Verwerkersovereenkomst

Verwerker: Fluqsus Consultancy, Leiduinstraat 6-3, 1059 EA Amsterdam, KvK 99038846.

Verwerkingsverantwoordelijke: de rechtspersoon die een abonnement heeft afgesloten op Workflow Visualiser en deze verwerkersovereenkomst heeft aanvaard via de registratieprocedure.

Samen aangeduid als "Partijen".

• Fluqsus levert aan Klant de SaaS-dienst Workflow Visualiser, waarmee workflows in AFAS Profit visueel inzichtelijk worden gemaakt.
• In het kader van deze dienstverlening verwerkt Fluqsus persoonsgegevens namens en in opdracht van Klant.
• Partijen zijn gehouden de verplichtingen na te komen die voortvloeien uit de AVG (EU 2016/679) en de Uitvoeringswet AVG (UAVG).
• Deze verwerkersovereenkomst legt de rechten en verplichtingen van Partijen vast, overeenkomstig artikel 28 AVG.

• AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens.
• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• Inbreuk: een beveiligingsinbreuk die leidt tot vernietiging, verlies, wijziging of onbevoegde toegang tot persoonsgegevens.
• Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld bij de verwerking.

2.1 Deze verwerkersovereenkomst heeft betrekking op de verwerking van persoonsgegevens die plaatsvindt in het kader van de Dienst, voor de duur van het abonnement.

2.2 De verwerkersovereenkomst treedt in werking op het moment van aanvaarding tijdens de registratieprocedure en loopt van rechtswege af bij beëindiging van het abonnement.

2.3 De aard van de verwerking bestaat uit: het ophalen, tijdelijk opslaan, verwerken en visualiseren van workflowinformatie uit de AFAS-omgeving van Klant, alsmede het beheren van accountgegevens van beheerders van Klant.

• Het beschikbaar stellen en in stand houden van de Dienst.
• Het visualiseren van AFAS Profit-workflows op basis van data uit de AFAS-omgeving van Klant.
• Het beheren van gebruikersaccounts (beheerders) van Klant.
• Het verwerken van betalingen en het versturen van transactionele communicatie.
• Het beveiligen van de Dienst en het detecteren van misbruik.

Fluqsus verwerkt de persoonsgegevens niet voor eigen doeleinden, tenzij daartoe een wettelijke verplichting bestaat.

Betrokkenen zijn: beheerders van Klant en medewerkers van Klant wiens gegevens indirect aanwezig zijn in de workflowdata. Fluqsus verwerkt geen bijzondere categorieën persoonsgegevens (art. 9 AVG).

• Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van Klant.
• De vertrouwelijkheid van de persoonsgegevens waarborgen en personen met toegang binden aan geheimhouding.
• Passende technische en organisatorische beveiligingsmaatregelen treffen (zie artikel 7).
• Klant onverwijld — en in ieder geval binnen 48 uur — informeren bij een (vermoedelijke) inbreuk op de persoonsgegevens.
• Klant ondersteunen bij rechten van betrokkenen, beveiligingsmaatregelen en meldplichten.
• Op verzoek alle informatie verstrekken die nodig is om naleving aan te tonen.

• Fluqsus uitsluitend opdracht geven tot verwerkingen die rechtmatig zijn en in overeenstemming met de AVG.
• Zorgen dat de AFAS-omgeving correct is geconfigureerd en dat de gedeelde data niet meer persoonsgegevens bevat dan noodzakelijk.
• Fluqsus tijdig informeren over wijzigingen in de verwerkingsdoeleinden of de categorieën persoonsgegevens.
• Zorgdragen voor een geldige grondslag voor de verwerking van persoonsgegevens van betrokkenen binnen de eigen organisatie.

• Versleuteling van AFAS-tokens met AES-256-GCM.
• HTTPS/TLS-versleuteling voor alle communicatie.
• Toegangsbeveiliging via gehashte wachtwoorden en authenticatietokens.
• Beperkte toegang tot de productieomgeving via SSH-sleutels en firewallregels.
• Afscherming van de databasebeheerinterface via Traefik Basic Auth.
• Rate limiting op alle API-eindpunten.
• Een noodstopsysteem voor directe uitschakeling van de Dienst bij incidenten.

