waaronder verjaardagen, jubilea, indiensttreding en uitdiensttreding.

De verwerking omvat het opslaan, raadplegen en gebruiken van de persoonsgegevens om de genoemde dienstverlening uit te voeren.

De volgende categorieën persoonsgegevens worden verwerkt:

• Voornaam
• Achternaam
• Geboortedatum
• Adresgegevens (straat, postcode, stad, land)
• Datum in dienst
• Datum uit dienst

De betrokkenen zijn medewerkers in dienst van de Verwerkingsverantwoordelijke (de Klant). Dit omvat huidige medewerkers en, voor zover relevant voor de dienstverlening, medewerkers die recentelijk uit dienst zijn getreden.

Hoeray verbindt zich tot de volgende verplichtingen:

a) Instructies
Hoeray verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, tenzij een wettelijke verplichting anders vereist. In dat geval stelt Hoeray de Klant hiervan op de hoogte vóór de verwerking, tenzij dit wettelijk verboden is.

b) Geheimhouding
Hoeray waarborgt dat alle medewerkers die toegang hebben tot persoonsgegevens gebonden zijn aan een geheimhoudingsplicht.

c) Beveiligingsmaatregelen (Art. 32 AVG)
Hoeray treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:

• TLS-encryptie voor gegevensoverdracht
• Versleutelde opslag van persoonsgegevens (encryption at rest)
• Toegangscontrole op basis van het least-privilege-principe
• Regelmatige back-ups van gegevens

d) Subverwerkers
Hoeray schakelt geen subverwerker in zonder voorafgaande schriftelijke toestemming van de Klant. Hoeray informeert de Klant over voorgenomen wijzigingen in de lijst van subverwerkers, zodat de Klant hiertegen bezwaar kan maken.

e) Bijstand bij verzoeken betrokkenen
Hoeray verleent de Klant bijstand bij het beantwoorden van verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar).

f) Bijstand bij DPIA
Hoeray verleent de Klant bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien dit op grond van de AVG vereist is.

g) Meldplicht datalekken
Hoeray meldt een datalek aan de Klant zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking. De melding bevat ten minste: de aard van het datalek, de categorieën betrokkenen en persoonsgegevens, de waarschijnlijke gevolgen, en de maatregelen die zijn genomen om het datalek te verhelpen.

De Klant geeft hierbij toestemming voor het inschakelen van de volgende subverwerkers:

Hoeray zorgt ervoor dat met elke subverwerker een verwerkersovereenkomst is gesloten die ten minste dezelfde verplichtingen bevat als deze Overeenkomst.

Hoeray draagt persoonsgegevens uitsluitend over naar landen buiten de Europese Economische Ruimte (EER) indien daarvoor een passend beschermingsniveau is gewaarborgd. Dit geschiedt op basis van:

• Een adequaatheidsbesluit van de Europese Commissie (zoals het EU-US Data Privacy Framework); of
• Standard Contractual Clauses (SCC’s) zoals vastgesteld door de Europese Commissie.

De Klant heeft het recht om audits uit te voeren of te laten uitvoeren om de naleving van deze Overeenkomst te controleren, onder de volgende voorwaarden:

• Maximaal één (1) audit per kalenderjaar.
• De audit wordt minimaal dertig (30) dagen van tevoren schriftelijk aangekondigd.
• De kosten van de audit komen voor rekening van de Klant.
• De audit wordt uitgevoerd op een wijze die de bedrijfsvoering van Hoeray zo min mogelijk verstoort.

Bij beëindiging van de hoofdovereenkomst zal Hoeray, naar keuze van de Klant:

• Alle persoonsgegevens retourneren aan de Klant in een gangbaar, machineleesbaar formaat; of
• Alle persoonsgegevens verwijderen binnen dertig (30) dagen na beëindiging.

Hoeray bevestigt de verwijdering schriftelijk. Een uitzondering geldt wanneer Hoeray op grond van toepasselijk recht verplicht is bepaalde gegevens langer te bewaren.

De aansprakelijkheid van partijen onder deze Verwerkersovereenkomst is onderworpen aan de beperkingen en voorwaarden zoals opgenomen in de hoofdovereenkomst (Algemene Voorwaarden van Hoeray). Niets in deze Overeenkomst beperkt de rechten van betrokkenen onder de AVG.

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze Overeenkomst worden voorgelegd aan de bevoegde rechtbank te Amsterdam.