Partijen
Deze verwerkersovereenkomst (DPA) is gesloten tussen Offzo B.V., gevestigd op Postbus 1, 1000 AA Amsterdam (KvK 00000000), hierna “Verwerker”, en de organisatie die Offzo gebruikt en deze DPA heeft geaccepteerd, hierna “Verwerkingsverantwoordelijke”.
Acceptatie van deze DPA gebeurt actief: een HR/Admin van de organisatie klikt akkoord in de Offzo-app. Datum, IP-adres en DPA-versie worden vastgelegd. Bij significante wijziging vragen we opnieuw om akkoord.
1. Onderwerp en duur
Deze DPA regelt de verwerking van persoonsgegevens die de Verwerkingsverantwoordelijke via Offzo laat verwerken. De DPA loopt zolang de hoofdovereenkomst (abonnement) loopt en eindigt automatisch wanneer het abonnement eindigt.
2. Aard, doel en categorieën
Aard van de verwerking: opslag, weergave, bewerking, rapportage en uitwisseling van personeels- en verlofgegevens via de Offzo-applicatie.
Doel: het leveren van Offzo als HR-tool voor verlof- en verzuimadministratie.
Betrokkenen: medewerkers van de Verwerkingsverantwoordelijke (incl. flex/uitzend, mits ingevoerd in Offzo), en HR/management gebruikers binnen de organisatie.
Categorieën persoonsgegevens:
- Identificatiegegevens (naam, e-mail, geboortedatum)
- Contactgegevens (telefoon, adres — indien ingevoerd)
- Dienstverband-gegevens (functie, afdeling, contract, uren, looptijd)
- Verlofgegevens (aanvragen, saldi, goedkeuringen)
- Verzuimgegevens — uitsluitend administratief: eerste/laatste ziektedag, mate van inzetbaarheid (bv. 0% / 50% / 100%). Geen medische diagnose of oorzaak. Die hoort bij de bedrijfsarts en mag niet in Offzo worden ingevoerd.
Verzuimgegevens vallen onder bijzondere categorieën persoonsgegevens (AVG art. 9). De wettelijke basis ligt bij de Verwerkingsverantwoordelijke (Wet verbetering poortwachter). Onze rolverdeling is verwerker — wij verwerken uitsluitend in opdracht.
3. Instructies van de Verwerkingsverantwoordelijke
Wij verwerken persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. Het gebruik van de Offzo-applicatie zelf — alle handelingen die je daarin uitvoert — geldt als zo'n instructie. Aanvullende instructies kunnen per mail naar privacy@offzo.nl.
Als wij menen dat een instructie in strijd is met de AVG of andere privacy-wetgeving, melden we dat onmiddellijk en mogen we de uitvoering opschorten.
4. Vertrouwelijkheid
Alle medewerkers en ingehuurden van Offzo die toegang hebben tot persoonsgegevens zijn gehouden aan een geheimhoudingsverklaring of een wettelijke geheimhoudingsplicht.
5. Beveiligingsmaatregelen
Wij treffen passende technische en organisatorische maatregelen, rekening houdend met de stand der techniek en het risico voor betrokkenen (AVG art. 32). Concreet:
- HTTPS voor alle verkeer (TLS 1.2 of hoger)
- Database versleuteld op disk (Postgres at-rest encryption)
- Wachtwoorden gehasht met bcrypt
- API-keys versleuteld met AES-256-GCM
- RBAC: rolgebaseerde toegang binnen elke organisatie
- Audit-logs voor gevoelige acties
- Dagelijkse back-ups, retentie 30 dagen
- Toegang tot productie alleen via 2FA en alleen voor noodzakelijk personeel
- Periodieke security-reviews en dependency-updates
6. Subverwerkers
De Verwerkingsverantwoordelijke geeft Verwerker een algemene toestemming om subverwerkers in te schakelen voor het leveren van Offzo. De actuele lijst staat op /subverwerkers.
Voor elke subverwerker is een verwerkersovereenkomst van kracht die ten minste dezelfde verplichtingen oplegt. Bij wijziging in de lijst (toevoegen of vervangen) informeren we klanten minimaal 30 dagen van tevoren via e-mail. Maakt de Verwerkingsverantwoordelijke binnen die termijn schriftelijk bezwaar, dan zoeken we naar een oplossing of mag de Verwerkingsverantwoordelijke het abonnement opzeggen.
7. Rechten van betrokkenen
Wij ondersteunen de Verwerkingsverantwoordelijke bij het afhandelen van verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, overdraagbaarheid). Werknemers kunnen via /account hun eigen User-data inzien, downloaden (JSON) en verwijderen.
Verzoeken die wij rechtstreeks van werknemers ontvangen sturen we door aan de Verwerkingsverantwoordelijke; wij voeren ze niet zelf uit zonder hun instructie.
8. Datalekken
Wij melden een datalek dat (mogelijk) persoonsgegevens van de Verwerkingsverantwoordelijke betreft onverwijld, en uiterlijk binnen 24 uur na ontdekking. De melding bevat:
- aard van het datalek en getroffen categorieën gegevens;
- (geschat) aantal betrokkenen en welke organisaties geraakt zijn;
- waarschijnlijke gevolgen;
- genomen of voorgestelde maatregelen.
De Verwerkingsverantwoordelijke is verantwoordelijk voor de eventuele melding bij de Autoriteit Persoonsgegevens en — bij hoog risico — aan de betrokkenen.
9. Doorgifte buiten de EER
De Offzo-database draait fysiek in Amsterdam (Fly.io, NL). Sommige subverwerkers — zoals Resend (Amazon SES eu-west-1, Ierland), Mollie (NL), Cloudflare (wereldwijd, EU-residency-mogelijkheden) en OAuth-providers — kunnen vanuit hun moederbedrijf in de VS toegang hebben tot infrastructuur. Voor deze doorgifte gebruiken we de standaard contractuele clausules zoals goedgekeurd door de Europese Commissie.
10. Audit
De Verwerkingsverantwoordelijke kan een keer per jaar (of vaker bij gerede aanleiding) een audit uitvoeren of laten uitvoeren door een onafhankelijke derde, mits onder NDA en op redelijke termijn aangekondigd. Kosten zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een materiële tekortkoming aantoont.
11. Einde DPA
Bij beëindiging van het abonnement mag de Verwerkingsverantwoordelijke binnen 30 dagen een data-export opvragen. Daarna verwijderen of anonimiseren wij de gegevens conform de bewaartermijnen uit de privacyverklaring. Gegevens die wij wettelijk moeten bewaren (facturen 7 jaar) blijven gearchiveerd.
12. Aansprakelijkheid
Aansprakelijkheid onder deze DPA volgt de hoofdovereenkomst (de algemene voorwaarden). Bestuurlijke boetes onder de AVG worden gedragen door de partij die de overtreding heeft veroorzaakt; de andere partij is daaraan niet gebonden.
13. Slotbepalingen
- Bij tegenstrijdigheid tussen deze DPA en de algemene voorwaarden gaat de DPA voor wat betreft de verwerking van persoonsgegevens.
- Wijzigingen in deze DPA worden minimaal 30 dagen vooraf aangekondigd. Wij vragen opnieuw om actief akkoord bij materiële wijzigingen.
- Op deze DPA is Nederlands recht van toepassing.
Vragen
Vragen over deze verwerkersovereenkomst? Mail privacy@offzo.nl.