HelloFlex People

Aanvullende voorwaarden AVG (“verwerkersovereenkomst”)

Versie: 1 april 2022

Partijen hebben een Overeenkomst – zoals gedefinieerd onder artikel 1 van deze Data Overeenkomst – gesloten waaronder Partijen diensten leveren aan de Opdrachtgever. In het kader van deze dienstverlening aan de Opdrachtgever delen en verwerken Partijen Persoonsgegevens ten behoeve van, maar niet beperkt tot de personeelsadministratie, ondersteuning van recruitment procedures en salarisadministratie.

Ter verduidelijking van de verplichtingen die onder de AVG en UAVG op iedere Partij rust zijn deze aanvullende afspraken, overeenkomstig de artikelen 26 en 28 AVG, van toepassing. Deels is er sprake van afzonderlijke verantwoordelijkheid per (deel)verwerking, deels is sprake van een Verantwoordelijke – Verwerker relatie en deels zijn Partijen Gezamenlijk Verantwoordelijk voor de verwerkingen van de Persoonsgegevens. Deze aanvullende afspraken (hier verder Data Overeenkomst genoemd) inclusief bijlagen maken door ondertekening van de Overeenkomst integraal onderdeel uit van de Overeenkomst.

1. DEFINITIES

In deze Data Overeenkomst worden de hierna volgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven

“Partijen”: HelloFlex People BV (verder HelloFlex People) en de Intermediair waarmee een Overeenkomst is gesloten;

“AVG”: De Algemene Verordening Gegevensbescherming (EU) 2016/679.

“Datalek”: Iedere inbreuk op de beveiliging (conform art. 4 AVG) die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

“Overeenkomst”: De tussen intermediair en HelloFlex People overeengekomen samenwerkingsovereenkomst;

“Opdrachtgever”: De natuurlijke of rechtspersoon die opdracht geeft tot het leveren van diensten zoals opgenomen in de Overeenkomst;

“Persoonsgegevens”: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“de Betrokkene(n)”), zoals gedefinieerd onder de AVG, dat Verwerkt wordt door de Verwerker en Verantwoordelijke onder de Overeenkomst;

“UAVG”: Uitvoeringswet Algemene Verordening Gegevensbescherming van 16 mei 2018;

“Verantwoordelijke”: Betreft de Partij die alleen of gezamenlijk met andere de doeleinden en middelen bepaalt van de gegevensverwerking;

“Verwerker”: Betreft de Partij die Persoonsgegevens Verwerkt ten behoeve van de Verantwoordelijke;

“Verwerken” of “Verwerking”: Betekent elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

2. VERWERKEN VAN PERSOONSGEGEVENS

2.1. Partijen zijn gezamenlijk Verantwoordelijk ten aanzien van de Verwerking van de Persoonsgegevens, zoals uiteengezet is in Bijlage 1. De verplichtingen die op Partijen rusten uit hoofde van artikel 26 AVG alsmede de invulling die Partijen daaraan geven, zijn uiteengezet in artikel 3 van deze Data Overeenkomst.

2.2. Intermediair is Verantwoordelijke en HelloFlex People is Verwerker ten aanzien van de Persoonsgegevens die zij Verwerkt, zoals uiteengezet is in Bijlage 2. De verplichtingen die op Partijen rusten uit hoofde van artikel 28 AVG alsmede de invulling die Partijen daaraan geven, zijn uiteengezet in artikel 4 van deze Data Overeenkomst.

3. GEZAMENLIJKE VERANTWOORDELIJKHEID

3.1. Ten aanzien van de Persoonsgegevens, zoals uiteengezet in Bijlage 1 van deze Data Overeenkomst, zijn Partijen gezamenlijk Verantwoordelijk.

3.2. Rechten van Betrokkenen

3.2.1. De Intermediair zal Betrokkene(n) informeren over haar eigen Verwerking van zijn of haar Persoonsgegevens in het kader van de overeenkomst tussen Intermediair en de opdrachtgever in overeenstemming met de Toepasselijke Wetgeving, waaronder in ieder geval begrepen de artikelen 12, 13 en 14 AVG en de rechten van Betrokkene(n) waaronder in ieder geval begrepen de artikelen 12 en 15 tot en met 22 AVG.

