1.DEFINITIES

1. Jullie: iedere (rechts)persoon die met ons een Overeenkomst is aangegaan, aangaat of wil aangaan.
2. Wij of ons: FLEOX B.V, statutair gevestigd te (2908 LP) Capelle aan den IJssel aan het adres Rietbaan 12, ingeschreven in het Handelsregister onder nummers 85332437.
3. Betrokkene: de betrokkene in de zin van de AVG.
4. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens.
5. Medewerkers: de personen die wij inschakelen voor de Verwerking en die onder verantwoordelijkheid van ons werken.
6. Overeenkomst: de Overeenkomst tussen jullie en ons, inclusief bijlagen.
7. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
8. Subverwerker: iedere derde partij die door ons is betrokken bij de Verwerking in het kader van de Overeenkomst, niet zijnde Medewerkers.
9. Verantwoordelijke: jullie–de verwerkingsverantwoordelijke in de zin van de AVG.
10. Verwerken: elke handeling of elk geheel van handelingen met Persoonsgegevens.
11. Verwerker: wij – de verwerker in de zin van de AVG.
12. Verwerking: het Verwerken van een bepaalde soort of soorten Persoonsgegevens van (een) bepaalde categorie(ën) Betrokkenen voor een of meerdere welbepaalde, specifiek omschreven en gerechtvaardigde doeleinde(n) voor een vooraf vastgestelde duur.
13. Verwerkingsvoorwaarden: deze voorwaarden, inclusief bijlagen, die onverbrekelijk deel uitmaken van de Overeenkomst.

2. ONDERWERP

1. Wij verbinden ons in opdracht van jullie te Verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Overeenkomst.
2. Wij zullen de Persoonsgegevens niet voor enig ander doel Verwerken dan voortvloeit uit de Overeenkomst.
3. Wij nemen geen zelfstandige beslissingen over de Verwerking, de verstrekking van Persoonsgegevens aan derden en/of de duur van de Verwerking.
4. Verwerking in en doorgifte van Persoonsgegevens naar landen buiten de EER is enkel toegestaan met voorafgaande toestemming van jullie.

3. VERPLICHTINGEN VERWERKER

1. Wij Verwerken op een behoorlijke, zorgvuldige en transparante wijze.
2. Wij Verwerken uitsluitend op basis van voorafgaande instructie van jullie, tenzij wij wettelijk verplicht zijn tot Verwerking. In dat geval stellen wij jullie daarvan op de hoogte, voor zover dat is toegestaan.
3. Wij zullen jullie op eerste verzoek informeren over de door ons genomen maatregelen vanuit deze Verwerkingsvoorwaarden en/of de toepasselijke wet- en regelgeving.
4. Wij schakelen geen Subverwerkers in zonder voorafgaande toestemming van jullie.
5. Wanneer wij met toestemming van jullie Subverwerkers inschakelen, zorgen wij ervoor dat zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkingsvoorwaarden. Wij verplichten iedere Subverwerker om Persoonsgegevens niet verder te Verwerken anders dan in het kader van deze Verwerkingsvoorwaarden is bepaald.

4. BEVEILIGING EN MELDPLICHT DATALEKKEN

1. Wij dragen zorg voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren. Hierbij nemen wij de beveiligingsvereisten van artikel 32 AVG in acht en houden wij rekening met de risico’s van de Verwerking en de aard van de Persoonsgegevens. Wij zullen de door ons getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
2. In het geval van een Datalek zullen wij na het ontdekken daarvan jullie zonder onredelijke vertraging daarover informeren. Jullie beslissen of de Betrokkene(n) en/of de relevante toezichthouder(s) worden geïnformeerd. Indien jullie dit wensen en/of de wet- en regelgeving dit vereist, zullen wij meewerken aan het informeren.
3. Wij spannen ons in dat de verstrekte informatie volledig, correct en accuraat is. Ook houden wij jullie op de hoogte van verdere ontwikkelingen rondom het Datalek.

5. VERZOEKEN VAN BETROKKENEN

1. Wanneer de Betrokkene een verzoek tot inzage of verbetering, aanvulling, wijziging of afscherming van zijn Persoonsgegevens aan ons richt, zullen wij hem doorverwijzen naar jullie. Verantwoordelijkheid voor afhandeling van verzoeken ligt in beginsel bij jullie.
2. Wanneer de Betrokkene een verzoek tot inzage aan ons richt, zullen wij, indien jullie dit wensen, binnen 14 dagen hieraan medewerking verlenen.

BIJLAGE 1 Onze normen en standaarden

De maatregelen waaraan wij ons houden zijn als volgt:
• wij hanteren een beleidsdocument dat expliciet ingaat op de maatregelen die de privacy waarborgen en de Verwerking van Persoonsgegevens beveiligen. De verantwoordelijkheden, zowel op sturend als uitvoerend niveau, zijn daarin duidelijk gedefinieerd en belegd. Dit beleidsdocument (hierna: het Privacy- en informatiebeveiligingsbeleid) is gebaseerd op wet- en regelgeving en algemeen gehanteerde (beveiligings-) standaarden. Alle Medewerkers en, voor zover van toepassing, externe gebruikers zijn geïnformeerd over het Privacy- en informatiebeveiligingsbeleid, voor zover relevant voor hun functie;
• Medewerkers zijn gehouden aan een geheimhoudingsplicht en bij indiensttreding heeft een screening plaatsgevonden (indien van toepassing);
• er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en om onbevoegde toegang tot netwerk en informatiesystemen te voorkomen;
• bij verstrekken van Persoonsgegevens aan derden wordt adequate beveiliging toegepast.
• activiteiten die gebruikers uitvoeren met Persoonsgegevens worden vastgelegd. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot Persoonsgegevens en verstoringen die kunnen leiden tot beschadiging of verlies van Persoonsgegevens;
• het netwerk en de informatiesystemen wordt actief gemonitord en beheerd;
• software, zoals browsers, virusscanners en operatiesystemen, wordt up-to-date gehouden;

BIJLAGE 2 Soort Persoonsgegevens die worden verwerkt en categorieën betrokkenen

Categorieën betrokkenen:
• sollicitanten;
• kandidaten;
• uitzendkrachten;
• zelfstandigen zonder personeel (zzp’ers).

Persoonsgegevens:
• naam;
• adres;
• geslacht;
• geboortedatum;
• e-mailadres;
• CV;
• diploma’s en certificaten;
• registraties (bijv. BIG bij zorgpersoneel of KvK en btw bij zzp’ers);
• Verklaring omtrent Gedrag (indien van toepassing);
• kopie legitimatiebewijs en tewerkstellingsvergunning van uitzendkrachten buiten de EER;
• verblijfsvergunning van zzp’ers buiten de EER;
• telefoonnummer en BSN (bij uitzendkrachten).