Klant is verantwoordelijk voor de beveiliging van de AFAS-omgeving en de App Connector token aan de eigen zijde.

Fluqsus informeert Klant vooraf over wijzigingen in sub-verwerkers. Klant heeft het recht hiertegen gemotiveerd bezwaar te maken.

Doorgifte naar sub-verwerkers buiten de EER vindt uitsluitend plaats op basis van door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's). Fluqsus draagt zorg voor het afsluiten van de vereiste overeenkomsten.

10.1 Klant is als Verwerkingsverantwoordelijke primair verantwoordelijk voor het afhandelen van verzoeken van betrokkenen.

10.2 Fluqsus verleent Klant op verzoek medewerking bij het uitvoeren van rechten van betrokkenen, voor zover technisch mogelijk binnen de Dienst.

10.3 Fluqsus stuurt verzoeken van betrokkenen die rechtstreeks bij Fluqsus binnenkomen door naar Klant.

11.1 Fluqsus meldt een inbreuk onverwijld — en in ieder geval binnen 48 uur na ontdekking — aan Klant.

11.2 De melding bevat ten minste: de aard van de inbreuk, de betrokken categorieën persoonsgegevens, een schatting van het aantal betrokkenen, de waarschijnlijke gevolgen en de getroffen maatregelen.

11.3 Klant is verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens (indien vereist) en voor de kennisgeving aan betrokkenen.

Fluqsus waarborgt dat personen die namens Fluqsus toegang hebben tot persoonsgegevens van Klant zijn gebonden aan een geheimhoudingsplicht. Deze verplichting geldt voor de duur van de overeenkomst en na beëindiging daarvan.

13.1 Fluqsus stelt Klant op verzoek de informatie ter beschikking die noodzakelijk is om naleving van artikel 28 AVG aan te tonen.

13.2 Klant heeft het recht — met inachtneming van een aankondigingstermijn van ten minste 14 dagen en maximaal één keer per jaar — een audit te laten uitvoeren door een onafhankelijke derde. Kosten zijn voor rekening van Klant.

13.3 Fluqsus kan als alternatief voor een audit een actueel auditrapport van een erkende derde partij overleggen.

14.1 Na beëindiging van het abonnement verwijdert Fluqsus alle persoonsgegevens van Klant uit de Dienst binnen 30 dagen, tenzij wettelijke bewaarplichten van toepassing zijn.

14.2 Op verzoek van Klant verstrekt Fluqsus vóór verwijdering een export van de accountgegevens in een gangbaar formaat.

14.3 Gegevens die op grond van een wettelijke verplichting moeten worden bewaard worden gescheiden bewaard en niet langer verwerkt dan strikt noodzakelijk.

15.1 Fluqsus is jegens Klant aansprakelijk voor schade die het directe gevolg is van verwerking in strijd met deze verwerkersovereenkomst of de AVG.

15.2 De totale aansprakelijkheid is beperkt tot het bedrag dat Klant in de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan abonnementskosten heeft betaald.

15.3 Klant vrijwaart Fluqsus voor aanspraken van derden die het gevolg zijn van verwerkingen die Klant heeft opgedragen in strijd met de AVG.

16.1 Deze verwerkersovereenkomst treedt in werking op het moment van aanvaarding via de registratieprocedure.

16.2 Fluqsus behoudt het recht deze verwerkersovereenkomst te wijzigen bij wijziging van de Dienst, sub-verwerkers of toepasselijke regelgeving. Bij wezenlijke wijzigingen heeft Klant het recht de overeenkomst te beëindigen.

16.3 De verwerkersovereenkomst loopt van rechtswege af bij beëindiging van het abonnement.

17.1 Op deze verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

17.2 Geschillen worden in eerste instantie beslecht door middel van overleg. Indien partijen er niet uitkomen, is de bevoegde rechter in het arrondissement Amsterdam exclusief bevoegd.