HelloFlex People zal Betrokkene(n) informeren over haar eigen Verwerking van zijn of haar Persoonsgegevens in het kader van de arbeidsovereenkomst in overeenstemming met de Toepasselijke Wetgeving, waaronder in ieder geval begrepen de artikelen 12, 13 en 14 AVG en de rechten van Betrokkene(n) waaronder in ieder geval begrepen de artikelen 12 en 15 tot en met 22 AVG.

3.2.2. Indien een Betrokkene een verzoek doet uit hoofde van zijn rechten als neergelegd in hoofdstuk III AVG, zal de ontvangende Partij de andere Partij zo spoedig mogelijk op de hoogte stellen van dit verzoek. Als uitgangspunt zal HelloFlex People het verzoek tijdig en op passende wijze en in overeenstemming met de Toepasselijke Wetgeving afhandelen.

3.2.3. Partijen zullen over en weer elkaar bijstand verlenen bij het vervullen van de plicht om verzoeken inzake uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de Betrokkene te beantwoorden, alsmede Betrokkene(n) te voorzien van informatie overeenkomstig artikel 13 en 14 AVG.

3.2.4. Indien het verzoek van Betrokkene mogelijk zal leiden tot een onderzoek door een toezichthoudende autoriteit of resulteert in een Verwerking van Persoonsgegevens, welke leidt tot een hoog risico voor rechten van Betrokkenen, zullen Partijen samen het verzoek afhandelen alsmede gezamenlijk reageren.

3.3. Technische en organisatorische maatregelen

3.3.1. Partijen zullen passende Technische en Organisatorische Maatregelen, waaronder de maatregelen beschreven in Bijlage 3A en 3B, treffen en in stand houden en zo nodig aanpassen om de Persoonsgegevens te beveiligen om een Datalek te voorkomen conform artikel 32 AVG. HelloFlex People zal bepalen welke Technische en Organisatorische Maatregelen getroffen dienen te worden.

3.4. Melden van Datalekken

3.4.1. Als onderdeel van de verplichtingen die op beide Partijen rusten ten aanzien van de beveiliging van Persoonsgegevens, zal elke Partij een procedure opstellen en onderhouden, welke erop is gericht op redelijkerwijs Datalekken te detecteren en maatregelen te implementeren, waaronder herstellende of mitigerende maatregelen.

3.4.2. Indien een der Partijen een mogelijk Datalek ontdekt, zal deze de andere Partij zonder onredelijke vertraging op de hoogte stellen van het Datalek zodra zij met het bestaan van het Datalek bekend is geworden, onder andere over:

  1. het tijdstip van aanvang van het Datalek;
  2. de aard en de omvang en gevolgen van het Datalek;
  3. de verwachte hersteltijd; en
  4. welke maatregelen zijn genomen of worden voorgesteld om te nemen om het Datalek te beëindigen;


    dusdanig dat de andere Partij kan voldoen aan de verplichtingen die voortvloeien uit artikel 33 en 34 AVG

3.4.3. Elke Partij zal zijn medewerking verlenen en alle noodzakelijke maatregelen treffen om het Datalek te beëindigen en de negatieve gevolgen van het Datalek te beperken dan wel te doen beëindigen. Iedere Partij is verplicht de andere Partij zo spoedig mogelijk te informeren over de genomen maatregelen.

3.4.4. Geen der Partijen zal op eigen initiatief Betrokkenen of de toezichthoudende autoriteit informeren zonder afstemming en toestemming van de andere Partij. In beginsel is de Intermediair verantwoordelijk om de Betrokkenen of de toezichthoudende autoriteit te informeren.

