Verwerkersovereenkomst TimeKing B.V.

Deze Verwerkersovereenkomst (hierna: ‘Overeenkomst’) regelt de verwerking van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG).

1. Algemeen

1.1. Uitgangspunten

• Dienstverlening: TimeKing stelt software beschikbaar in de vorm van Software-as-a-Service (SaaS). In dat kader verwerkt TimeKing persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke.
• Rechtsgrondslag: De Verwerkingsverantwoordelijke staat ervoor in dat de verwerking van persoonsgegevens rechtmatig is, dat deze op rechtmatige wijze zijn verkregen en dat er een rechtsgrond aanwezig is voor de verwerking.
• Rol partijen: De Afnemer is Verwerkingsverantwoordelijke in de zin van de AVG. TimeKing treedt op als Verwerker.
• Doelbinding: Persoonsgegevens worden uitsluitend verwerkt binnen het kader van de overeengekomen dienstverlening en niet voor andere doeleinden.
• Beveiligingsmaatregelen: Conform artikel 32 AVG treffen zowel Verwerkingsverantwoordelijke als TimeKing passende technische en organisatorische maatregelen. De door TimeKing geïmplementeerde maatregelen zijn opgenomen in Bijlage 1.
• Meldplicht datalekken: De Verwerkingsverantwoordelijke is ingevolge artikelen 33 en 34 AVG verantwoordelijk voor melding van datalekken aan de Autoriteit Persoonsgegevens en, indien nodig, aan betrokkenen.
• Ondersteuning door TimeKing: TimeKing zal de Verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 24 uur na ontdekking informeren over beveiligingsincidenten en datalekken, zodat de Verwerkingsverantwoordelijke aan zijn meldplicht kan voldoen.
• Afspraken vastlegging: Conform artikel 28 lid 3 AVG leggen Partijen al hun afspraken omtrent de verwerking van persoonsgegevens vast in deze Overeenkomst, die zelfstandig geldt en niet afhankelijk is van andere overeenkomsten.

2. Beveiliging

2.1. TimeKing treft technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang of onrechtmatige verwerking. Deze maatregelen zijn opgenomen in Bijlage 1: Beveiligingsmaatregelen en melding van beveiligingsincidenten. Bij het vaststellen van de maatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van implementatie.

2.2. De beveiligingsmaatregelen omvatten in ieder geval:

• de versleuteling, pseudonimisering en anonimiseren van Persoonsgegevens;
• het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten permanent te waarborgen;
• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen;
• procedures om de effectiviteit van de technische en organisatorische maatregelen regelmatig te testen, te beoordelen en te evalueren.

2.3. Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico's van de Verwerking.

2.4. Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het actuele risico afgestemd beveiligingsniveau. Verwerker zal Verwerkingsverantwoordelijke informeren als een van de beveiligingsmaatregelen substantieel wijzigt.

2.5. De Verwerkingsverantwoordelijke heeft het recht toezicht te houden op de naleving van de beveiligingsmaatregelen door TimeKing. Op verzoek van de Verwerkingsverantwoordelijke zullen Partijen afspraken maken over de wijze waarop een inspectie wordt uitgevoerd. De kosten van een inspectie zijn voor rekening van de Verwerkingsverantwoordelijke. Een kopie van het inspectierapport wordt aan TimeKing verstrekt.

2.6. TimeKing slaat Persoonsgegevens uitsluitend op en verwerkt deze binnen de Europese Economische Ruimte (EER), tenzij sprake is van een wettelijke verplichting of voorafgaande algemene toestemming van de Verwerkingsverantwoordelijke. In dat geval zal TimeKing passende waarborgen treffen conform de toepasselijke wetgeving. De subverwerkers en opslaglocaties zijn opgenomen in Bijlage 3.

2.7. Voor zover dit binnen haar invloedsfeer ligt, verleent TimeKing ondersteuning aan de Verwerkingsverantwoordelijke bij de naleving van diens verplichtingen onder de AVG, in het bijzonder bij verzoeken van betrokkenen inzake inzage, rectificatie, verwijdering en dataportabiliteit. Eventuele redelijke kosten die hiermee gemoeid zijn, kunnen door TimeKing worden doorbelast aan de Verwerkingsverantwoordelijke.

3. Beveiligingsincidenten en datalekken

3.1. Onder een datalek of inbreuk in verband met Persoonsgegevens wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot, doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, zoals bedoeld in artikel 4 lid 12 AVG.

