Versie: 1.0.0.1
Verwerkersovereenkomst (Data Processing Agreement)
Ingangsdatum: 28 november 2025
Verwerker: Elentrixx
Aanbieder van InQlok tijdregistratie software
Verwerkingsverantwoordelijke: De organisatie die InQlok gebruikt
⚠️ BELANGRIJKE KENNISGEVING
Deze Verwerkersovereenkomst is verplicht voor het gebruik van InQlok. De eerste administrator dient akkoord te gaan met deze overeenkomst binnen 3 maanden na activatie van het account.
Weigering of niet-acceptatie binnen 3 maanden resulteert in blokkering van de toegang tot InQlok.
Preambule
Deze Verwerkersovereenkomst (hierna: "Overeenkomst") regelt de verwerking van persoonsgegevens door Elentrixx (hierna: "Verwerker") ten behoeve van de Verwerkingsverantwoordelijke in het kader van de dienstverlening via InQlok tijdregistratiesoftware.
Deze Overeenkomst is opgesteld in overeenstemming met:
- De Algemene Verordening Gegevensbescherming (AVG/GDPR)
- De Uitvoeringswet AVG
- Alle overige toepasselijke wetgeving op het gebied van privacy en gegevensbescherming
Artikel 1 - Definities
In deze Overeenkomst worden de volgende termen gebruikt met de navolgende betekenis:
- Verwerkingsverantwoordelijke: De organisatie die InQlok gebruikt en die het doel en de middelen van de verwerking van persoonsgegevens vaststelt
- Verwerker: Elentrixx, de aanbieder van InQlok, die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke
- Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
- Verwerking: Elke bewerking met betrekking tot persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen van gegevens
- Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens
- Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt
Artikel 2 - Onderwerp en Duur
2.1 Onderwerp
De Verwerker verwerkt persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke ten behoeve van het leveren van tijdregistratiediensten via InQlok.
2.2 Duur
Deze Overeenkomst treedt in werking op de datum van acceptatie door de eerste administrator en blijft van kracht zolang de Verwerkingsverantwoordelijke gebruik maakt van InQlok.
2.3 Verplichte Acceptatie
De eerste administrator dient deze Overeenkomst te accepteren binnen 3 maanden na activatie. Bij niet-acceptatie binnen deze termijn zal de toegang tot InQlok automatisch worden geblokkeerd.
Artikel 3 - Verplichtingen van de Verwerker
3.1 Verwerking conform instructies
De Verwerker verwerkt persoonsgegevens uitsluitend:
- Op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke
- Voor de doeleinden zoals beschreven in deze Overeenkomst
- In overeenstemming met de AVG en andere toepasselijke wetgeving
3.2 Vertrouwelijkheid
De Verwerker garandeert dat:
- Alle personen die toegang hebben tot persoonsgegevens een geheimhoudingsplicht hebben
- Alleen geautoriseerd personeel toegang heeft tot persoonsgegevens
- Medewerkers zijn opgeleid in het correct omgaan met persoonsgegevens
3.3 Beveiliging
De Verwerker implementeert passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen:
- Ongeoorloofde of onrechtmatige verwerking
- Onopzettelijk verlies, vernietiging of beschadiging
- Ongeoorloofde toegang
Beveiligingsmaatregelen omvatten:
- Encryptie van gegevens in transit (TLS/SSL)
- Encryptie van gegevens at rest
- Toegangscontrole en authenticatie (multi-factor waar mogelijk)
- Regelmatige beveiligingsupdates
- Logging en monitoring van toegang
- Reguliere back-ups
- Penetratietests en beveiligingsaudits
Artikel 4 - Aard en Doel van de Verwerking
4.1 Doel van de verwerking
Persoonsgegevens worden verwerkt voor de volgende doeleinden:
- Tijdregistratie van medewerkers
- Beheer van werk- en rusttijden
- Verlof- en afwezigheidsbeheer
- Rapportage en analyse van gewerkte uren
- Dienstplanning en roostering
- Goedkeuringsprocessen voor tijdsregistratie
4.2 Categorieën van betrokkenen
- Medewerkers van de Verwerkingsverantwoordelijke
- Managers en administrators
- Andere gebruikers van het systeem
4.3 Categorieën van persoonsgegevens
| Categorie |
Voorbeelden van gegevens |
| Identificatiegegevens |
Naam, e-mailadres, personeelsnummer |
| Werkgerelateerde gegevens |
Functie, afdeling, contracturen, uurloon |
| Tijdregistratiegegevens |
In- en uitkloktijden, gewerkte uren, pauzes |
| Verlofgegevens |
Verlofsaldo, verlofdagen, TVT-saldo, ziektemeldingen |
| Planningsgegevens |
Roosters, beschikbaarheid, diensten |
| Systeemgegevens |
IP-adres, inloggegevens, gebruiksstatistieken |
Artikel 5 - Rechten van Betrokkenen
5.1 Faciliteren van rechten
De Verwerker verleent medewerking aan de Verwerkingsverantwoordelijke bij het uitoefenen van de volgende rechten door betrokkenen:
- Recht op inzage: Betrokkenen kunnen hun persoonsgegevens inzien
- Recht op rectificatie: Onjuiste gegevens kunnen worden gecorrigeerd
- Recht op verwijdering: Gegevens kunnen worden verwijderd (onder voorwaarden)
- Recht op beperking: Verwerking kan worden beperkt
- Recht op dataportabiliteit: Gegevens kunnen worden geëxporteerd
- Recht van bezwaar: Bezwaar tegen verwerking
5.2 Termijnen
De Verwerker zal verzoeken van betrokkenen binnen een redelijke termijn (maximaal 30 dagen) afhandelen.
