1. Partijen

Deze verwerkersovereenkomst ("VWO") is van toepassing op de verwerking van persoonsgegevens door WayTime("Verwerker"; KVK: 42046423, BTW: [BTW-NUMMER], gevestigd te Van Dongenstraat 1, 8107AD Broekland, Nederland) in opdracht van de organisatie die gebruikmaakt van de dienst ("Verwerkingsverantwoordelijke").

Door gebruik te maken van WayTime en akkoord te gaan met de Algemene Voorwaarden, wordt deze VWO geacht rechtsgeldig te zijn gesloten.

2. Onderwerp en duur van de verwerking

• Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening van WayTime.
• De duur van de verwerking is gelijk aan de looptijd van de hoofdovereenkomst (abonnement).
• Na beëindiging van de hoofdovereenkomst worden gegevens verwijderd conform artikel 10 van deze VWO.

3. Aard en doel van de verwerking

De verwerking omvat onder meer:

• Synchronisatie van agenda-afspraken vanuit Microsoft 365/Outlook.
• Visualisatie van afspraken en locaties binnen het dashboard van Verwerkingsverantwoordelijke.
• Opslag van account- en autorisatiegegevens voor zover noodzakelijk voor toegang, synchronisatie en beveiliging binnen de dienst van Verwerkingsverantwoordelijke.
• Onderhoud, support, monitoring en beveiliging voor zover deze rechtstreeks samenhangen met de verwerking namens Verwerkingsverantwoordelijke.

4. Categorieën persoonsgegevens en betrokkenen

Afhankelijk van het gebruik kan Verwerker de volgende gegevens verwerken:

• Betrokkenen: Medewerkers, teamleden en beheerders van Verwerkingsverantwoordelijke.
• Gegevens: Naam, zakelijk e-mailadres, rol, user ID, agenda-onderwerp, datum/tijd, locatie en afgeleide coördinaten.
• Technische gegevens: Versleutelde OAuth-tokens en systeemlogs voor zover noodzakelijk voor beveiliging, synchronisatie en beschikbaarheid van de dienst.

5. Verplichtingen Verwerker

• Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke.
• Verwerker waarborgt dat medewerkers met toegang tot persoonsgegevens gebonden zijn aan geheimhouding.
• Verwerker neemt passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens.
• Verwerker verwerkt niet méér persoonsgegevens dan noodzakelijk voor het afgesproken doel (dataminimalisatie).

6. Beveiligingsmaatregelen

Verwerker treft onder meer de volgende maatregelen:

• Transportbeveiliging via HTTPS/TLS.
• Versleutelde opslag van gevoelige authenticatiegegevens (zoals OAuth-tokens).
• Logische scheiding van data per organisatie (multi-tenancy).
• Toegangsbeperking op basis van rollen en need-to-know-principe.
• Monitoring en logging ten behoeve van beschikbaarheid en beveiliging.

7. Subverwerkers

Verwerkingsverantwoordelijke verleent algemene toestemming voor inzet van de onderstaande subverwerkers. Verwerker stelt Verwerkingsverantwoordelijke ten minste 30 dagen vooraf schriftelijk op de hoogte van wijzigingen (toevoeging of vervanging). Verwerkingsverantwoordelijke kan binnen die termijn gemotiveerd bezwaar maken.

Diensten die WayTime gebruikt voor eigen verwerkingen als zelfstandig verwerkingsverantwoordelijke, zoals facturatie via Stripe of AI-ondersteunde supportinteractie, vallen niet zonder meer onder deze VWO maar onder de privacyverklaring en de eigen contractuele afspraken van WayTime.

• Verwerker legt aan subverwerkers dezelfde verplichtingen op als in deze VWO (Art. 28 lid 4 AVG).
• Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor nakoming door subverwerkers.