3.2. TimeKing informeert de Verwerkingsverantwoordelijke onverwijld en in ieder geval uiterlijk binnen 24 uur na ontdekking van een beveiligingsincident of datalek dat betrekking heeft op Persoonsgegevens die voor de Verwerkingsverantwoordelijke worden verwerkt.

3.3. Deze melding bevat in ieder geval, voor zover op dat moment bekend:

• een omschrijving van de aard van het incident of datalek, inclusief – indien mogelijk – de categorieën en aantallen betrokkenen en Persoonsgegevens;
• de waarschijnlijke gevolgen van het incident of datalek;
• de maatregelen die zijn of zullen worden getroffen om het incident of datalek aan te pakken en de gevolgen daarvan te beperken;
• contactgegevens voor verdere afstemming.

3.4. Indien de melding nog niet alle in artikel 33 lid 3 AVG vereiste informatie bevat, verstrekt TimeKing aanvullende informatie zodra deze beschikbaar komt.

3.5. De formele verplichting tot melding van een datalek bij de Autoriteit Persoonsgegevens en, indien nodig, aan de betrokkenen, rust uitsluitend op de Verwerkingsverantwoordelijke.

3.6. TimeKing verleent de Verwerkingsverantwoordelijke de noodzakelijke ondersteuning bij de nakoming van diens meldplicht, waaronder het beschikbaar stellen van relevante loggegevens, technische documentatie en analyses. TimeKing kan de redelijke kosten die hiermee gemoeid zijn doorbelasten aan de Verwerkingsverantwoordelijke.

3.7. Partijen houden elk een intern register bij van beveiligingsincidenten en datalekken die onder deze overeenkomst vallen.

3.8. Het proces van signalering, melding en opvolging van beveiligingsincidenten en datalekken is nader uitgewerkt in Bijlage 4 – Proces Beveiligingsincidenten en Datalekken.

4. Audits en inspecties

4.1. De Verwerkingsverantwoordelijke heeft het recht om, maximaal éénmaal per twaalf (12) maanden en met een aankondigingstermijn van ten minste veertien (14) dagen, te laten controleren of TimeKing deze Verwerkersovereenkomst en de daarin opgenomen beveiligingsmaatregelen naleeft.

4.2. Een audit kan worden uitgevoerd door:

• de Verwerkingsverantwoordelijke zelf; of
• een onafhankelijke derde partij die aantoonbaar gespecialiseerd is in IT- en privacy-audits, en die vooraf door beide Partijen schriftelijk is goedgekeurd.

4.3. TimeKing zal, voor zover noodzakelijk om de naleving van deze Verwerkersovereenkomst vast te stellen, toegang verlenen tot relevante documentatie, systemen en medewerkers. Daarbij blijft informatie die de beveiliging van andere klanten of de bedrijfsvoering van TimeKing onevenredig kan schaden, buiten de reikwijdte van de audit.

4.4. TimeKing kan de Verwerkingsverantwoordelijke, in plaats van of voorafgaand aan een audit, voorzien van relevante documentatie en/of rapportages waaruit blijkt dat zij passende technische en organisatorische maatregelen heeft getroffen conform artikel 32 AVG.

4.5. Alle kosten van een audit, inclusief interne inzet van TimeKing, komen voor rekening van de Verwerkingsverantwoordelijke.

4.6. Zodra TimeKing beschikt over onafhankelijke certificeringen of keurmerken (zoals ISO 27001 of vergelijkbaar), kan zij deze ter beschikking stellen aan de Verwerkingsverantwoordelijke als alternatief voor of ter vervanging van een audit.

5. Geheimhouding

5.1. TimeKing waarborgt dat haar medewerkers, evenals door haar ingeschakelde Subverwerkers, contractueel en/of door een wettelijke verplichting tot geheimhouding zijn gebonden ten aanzien van alle Persoonsgegevens en overige vertrouwelijke informatie die zij in het kader van deze Verwerkersovereenkomst verwerken of verkrijgen.

5.2. De verplichting tot geheimhouding geldt niet indien en voor zover een Partij op grond van een wettelijke bepaling of een rechterlijk bevel verplicht is informatie te verstrekken. In dat geval zal de betreffende Partij de andere Partij, voor zover toegestaan, zo spoedig mogelijk schriftelijk informeren over deze verplichting.