Artikel 6 - Sub-verwerkers
6.1 Gebruik van sub-verwerkers
De Verwerker mag gebruik maken van sub-verwerkers voor specifieke verwerkingsactiviteiten. Huidige sub-verwerkers zijn:
| Sub-verwerker |
Dienst |
Locatie |
| Google Cloud Platform (Firebase) |
Database hosting en authenticatie |
EU/EER |
| Cloudflare |
CDN en DDoS-bescherming |
EU/EER |
6.2 Waarborgen
De Verwerker waarborgt dat sub-verwerkers:
- Dezelfde verplichtingen hebben als de Verwerker onder deze Overeenkomst
- Voldoen aan de AVG en andere toepasselijke wetgeving
- Passende beveiligingsmaatregelen implementeren
6.3 Kennisgeving
De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen in sub-verwerkers, waartegen bezwaar kan worden gemaakt.
Artikel 7 - Gegevensoverdracht buiten de EU/EER
7.1 Principe
Persoonsgegevens worden bij voorkeur binnen de EU/EER verwerkt. Indien overdracht naar landen buiten de EU/EER noodzakelijk is, worden passende waarborgen getroffen.
7.2 Waarborgen
Bij gegevensoverdracht buiten de EU/EER worden de volgende waarborgen gebruikt:
- EU-goedgekeurde Standaard Contractuele Clausules (SCC's)
- Adequaatheidsbesluit van de Europese Commissie
- Aanvullende technische en organisatorische maatregelen
Artikel 8 - Datalekken
8.1 Meldingsplicht
Bij een datalek:
- Meldt de Verwerker dit onverwijld (binnen 48 uur) aan de Verwerkingsverantwoordelijke
- Verstrekt de Verwerker alle relevante informatie voor melding aan de Autoriteit Persoonsgegevens
- Verleent de Verwerker volledige medewerking aan onderzoek en herstelmaatregelen
8.2 Te verstrekken informatie
De melding bevat minimaal:
- De aard van het datalek
- Categorieën en aantal betrokkenen
- Categorieën en aantal persoonsgegevens
- Waarschijnlijke gevolgen
- Getroffen en voorgestelde maatregelen
Artikel 9 - Audits en Inspectie
9.1 Auditrechten
De Verwerkingsverantwoordelijke heeft het recht om:
- Audits uit te voeren of te laten uitvoeren
- Inspectie te houden van de verwerkingsactiviteiten
- Documentatie op te vragen over de naleving van deze Overeenkomst
9.2 Frequentie en kosten
Audits kunnen maximaal 1x per jaar plaatsvinden, tenzij er sprake is van een datalek of vermoeden van niet-naleving. Kosten zijn voor rekening van de Verwerkingsverantwoordelijke.
Artikel 10 - Bewaartermijn en Verwijdering
10.1 Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, tenzij een langere bewaartermijn wettelijk is vereist.
10.2 Verwijdering na beëindiging
Na beëindiging van de dienstverlening:
- Worden alle persoonsgegevens binnen 30 dagen verwijderd of geretourneerd
- Verstrekt de Verwerker een verklaring van verwijdering
- Worden back-ups binnen 90 dagen gewist
10.3 Uitzonderingen
De Verwerker mag gegevens langer bewaren indien dit wettelijk verplicht is (bijv. voor fiscale doeleinden).