3.5. Gegevensbeschermingseffectbeoordeling

3.5.1. Ingeval wijzigingen een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 AVG behoeven omdat er een nieuwe technologie wordt geïntroduceerd, zal HelloFlex People de gegevensbeschermingseffectbeoordeling uitvoeren en indien daaruit niet blijkt dat risico’s niet afgedekt zijn, spreken Partijen voor nu en alsdan af dat HelloFlex People de wijzigingen mag doorvoeren.

3.5.2. Indien er andere Persoonsgegevens worden verwerkt waarvoor een gegevensbeschermings-effectbeoordeling uitgevoerd dient te worden dan zullen Partijen per geval bepalen welke Partij de beoordeling zal uitvoeren en voorafgaande raadpleging van de toezichthoudende autoriteit noodzakelijk, of de desbetreffende wijziging wordt doorgevoerd is en, zo ja, welke nadere afspraken partijen met het oog op naleving van de Toepasselijke Wetgeving hieromtrent maken.

3.6. Doorgifte van Persoonsgegevens

3.6.1. Partijen zullen alleen Persoonsgegevens delen met derde partijen die gevestigd zijn buiten de Europese Economische Ruimte (EER), indien:

  1. voorafgaande toestemming is verkregen van de andere Partij voor de doorgifte van Persoonsgegevens buiten de EER;
  2. doorgifte plaatsvindt in overeenstemming met hetgeen is bepaald in hoofdstuk V van de AVG; en
  3. de betreffende derde partij zich houdt aan dezelfde verplichtingen als een Verwerker als bedoeld in artikel 4.1 deze Data Overeenkomst.

3.6.2. De Partij welke voornemens is gegevens door te geven buiten de EER, is verantwoordelijk voor de beoordeling van de rechtmatigheid van de doorgifte en de te treffen maatregelen als bedoeld in artikel 3.6.1(b) alsmede de uitvoering daarvan.

3.7. Geheimhouding

3.7.1. Op alle informatie die Partijen Verwerken, rust een geheimhoudingsplicht jegens derden. Ieder der Partijen zal de Persoonsgegevens geheimhouden en iedere Partij zal haar werknemers en Sub Verwerkers voordat zij toegang verkrijgen tot de Persoonsgegevens, contractueel verplichten tot geheimhouding van de Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Data Overeenkomst kennis kunnen nemen.

3.7.2. Deze geheimhoudingsplicht is niet van toepassing voor zover de andere Partij zijn voorafgaande uitdrukkelijke toestemming heeft gegeven om informatie aan derden te verstrekken of indien een der Partijen op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.

3.8. Bewaren van Persoonsgegevens

3.8.1. Elk der Partijen zal ervoor zorgdragen dat Persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt Betrokkenen te identificeren dan voor de doeleinden als omschreven in Bijlage 1.Tenzij toegestaan op grond van een wettelijke verplichting zullen Persoonsgegevens die niet langer noodzakelijk zijn worden:

  1. vernietigd; of
  2. geanonimiseerd; of
  3. opgeslagen in een archief louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden mits passende TOMS worden getroffen.

3.8.2. HelloFlex People zal de bewaartermijnen als bedoeld in artikel 3.8.1 bepalen en vastleggen in Bijlage 1.

HelloFlex People zal de bewaartermijn periodiek reviewen en indien noodzakelijk opnieuw vaststellen

3.9. Governance en geschillen

3.9.1. Indien één der Partijen een wijziging wenst door te voeren ten aanzien van de Verwerkingen waarvoor Partijen Gezamenlijk verantwoordelijk zijn zal deze Partij alvorens de desbetreffende Verwerkingsactiviteit te wijzigen in overleg treden met de andere Partij om met de wederpartij overeenstemming te bereiken. Een wijziging van een Gezamenlijk Verwerking is pas overeengekomen indien deze schriftelijk door Partijen is vastgelegd en ondertekend.

