Verwerkersovereenkomst (DPA)

Deze verwerkersovereenkomst ("Overeenkomst") maakt integraal onderdeel uit van de Algemene Voorwaarden tussen de Klant (hierna: "Verwerkingsverantwoordelijke") en Planvyo, eenmanszaak, KvK 88806642, gevestigd aan de Palestinastraat 300, 6418 HS Heerlen (hierna: "Verwerker"). Deze Overeenkomst regelt de verwerking van persoonsgegevens door Verwerker namens Verwerkingsverantwoordelijke, in overeenstemming met artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

Artikel 1. Onderwerp en duur

1. Verwerker verwerkt persoonsgegevens in opdracht van Verwerkingsverantwoordelijke in het kader van het leveren van de Planvyo-dienst.
2. Deze Overeenkomst geldt voor de duur van de hoofdovereenkomst (het Abonnement) tussen partijen.

Artikel 2. Aard en doel van de verwerking

1. Aard van de verwerking: opslag, raadpleging, wijziging en verwijdering van persoonsgegevens binnen de Planvyo-dienst ten behoeve van personeelsplanning en roosterbeheer.
2. Doel van de verwerking: het mogelijk maken dat Verwerkingsverantwoordelijke zijn werknemers kan inplannen, beschikbaarheid kan beheren en uren kan administreren.

Artikel 3. Categorieën betrokkenen en persoonsgegevens

1. Betrokkenen: werknemers, oproepkrachten, planners en andere medewerkers van Verwerkingsverantwoordelijke.
2. Categorieën persoonsgegevens:
   • Naam
   • E-mailadres
   • Gewerkte en geplande uren
   • Beschikbaarheid
   • Notities die Verwerkingsverantwoordelijke zelf invoert

Verwerkingsverantwoordelijke verwerkt via de Dienst geen bijzondere categorieën persoonsgegevens (zoals gegevens over gezondheid of religie) en geen Burgerservicenummer (BSN). Indien Verwerkingsverantwoordelijke dit toch zou doen, is dat voor zijn eigen rekening en risico.

Artikel 4. Instructies

1. Verwerker verwerkt persoonsgegevens uitsluitend op schriftelijke instructie van Verwerkingsverantwoordelijke. De hoofdovereenkomst en deze Overeenkomst gelden als zodanige instructie.
2. Verwerker informeert Verwerkingsverantwoordelijke onmiddellijk indien een instructie naar zijn mening in strijd is met de AVG of andere privacywetgeving.

Artikel 5. Beveiliging

Verwerker neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking, waaronder:

• Versleutelde verbinding (TLS/HTTPS) voor alle dataverkeer
• Versleutelde opslag van wachtwoorden (hashing)
• Toegangscontrole op basis van rollen en het "least privilege"-principe
• Regelmatige back-ups, opgeslagen bij Hetzner binnen de EU
• Logging van toegang en wijzigingen
• Fysieke beveiliging van onze eigen hardware in colocatie bij Cellnex Amsterdam
• Periodieke evaluatie van beveiligingsmaatregelen

Op verzoek verstrekt Verwerker een overzicht van de actuele beveiligingsmaatregelen.

Artikel 6. Geheimhouding

Verwerker zorgt ervoor dat iedereen die betrokken is bij de verwerking van persoonsgegevens — werknemers, opdrachtnemers en sub-verwerkers — zich heeft verplicht tot geheimhouding of onder een passende wettelijke geheimhoudingsplicht valt.

Artikel 7. Sub-verwerkers

1. Verwerkingsverantwoordelijke geeft Verwerker algemene toestemming om sub-verwerkers in te schakelen. De actuele sub-verwerkers bij ingangsdatum zijn:

Sub-verwerker	Doel	Locatie
Stripe Payments Europe, Ltd.	Verwerking van betalingen	EU
Hetzner Online GmbH	Back-up-opslag	Duitsland (EU)

2. Verwerker informeert Verwerkingsverantwoordelijke minimaal 30 dagen vooraf over het toevoegen of vervangen van sub-verwerkers, waarbij Verwerkingsverantwoordelijke gemotiveerd bezwaar kan maken. Indien partijen niet tot overeenstemming komen, mag Verwerkingsverantwoordelijke de hoofdovereenkomst beëindigen tegen de ingangsdatum van de betreffende wijziging.
3. Verwerker sluit met elke sub-verwerker een overeenkomst die minstens dezelfde verplichtingen bevat als deze Overeenkomst.
4. Google Analytics en Meta Pixel worden niet ingezet voor de verwerking van Klantdata binnen de Dienst; deze zijn uitsluitend actief op de marketingwebsite en alleen bij toestemming van de websitebezoeker.