5.3. De geheimhoudingsplicht geldt voor alle informatie die door TimeKing wordt verwerkt of beschikbaar gesteld, waaronder Persoonsgegevens en technische gegevens met betrekking tot de dienstverlening. Deze geheimhoudingsplicht wordt ondersteund door de technische en organisatorische beveiligingsmaatregelen zoals opgenomen in Bijlage 1: Beveiligingsmaatregelen en melding van beveiligingsincidenten.

5.4. TimeKing zal passende maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de systemen, infrastructuur en Persoonsgegevens die onder deze Verwerkersovereenkomst vallen. Deze maatregelen omvatten fysieke beveiliging, toegangscontrole en het principe van ‘need-to-know’.

6. Looptijd, beëindiging en gevolgen beëindiging

6.1. Deze Verwerkersovereenkomst treedt in werking op het moment dat de Verwerkingsverantwoordelijke gebruikmaakt van de dienstverlening van TimeKing. Indien de Verwerkingsverantwoordelijke via online registratie of inloggen toegang verkrijgt tot de software van TimeKing, geldt dit eveneens als akkoord met deze Verwerkersovereenkomst en de bijbehorende voorwaarden, waaronder de Service Level Agreement (SLA).

6.2. Deze Verwerkersovereenkomst eindigt van rechtswege zodra TimeKing geen Persoonsgegevens meer verwerkt ten behoeve van de Verwerkingsverantwoordelijke. Het is niet mogelijk deze Verwerkersovereenkomst afzonderlijk tussentijds op te zeggen, anders dan door beëindiging van de dienstverlening van TimeKing.

6.3. Na beëindiging van de dienstverlening zal TimeKing het account van de Verwerkingsverantwoordelijke en de daarin verwerkte Persoonsgegevens gedurende honderdvijfentachtig (185) dagen bewaren. Binnen deze periode kan de Verwerkingsverantwoordelijke verzoeken om de gegevens in een gangbaar formaat te ontvangen. Na afloop van deze termijn wordt het account, inclusief alle Persoonsgegevens, onherroepelijk verwijderd.

6.4. Persoonsgegevens die zich in back-ups bevinden, blijven gedurende de reguliere back-upretentie van TimeKing beschikbaar. Deze back-ups worden na uiterlijk honderdvijfentachtig (185) dagen onherroepelijk verwijderd. Tot het moment van verwijdering blijven de gegevens onder de geheimhoudingsplicht en beveiligingsmaatregelen van deze Verwerkersovereenkomst vallen.

7. Aansprakelijkheid

7.1. TimeKing is uitsluitend aansprakelijk voor schade die het rechtstreekse gevolg is van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst of een handelen in strijd met de AVG, voor zover dit aan TimeKing kan worden toegerekend.

7.2. De aansprakelijkheid van TimeKing beperkt zich tot vergoeding van directe schade. Aansprakelijkheid voor indirecte schade, waaronder begrepen maar niet beperkt tot gevolgschade, gederfde winst, verminderde goodwill, reputatieschade, bedrijfsstagnatie of gemiste besparingen, is nadrukkelijk uitgesloten.

7.3. Onder directe schade wordt verstaan:

• redelijke kosten die de Verwerkingsverantwoordelijke heeft moeten maken om de tekortkoming van TimeKing te herstellen of de gevolgen daarvan te beperken;
• redelijke kosten ter vaststelling van de oorzaak en omvang van de schade;
• redelijke kosten die rechtstreeks voortvloeien uit een door de Autoriteit Persoonsgegevens opgelegde boete, voor zover deze boete het gevolg is van een aan TimeKing toerekenbare tekortkoming.

7.4. De totale aansprakelijkheid van TimeKing is per gebeurtenis (waarbij een reeks samenhangende gebeurtenissen als één gebeurtenis wordt beschouwd) beperkt tot het bedrag dat redelijkerwijs in verhouding staat tot de door de Verwerkingsverantwoordelijke afgenomen dienstverlening en de daarmee gemoeide vergoedingen.

7.5. De in dit artikel opgenomen beperkingen van aansprakelijkheid gelden niet in geval van opzet of grove schuld van TimeKing of haar leidinggevenden.

7.6. De Verwerkingsverantwoordelijke blijft zelf verantwoordelijk voor het rechtmatig verzamelen en gebruiken van Persoonsgegevens. Indien de Verwerkingsverantwoordelijke instructies geeft die niet in overeenstemming zijn met de AVG of anderszins in strijd zijn met de wet, en dit leidt tot schade of aanspraken van derden (waaronder betrokkenen of toezichthouders), dan kan TimeKing hiervoor niet aansprakelijk worden gehouden. In een dergelijk geval vrijwaart de Verwerkingsverantwoordelijke TimeKing voor alle kosten, schade en aanspraken die hieruit voortvloeien.