4. VERWERKERSOVEREENKOMST

4.1. Intermediair is Verantwoordelijke en HelloFlex People is Verwerker ten aanzien van de Persoonsgegevens die zij Verwerken, zoals uiteengezet is in Bijlage 2. De verplichtingen die op Partijen rusten uit hoofde van artikel 26 AVG alsmede de invulling die Partijen daaraan geven, zijn uiteengezet in artikel 4 van deze Data Overeenkomst. Derhalve heeft dit artikel 4 te gelden als een verwerkersovereenkomst in de zin van artikel 26 AVG (de “Verwerkersovereenkomst”).

4.2. Verplichtingen van HelloFlex People

4.2.1. HelloFlex People zal:

  1. uitsluitend Persoonsgegevens Verwerken conform de instructies van de Intermediair voor de doeleinden en op de wijze zoals omschreven in Bijlage 2;
  2. Persoonsgegevens alleen Verwerken zolang de Intermediair dat verlangt en de Persoonsgegevens wijzigen, anonimiseren, blokkeren of verwijderen zodra de Intermediair daartoe instructies geeft;
  3. de Intermediair bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 35 en 36 AVG tegen het overeengekomen uurtarief;
  4. rekening houdend met de aard van de Verwerking, de Intermediair door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van de plicht van Intermediair om verzoeken om uitoefening van de rechten van de Betrokkene onder de AVG te beantwoorden;
  5. ervoor zorgen dat alleen (i) haar werknemers en (ii) Sub Verwerkers toegang krijgen tot Persoonsgegevens en slechts zolang dit noodzakelijk is in het kader van de uitvoering van de verplichtingen van HelloFlex People onder de Overeenkomst, en dat deze bij de Verwerking de vertrouwelijkheid in acht nemen; en
  6. desgevraagd samenwerken met de toezichthoudende autoriteit bij het vervullen van haar taken.

4.3. Technische en Organisatorische Maatregelen

4.3.1. HelloFlex People zal rekening houdend met de aard van de Verwerking en de haar ter beschikking staande informatie de technische en organisatorische maatregelen treffen en in stand houden, zoals uiteengezet in Bijlage 3A;

4.3.2. De Intermediair heeft nadrukkelijk kennis genomen van deze in Bijlage 3A opgenomen maatregelen.

4.4. Sub Verwerkers

4.4.1. Het is HelloFlex People toegestaan om in het kader van deze Verwerkersovereenkomst gebruik te maken van Sub Verwerkers. De Sub Verwerkers zijn opgenomen in Bijlage 2 van de Verwerkersovereenkomst.

4.4.2. In het geval van beoogde veranderingen inzake de toevoeging of vervanging van Sub Verwerkers wordt de Intermediair hierover door HelloFlex People op de hoogte gesteld. De Intermediair is gerechtigd om binnen vier weken na ontvangst van dit bericht bezwaar te maken tegen deze verandering. Partijen zullen over dit bezwaar in overleg treden. Indien dit overleg niet leidt tot het wegnemen van het bezwaar, dan kan de Intermediair de Overeenkomst met HelloFlex People opzeggen tegen de datum waarop de Sub Verwerker zal starten met het Verwerken van de Persoonsgegevens.

4.4.3. HelloFlex People zal de Sub Verwerker dezelfde verplichtingen opleggen als die voor hem uit deze Verwerkersovereenkomst voortvloeien.

4.5. Doorgifte Persoonsgegevens

4.5.1. HelloFlex People mag Persoonsgegevens doorgeven en Verwerken in een land buiten de Europese Economische Ruimte (EER), indien HelloFlex People:

  1. hiertoe verplicht is op grond van een wettelijk voorschrift; of
  2. dat land een passend beschermingsniveau waarborgt en welke is goedgekeurd door (plaatsing op de ‘witte lijst’ van) de Europese Commissie; of
  3. gebruikmaakt van een modelcontract als bedoeld in artikel 46, tweede lid, sub c en d van de AVG; of
  4. de doorgifte is toegestaan op basis van een andere grondslag onder Toepasselijke Wetgeving.