Artikel 8. Doorgifte buiten de EER

1. Verwerker verwerkt persoonsgegevens binnen de Europese Economische Ruimte (EER). De productie-omgeving en database staan op eigen hardware in colocatie bij Cellnex Amsterdam; back-ups bij Hetzner in Duitsland.
2. Mocht doorgifte buiten de EER noodzakelijk zijn, dan gebeurt dit uitsluitend op basis van een passende waarborg zoals een adequaatheidsbesluit of Standard Contractual Clauses.

Artikel 9. Bijstand aan Verwerkingsverantwoordelijke

1. Verwerker verleent Verwerkingsverantwoordelijke redelijke bijstand bij:
   • het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid);
   • het nakomen van de beveiligings- en meldplicht bij datalekken;
   • het uitvoeren van een Data Protection Impact Assessment (DPIA) waar nodig.
2. Verwerker mag voor bijstand die buiten zijn standaarddienstverlening valt redelijke kosten in rekening brengen.

Artikel 10. Datalekken

1. Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in elk geval binnen 48 uur, nadat een datalek is geconstateerd.
2. De melding bevat minimaal de informatie die Verwerkingsverantwoordelijke nodig heeft om aan zijn eigen meldplicht te voldoen, waaronder:
   • de aard van het datalek;
   • de categorieën en het aantal betrokkenen;
   • de waarschijnlijke gevolgen;
   • de genomen en voorgenomen maatregelen.

Artikel 11. Audit

1. Verwerkingsverantwoordelijke mag maximaal één keer per jaar op eigen kosten een audit laten uitvoeren naar de naleving van deze Overeenkomst, of vaker indien er gegronde aanleiding bestaat.
2. De audit wordt uitgevoerd door een onafhankelijke, deskundige derde die is gebonden aan geheimhouding. De audit wordt minimaal 30 dagen vooraf aangekondigd en vindt plaats tijdens kantoortijden.
3. Verwerker kan aan zijn auditverplichting voldoen door een actueel rapport te overleggen van een erkende certificering (zoals ISO 27001) of een onafhankelijke assessment.

Artikel 12. Beëindiging en teruggave

1. Bij beëindiging van de hoofdovereenkomst heeft Verwerkingsverantwoordelijke gedurende 30 dagen de mogelijkheid om Klantdata te exporteren.
2. Na deze periode verwijdert Verwerker alle persoonsgegevens, tenzij opslag op grond van wet- en regelgeving is vereist.
3. Verwerker verklaart op verzoek schriftelijk dat verwijdering heeft plaatsgevonden.

Artikel 13. Aansprakelijkheid

1. Op de aansprakelijkheid onder deze Overeenkomst zijn de aansprakelijkheidsbepalingen uit de hoofdovereenkomst (Algemene Voorwaarden) van overeenkomstige toepassing.
2. Boetes die door toezichthouders direct aan Verwerker worden opgelegd komen voor rekening van Verwerker, voor zover deze het gevolg zijn van een tekortkoming van Verwerker.

Artikel 14. Toepasselijk recht

Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd.

Artikel 15. Slotbepalingen

1. Bij strijdigheid tussen deze Overeenkomst en de hoofdovereenkomst gaat deze Overeenkomst voor, voor zover het de verwerking van persoonsgegevens betreft.
2. Bij strijdigheid tussen deze Overeenkomst en dwingend recht (waaronder de AVG) gaat het dwingend recht voor.

Contact

Vragen over deze Verwerkersovereenkomst? Mail privacy@planvyo.com.