Artikel 11 - Geheimhouding
Beide partijen verplichten zich tot geheimhouding van alle vertrouwelijke informatie die zij in het kader van deze Overeenkomst verkrijgen. Deze verplichting blijft bestaan na beëindiging van de Overeenkomst.
Artikel 12 - Aansprakelijkheid
12.1 AVG-aansprakelijkheid
De aansprakelijkheid voor schade als gevolg van niet-naleving van de AVG wordt bepaald volgens de AVG (artikel 82).
12.2 Beperking
Tenzij sprake is van opzet of grove schuld, is de aansprakelijkheid van de Verwerker beperkt tot directe schade en tot maximaal het bedrag dat in het voorafgaande jaar is betaald voor de dienstverlening.
12.3 Vrijwaring
De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen claims van derden die voortvloeien uit instructies van de Verwerkingsverantwoordelijke die in strijd zijn met de AVG.
Artikel 13 - Intellectuele Eigendom
Alle intellectuele eigendomsrechten met betrekking tot InQlok blijven berusten bij Elentrixx. De Verwerkingsverantwoordelijke verkrijgt uitsluitend een gebruiksrecht voor de duur van de overeenkomst.
Artikel 14 - Wijzigingen
14.1 Recht op wijziging
De Verwerker behoudt zich het recht voor deze Overeenkomst te wijzigen in geval van:
- Wijzigingen in de AVG of andere wetgeving
- Aanbevelingen van de Autoriteit Persoonsgegevens
- Wijzigingen in de dienstverlening
14.2 Kennisgeving
Wijzigingen worden minimaal 30 dagen van tevoren aangekondigd via e-mail en in het systeem. De nieuwe versie wordt gepubliceerd met een bijgewerkt versienummer.
14.3 Bezwaar
Indien de Verwerkingsverantwoordelijke niet akkoord gaat met wezenlijke wijzigingen, kan de overeenkomst worden beëindigd.
Artikel 15 - Beëindiging
15.1 Gronden voor beëindiging
Deze Overeenkomst kan worden beëindigd:
- Bij beëindiging van het gebruik van InQlok
- Bij materiële schending van de Overeenkomst
- Bij faillissement of surseance van betaling
15.2 Gevolgen
Na beëindiging worden alle persoonsgegevens verwijderd conform Artikel 10.
Artikel 16 - Verplichte Acceptatie
BELANGRIJKE BEPALING
- Deze Verwerkersovereenkomst is verplicht voor het gebruik van InQlok
- De eerste administrator dient deze overeenkomst te accepteren
- Acceptatie dient plaats te vinden binnen 3 maanden na activatie van het administratoraccount
- Deze overeenkomst kan niet worden geweigerd
- Bij niet-acceptatie binnen 3 maanden wordt de toegang tot InQlok automatisch geblokkeerd
- Blokkering kan alleen worden opgeheven na alsnog accepteren van deze overeenkomst
Artikel 17 - Toepasselijk Recht en Geschillen
17.1 Toepasselijk recht
Op deze Overeenkomst is Nederlands recht van toepassing.
17.2 Geschillen
Geschillen voortvloeiend uit deze Overeenkomst worden bij voorkeur minnelijk opgelost. Indien dit niet mogelijk is, zijn de bevoegde rechtbanken in Nederland exclusief bevoegd.
Artikel 18 - Slotbepalingen
18.1 Gehele overeenkomst
Deze Overeenkomst vormt, samen met de Algemene Voorwaarden en Privacyverklaring, de volledige overeenkomst tussen partijen met betrekking tot de verwerking van persoonsgegevens.
18.2 Voorrang
Bij tegenstrijdigheid tussen deze Verwerkersovereenkomst en andere documenten, prevaleert deze Verwerkersovereenkomst.
18.3 Contactgegevens
Voor vragen over deze Verwerkersovereenkomst:
Elentrixx
E-mail: privacy@elentrixx.nl
Functionaris Gegevensbescherming (indien van toepassing):
E-mail: dpo@elentrixx.nl
Versiegeschiedenis
| Versie |
Datum |
Wijzigingen |
| 1.0.0.1 |
28 november 2025 |
Eerste versie - Initiële publicatie van Verwerkersovereenkomst |