8. Subverwerkers

8.1. TimeKing mag bij de uitvoering van deze Verwerkersovereenkomst gebruikmaken van Subverwerkers. Een actuele lijst van ingeschakelde Subverwerkers, inclusief hun rol en locatie van gegevensverwerking, is opgenomen in Bijlage 3: Subverwerkers.

8.2. De Verwerkingsverantwoordelijke verleent hierbij een algemene toestemming voor het inschakelen van Subverwerkers door TimeKing.

8.3. TimeKing zal de Verwerkingsverantwoordelijke informeren over voorgenomen wijzigingen in de lijst van Subverwerkers. De Verwerkingsverantwoordelijke kan tegen een dergelijke wijziging bezwaar maken op redelijke gronden die verband houden met de bescherming van Persoonsgegevens. Indien een bezwaar gegrond is, zullen Partijen in overleg treden om tot een passende oplossing te komen.

8.4. TimeKing legt aan Subverwerkers dezelfde verplichtingen op als die voor haarzelf uit deze Verwerkersovereenkomst voortvloeien, zodat de verwerking van Persoonsgegevens altijd voldoet aan de AVG en aan de afspraken in deze overeenkomst.

8.5. TimeKing blijft te allen tijde verantwoordelijk voor de juiste nakoming van de verplichtingen van Subverwerkers en voor de verwerking van Persoonsgegevens conform deze Verwerkersovereenkomst.

9. Toepasselijk recht en geschillen

9.1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

9.2. Geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst zullen bij uitsluiting worden voorgelegd aan de bevoegde rechter in het arrondissement waar TimeKing gevestigd is, tenzij dwingend recht een andere bevoegde rechter voorschrijft.

Bijlage(n) bij deze Verwerkersvoorwaarden:

Bijlage 1: Beveiligingsmaatregelen en melding van beveiligingsincidenten

Bijlage 2: Overzicht van doel van de verwerking, de categorieën Persoonsgegevens, betrokkenen, verwerkingshandelingen, de daarbij betrokken categorieën medewerkers en bewaartermijn(en)

Bijlage 3: Subverwerkers

Bijlage 4: Proces Beveiligingsincidenten en Datalekken

Bijlage 1 – Beveiligingsmaatregelen en melding van beveiligingsincidenten

1. Omschrijving verwerking

TimeKing verleent SaaS-diensten (Software as a Service), waarbij klanten via de software persoonsgegevens kunnen opslaan en geautomatiseerd verwerken. De Verwerkingsverantwoordelijke bepaalt welke persoonsgegevens worden ingevoerd en beheerd (aanvullen, wijzigen, verwijderen). TimeKing heeft geen zeggenschap over de inhoud en categorieën persoonsgegevens die door de Verwerkingsverantwoordelijke worden verwerkt.

2. Aard van de persoonsgegevens

De te verwerken persoonsgegevens zijn opgenomen in Bijlage 2 van deze overeenkomst.

3. Verwerking binnen Europa

Alle persoonsgegevens die door TimeKing worden verwerkt, worden uitsluitend verwerkt op servers binnen de Europese Economische Ruimte (EER).

4. Technische en organisatorische beveiligingsmaatregelen

TimeKing treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking. Deze maatregelen omvatten onder meer:

Toegang tot beheerders- en gebruikersaccounts is beveiligd door middel van sterke authenticatie, waaronder multi-factor authenticatie (MFA) voor accounts met verhoogde rechten. TimeKing stimuleert en faciliteert het gebruik van MFA voor alle gebruikers.

Encryptie van dataverkeer (TLS) en van data in rust.

Redundante en versleutelde back-ups binnen de EER.

Continue monitoring van systemen en beveiligingsupdates.

Ontwikkeling en inrichting van de software volgens actuele beveiligingsprincipes (privacy by design / by default).

Periodieke interne controles en externe (penetratie)testen waar relevant.

Interne awareness en instructies voor medewerkers.

TimeKing is bezig met het implementeren van internationale beveiligingsstandaarden (waaronder ISO 27001). Zodra een certificering is behaald, zal de Verwerkingsverantwoordelijke hiervan op de hoogte worden gesteld.

5. Melding beveiligingsincidenten

TimeKing hanteert een intern proces voor het signaleren, registreren en afhandelen van beveiligingsincidenten.