4.5.2. Indien HelloFlex People verplicht is Persoonsgegevens op grond van een wettelijk voorschrift door te geven, zoals is bepaald in artikel 4.5.1(a), zal HelloFlex People de Intermediair hierover informeren, tenzij het wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt

4.5.3. Indien Persoonsgegevens worden doorgestuurd naar een Sub Verwerker in een land buiten de EER en HelloFlex People niet op eigen naam een modelcontract kan sluiten met Sub Verwerker, geeft de Intermediair hierbij instructie en een volmacht aan HelloFlex People om, op naam van de Intermediair, de Sub Verwerker instructies te geven en de onder artikel 4.5.1(c) genoemde overeenkomsten te sluiten.

4.6. Geheimhouding

4.6.1. Op alle informatie die HelloFlex People van de Intermediair ontvangt, rust een geheimhoudingsplicht jegens derden. HelloFlex People zal de Persoonsgegevens geheimhouden en zal haar werknemers en Sub Verwerkers voordat zij toegang verkrijgen tot de Persoonsgegevens, contractueel verplichten tot geheimhouding van de Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Overeenkomst kennis kunnen nemen.

4.6.2. Deze geheimhoudingsplicht is niet van toepassing voor zover de Intermediair zijn voorafgaande uitdrukkelijke toestemming heeft gegeven om informatie aan derden te verstrekken of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Intermediair aan HelloFlex People verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien HelloFlex People op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.

4.6.3. Na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.

4.7. Meldplicht

4.7.1. HelloFlex People zal de Intermediair volledig en zonder onredelijke vertraging informeren over ieder Datalek zodra zij met het bestaan van het Datalek bekend is geworden, onder andere over:

  1. het tijdstip van aanvang van het Datalek;
  2. de aard en de omvang en gevolgen van het Datalek
  3. de verwachte hersteltijd; en
  4. welke maatregelen zijn genomen of worden voorgesteld om te nemen om het Datalek te beëindigen.

4.7.2. De informatie onder 4.7.1 zal door HelloFlex People verstrekt worden aan de contactpersoon die bij haar bekend is. Indien deze informatie aan een andere contactpersoon moet worden doorgegeven verstrekt de Intermediair aan HelloFlex People naam, functie en contactgegevens.

4.7.3. HelloFlex People zal maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van het Datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken. Deze maatregelen zal HelloFlex People voorts ook zo snel mogelijk aan de Intermediair melden.

4.8. Audits

4.8.1. HelloFlex People zal de Intermediair alle informatie ter beschikking stellen die nodig is om de nakoming van de in de Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.

4.8.2. HelloFlex People zal eens per jaar door een door haar aangewezen onafhankelijke derde een audit, waaronder een inspectie, laten verrichten naar de naleving door HelloFlex People van artikel 28 AVG en de technische en organisatorische maatregelen die in Bijlage 3A zijn genomen. HelloFlex People zal de uitkomst van deze audit in de vorm van een Third Party Inspection Memorandum delen met de Intermediair.

4.8.3. De Intermediair is voorts gerechtigd om een aanvullende audit, waaronder inspecties, te (laten) doen naar de naleving door HelloFlex People van artikel 28 AVG en de technische en organisatorische maatregelen in Bijlage 3A. Partijen zullen hierover in overleg afspraken maken. De Intermediair zal HelloFlex People minimaal 3 weken voorafgaand van de audit hiervan op de hoogte stellen.

4.8.4. De redelijke kosten van de uitvoering van artikel 4.8.1 en 4.8.3 zijn voor de Intermediair.

5. AANSPRAKELIJKHEID

5.1.1. De Intermediair vrijwaart en stelt HelloFlex People schadeloos met betrekking tot de Verwerking van de Persoonsgegevens onder deze Data Overeenkomst ter zake van (i) alle schade en (ii) aan HelloFlex People of de Intermediair opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van één of meer verplichtingen van de Intermediair uit de Data Overeenkomst of uit hoofde van Toepasselijke Wetgeving, waaronder de AVG.

5.1.2. Met betrekking tot de (beperking van) aansprakelijkheid van HelloFlex People, geldt hetgeen tussen Partijen is overeengekomen onder de Overeenkomst.