8. Doorgifte buiten de EER

Verwerker geeft persoonsgegevens alleen door aan landen buiten de EU/EER indien voldaan is aan Hoofdstuk V AVG. De volgorde van toe te passen mechanismen is:

1. Adequaatheidsbesluit van de Europese Commissie — bijv. het EU-US Data Privacy Framework (DPF, juli 2023) voor gecertificeerde Amerikaanse partijen. Verwerker controleert de geldigheid van certificeringen periodiek.
2. Standard Contractual Clauses (SCC's) conform Commissiebesluit 2021/914 — van toepassing indien een provider niet gecertificeerd is onder een adequaatheidsbesluit.
3. Transfer Impact Assessment (TIA) — wordt uitgevoerd indien er twijfel bestaat over de effectiviteit van de toegepaste waarborg, met name bij landen met vergaande overheidstoegang tot data.

Voor doorgifte naar Zwitserland (o.a. MapTiler) geldt een adequaatheidsbesluit van de Europese Commissie. Voor doorgifte naar de VS gebruiken wij, waar nodig, SCC's met aanvullende waarborgen.

9. Datalekken en incidenten

• Verwerker meldt een (vermoedelijk) datalek zo spoedig mogelijk, uiterlijk binnen 24 uur na ontdekking schriftelijk aan Verwerkingsverantwoordelijke.
• De melding bevat, voor zover beschikbaar: de aard van het datalek, categorieën en aantal betrokkenen en persoonsgegevens, waarschijnlijke gevolgen en genomen/voorgestelde maatregelen.
• Verwerkingsverantwoordelijke is verantwoordelijk voor de wettelijke melding aan de Autoriteit Persoonsgegevens (AP) binnen 72 uur na kennisneming (Art. 33 AVG) en voor eventuele melding aan betrokkenen (Art. 34 AVG).
• Verwerker ondersteunt Verwerkingsverantwoordelijke bij meldplichten aan toezichthouders en betrokkenen en documenteert alle incidenten ten behoeve van de verantwoordingsplicht (Art. 5 lid 2 AVG).

10. Verwijdering en teruggave van gegevens

• Na afloop van de dienstverlening verwijdert Verwerker persoonsgegevens, tenzij wettelijke bewaarplicht anders vereist.
• Verwerker kan een beperkte bewaartermijn hanteren voor back-ups en hersteldoeleinden, met passende beveiliging.
• Op verzoek verstrekt Verwerker redelijke medewerking aan dataportabiliteit/export binnen technische grenzen.

11. Rechten van betrokkenen

Verwerker ondersteunt Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bij het voldoen aan verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar).

12. Audit en informatieplicht

Verwerker stelt op verzoek informatie beschikbaar die nodig is om naleving van deze VWO aan te tonen. Audits vinden plaats op redelijke grond, met redelijke aankondiging, zonder verstoring van bedrijfsvoering en met inachtneming van vertrouwelijkheid en beveiliging.

13. DPIA (Gegevensbeschermingseffectbeoordeling)

• Bij verwerkingen met een hoog risico voor de rechten en vrijheden van betrokkenen is Verwerkingsverantwoordelijke verplicht een Data Protection Impact Assessment (DPIA) uit te voeren conform Art. 35 AVG. Dit geldt onder meer bij grootschalige of systematische verwerking van locatiegegevens.
• Verwerker verleent de benodigde medewerking aan de uitvoering van een DPIA, waaronder het verstrekken van informatie over verwerkingsprocessen en beveiligingsmaatregelen.

14. Functionaris voor Gegevensbescherming (FG / DPO)

Verwerkingsverantwoordelijke beoordeelt of de aanstelling van een Functionaris voor Gegevensbescherming (FG) verplicht is op grond van Art. 37 AVG, bijvoorbeeld bij grootschalige of systematische verwerking van persoonsgegevens.

Contactgegevens FG Verwerkingsverantwoordelijke (indien van toepassing): door Verwerkingsverantwoordelijke in te vullen bij aanvang van de overeenkomst.

15. Aansprakelijkheid en voorrang

Op aansprakelijkheid onder deze VWO zijn de aansprakelijkheidsbeperkingen uit de Algemene Voorwaarden van toepassing, tenzij dwingendrechtelijk anders bepaald. Bij strijdigheid tussen deze VWO en de Algemene Voorwaarden prevaleert deze VWO voor zover het de verwerking van persoonsgegevens betreft.

16. Toepasselijk recht

Op deze VWO is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar WayTime is gevestigd, tenzij dwingend recht anders voorschrijft.