Incidenten die een risico vormen voor de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens van de Verwerkingsverantwoordelijke worden onverwijld gemeld.

Beoordeling van incidenten vindt plaats door de Security Officer of aangewezen verantwoordelijke.

Bij melding worden in ieder geval de volgende punten gecommuniceerd:

Tijdstip en aard van het incident;

Vermoedelijke oorzaak en getroffen systemen;

Maatregelen die reeds zijn genomen en/of nog volgen;

Verwachte impact op de persoonsgegevens;

Voorstel tot verdere opvolging en correctieve maatregelen.

De Verwerker meldt beveiligingsincidenten aan de Verwerkingsverantwoordelijke conform de afspraken zoals vastgelegd in artikel 3.2. van de Verwerkersovereenkomst.

Dit stelt de Verwerkingsverantwoordelijke in staat, indien nodig, melding te doen bij de Autoriteit Persoonsgegevens en betrokkenen conform de artikelen 33 en 34 AVG.

Bij een beveiligingsincident hanteert TimeKing de volgende escalatieprocedure:

1. Signalering en registratie van het incident in interne logsystemen.
2. Beoordeling van de ernst en impact door de Security Officer.
3. Melding aan de Verwerkingsverantwoordelijke conform artikel X van de hoofdovereenkomst.
4. Inperking en herstelmaatregelen om verdere schade te voorkomen.
5. Analyse en evaluatie van oorzaak en gevolgen.
6. Corrigerende maatregelen om herhaling te voorkomen.

Bijlage 2 – Overzicht persoonsgegevens

In deze bijlage is een overzicht opgenomen van de categorieën persoonsgegevens die TimeKing namens de Verwerkingsverantwoordelijke verwerkt, met vermelding van het doel van de verwerking, de verwerkingshandelingen, de categorieën betrokkenen en de bewaartermijnen.

De kolom onder de regel is opgenomen voor interne aantekeningen door de Verwerkingsverantwoordelijke. Deze kan worden gebruikt om eigen opmerkingen vast te leggen, bijvoorbeeld om aan te geven dat bepaalde gegevens niet verwerkt hoeven te worden of slechts beperkt verwerkt mogen worden.

Bijlage 3 – Subverwerkers

Om de dienstverlening te kunnen realiseren, werken wij samen met een aantal partijen die namens ons bepaalde gegevens verwerken. Conform de Algemene Verordening Gegevensbescherming (AVG) worden deze partijen aangemerkt als subverwerkers.

Bijlage 4 – Proces Beveiligingsincidenten en Datalekken

Doel

Deze bijlage beschrijft de procedure die TimeKing hanteert bij de ontdekking en afhandeling van beveiligingsincidenten en datalekken met betrekking tot de door haar verwerkte Persoonsgegevens.

Definitie

Onder een datalek of inbreuk in verband met Persoonsgegevens wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot, doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (artikel 4 lid 12 AVG).

Processtappen

Detectie

Beveiligingsincident wordt gesignaleerd via monitoring, meldingen van medewerkers of subverwerkers. Registratie in het interne incidentenregister.

Beoordeling door TimeKing

Vaststellen of sprake is van een datalek conform AVG. Interne analyse van aard, omvang en mogelijke gevolgen.

Melding aan Verwerkingsverantwoordelijke

Binnen 24 uur na ontdekking ontvangt de Verwerkingsverantwoordelijke een melding met minimaal: omschrijving van het incident, (mogelijke) gevolgen, reeds genomen of geplande maatregelen, contactpersoon bij TimeKing. Indien nog niet alle gegevens bekend zijn, volgt aanvullende informatie zodra beschikbaar.

Verantwoordelijkheid Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke beoordeelt of melding aan de Autoriteit Persoonsgegevens en/of de betrokkenen verplicht is. De formele meldplicht ligt bij de Verwerkingsverantwoordelijke.

Ondersteuning door TimeKing

TimeKing levert loggegevens, analyses en overige relevante documentatie. Redelijke kosten kunnen worden doorbelast.

Nazorg en verbetermaatregelen

Evaluatie van het incident. Aanpassen van processen en/of maatregelen om herhaling te voorkomen.

Contactgegevens

Voor meldingen van beveiligingsincidenten kan de Verwerkingsverantwoordelijke contact opnemen via:
📧 support@timeking.nl
📞 +31 (0) 85 301 3942

Schematisch overzicht process