5.1.3. Indien er inzake de aansprakelijkheid geen nadere afspraken onder de Overeenkomst zijn overeengekomen, geldt hiervoor hetgeen is opgenomen in de Nederland ICT Voorwaarden zoals gedeponeerd bij de Kamer van Koophandel onder nummer 30174840.

6. DUUR EN BEËINDIGING VERWERKERSOVEREENKOMST

6.1. Deze Data Overeenkomst, inclusief de Verwerkersovereenkomst, wordt gesloten op het moment dat Partijen deze hebben ondertekend en loopt door tot beëindiging van de Overeenkomst.

6.2. HelloFlex People draagt er zorg voor de hiervoor bedoelde Persoonsgegevens onverwijld na beëindiging van de Overeenkomst, of zoveel eerder als dat mogelijk is, op een wijze naar keuze van de Intermediair, over te dragen aan de Intermediair. De Intermediair zal alleen een medium kiezen dat wordt aangeboden door HelloFlex People, waaronder Excel en SQL.

6.3. Na overdracht, schriftelijke afwijzing van overdracht door de Intermediair, of indien de Intermediair niet reageert, na één maand na het aanbod tot overdracht, dient HelloFlex People de Persoonsgegevens onverwijld te vernietigen. Op eerste verzoek van de Intermediair zal HelloFlex People schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.

7. OVERIGE BEPALINGEN

7.1. Op deze Data Overeenkomst is Nederlands recht van toepassing.

7.2.  Wijzigingen en aanvullingen van deze Data Overeenkomst kunnen slechts schriftelijk, bij akte ondertekend door beide partijen, worden overeengekomen.

 

BIJLAGE 1: GEZAMENLIJK VERANTWOORDELIJK

De volgende Persoonsgegevens worden door Partijen gezamenlijk Verwerkt met als doeleinde de levering van diensten aan de opdrachtgever:

  • functie
  • verlof
  • ziekmeldingen (niet zijnde medische gegevens)
  • salarisgegevens
  • datum indiensttreding / uitdiensttreding
  • handtekening
  • evaluatieverslagen
  • (te werken/gewerkte) dagen
  • kopie identiteitsbewijs
  • NAW gegevens
  • telefoonnummer
  • emailadres
  • geboortedatum
  • geslacht

Bewaartermijn

Partijen bewaren de Persoonsgegevens voor de duur van geldende wettelijke termijnen. Voor het overige worden Persoonsgegevens niet langer bewaard dan voor het doel waarvoor ze verzameld zijn.

Verwerkers

Door Partijen zijn de volgende Verwerkers ingeschakeld:

HelloFlex BV

FlexService Solutions BV

BIJLAGE 2: VERANTWOORDELIJKE – VERWERKER

De volgende Persoonsgegevens worden door HelloFlex People als Verwerker ten behoeve van de Intermediair Verwerkt:

  • CV
  • status
  • contactmomenten
  • taal
  • pasfoto
  • rijbewijs
  • voorkeuren
  • contactgegevens referenten

HelloFlex People verwerkt deze persoonsgegevens enkel in opdracht van Verantwoordelijke.

Sub Verwerkers

HelloFlex People maakt gebruik van de volgende Sub Verwerkers:

HelloFlex BV

FlexService Solutions BV

BIJLAGE 3A: TOMS HELLOFLEX PEOPLE

Deze bijlage beschrijft de technische en organisatorische maatregelen en procedures die HelloFlex People zal nemen om de Verwerking van Persoonsgegevens passend te beveiligen. Partijen respectievelijk HelloFlex People zullen documentatie van de technische en organisatorische maatregelen bewaren als bewijs.

Informatiebeveiligingsbeleid

  • HelloFlex People werkt conform een informatiebeveiligingsbeleid waarin rollen en verantwoordelijkheden zijn vastgelegd.

Medewerkers

  • Medewerkers en ingehuurde externen krijgen, voor zover relevant voor hun functie, ter zake doende instructies en training. Ook stimuleert HelloFlex People privacy en security bewustzijn.
  • Medewerkers tekenen voor geheimhouding en vertrouwelijkheid.
  • HelloFlex People voert functiescheiding door in beheer en gebruik.

Toegangsbeveiliging

  • HelloFlex People hanteert een autorisatiebeleid op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben en alleen tot data die noodzakelijk voor hun functie zijn.

Logging en controle

  • Activiteiten van werknemers alsmede verstoringen en pogingen tot ongeautoriseerd toegang, worden gelogd en gecontroleerd.
  • Jaarlijks vindt er een onafhankelijke externe toetsing plaats op naleving van de in deze bijlage genoemde maatregelen.

Netwerk-, server- en applicatiebeveiliging en onderhoud

  • HelloFlex People zorgt ervoor dat gebruikte soft- en hardware en patches up-to-date zijn.
  • HelloFlex People neemt alle relevante maatregelen om virusbesmetting tegen te gaan.

  • HelloFlex People zorgt voor een beveiligde netwerkomgeving; gescheiden verkeersstromen en implementeren maatregelen tegen misbruik en aanvallen.
  • HelloFlex People hanteert een up-to-date wachtwoordbeleid en voor het inloggen worden versleutelde verbindingen gebruikt.
  • HelloFlex People past versleuteling toe bij de Verwerking van (gevoelige) Persoonsgegevens bij opslag en verkeer.

Incidentenbeheer

  • HelloFlex People heeft procedures voor het tijdig en doeltreffend signaleren (security monitoring) en behandelen van informatiebeveiligingsincidenten en -zwakten, het melden van ‘Datalekken’ en het doorvoeren van verbetermaatregelen.

Continuïteitsbeheer

  • IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
  • HelloFlex People heeft beleid t.a.v. het borgen van de continuïteit van dienstverlening.
  • Om continuïteit van dienstverlening te verzekeren maakt HelloFlex People periodieke back-ups.

Apparatuur

  • HelloFlex People hanteert een goedkeuringsproces voor de aanschaf van nieuwe apparatuur.
  • Afgedankte apparatuur en media worden vernietigd of de Persoonsgegevens worden zodanig bewerkt dat ze niet meer terug te halen zijn.

Nieuwe systemen

  • In alle systemen zijn beveiligingsmaatregelen ingebouwd om ervoor te zorgen dat de Verwerking aan de vooraf gestelde eisen voldoet.
  • Bij de ontwikkeling van nieuwe systemen laat HelloFlex People zich leiden door de uitgangspunten van privacy by design & default.
  • HelloFlex People scheidt de test- van de productieomgeving.

Hosting

  • Voor hosting van data wordt door HelloFlex People gebruikgemaakt van Sub Verwerkers waarmee een Verwerkersovereenkomst is afgesloten.

Verwerkingsregister

  • We hebben verwerkingen van onze klanten conform AVG in een register opgenomen en houden dit register actueel.

Functionaris Gegevensbescherming (FG)

BIJLAGE 3B: TOMS INTERMEDIAIR

Intermediair zal o.a. de volgende maatregelen nemen:

  • Vertrouwelijkheid van gegevens waarborgen;
  • Procedures hebben om te garanderen dat inloggegevens en passwords vertrouwelijk behandeld worden en niet met derden worden gedeeld;
  • Medewerkers en evt ingehuurde externen, voor zover relevant voor hun functie, ter zake doende instructies en training geven.
  • Privacy en security bewustzijn stimuleren onder medewerkers en gebruikers;
  • Medewerkers laten tekenen voor geheimhouding en vertrouwelijkheid;
  • Functiescheiding doorvoeren in beheer en gebruik;
  • Een autorisatiebeleid hanteren op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben, en alleen tot data die noodzakelijk voor hun functie zijn. Een procedure hebben om datalekken snel te identificeren en te melden;
  • IT-voorzieningen en apparatuur fysiek beschermen tegen toegang door onbevoegden en tegen schade en storingen.