Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 1 januari 2026

Deze verwerkersovereenkomst ("DPA") vormt onderdeel van de Overeenkomst tussen:

  • De Klant, zijnde de verwerkingsverantwoordelijke ("Verwerkingsverantwoordelijke"); en
  • Offsoo B.V., gevestigd te Utrecht, Nederland, KvK 82696233 ("Verwerker").

Verwerkingsverantwoordelijke en Verwerker worden hierna gezamenlijk aangeduid als Partijen.

Doel en toepasselijkheid

Verwerker verwerkt Persoonsgegevens uitsluitend namens Verwerkingsverantwoordelijke en uitsluitend voor zover noodzakelijk voor het leveren en beveiligen van de Software en ondersteunende dienstverlening.

Deze DPA is opgesteld conform artikel 28 AVG en geldt voor alle verwerkingen die Verwerker uitvoert als verwerker namens Verwerkingsverantwoordelijke.

Definities

Begrippen hebben de betekenis zoals gedefinieerd in artikel 4 AVG, waaronder: Persoonsgegevens, Verwerking, Betrokkene, Inbreuk in verband met Persoonsgegevens (datalek).

Duur, teruggeven en verwijderen

Deze DPA geldt gedurende de looptijd van de Overeenkomst.

Na beëindiging van de Overeenkomst is de Offsoo-omgeving van Verwerkingsverantwoordelijke niet langer toegankelijk voor Verwerkingsverantwoordelijke.

Verwerker bewaart Persoonsgegevens na beëindiging totdat Verwerkingsverantwoordelijke verwijdering verzoekt, met een maximale bewaartermijn van één (1) jaar na beëindiging, waarna Verwerker Persoonsgegevens verwijdert of anonimiseert, tenzij een wettelijke bewaarplicht geldt.

Export: Verwerker kan op verzoek redelijke medewerking verlenen aan het aanleveren van exports (bijv. Klanten/Uren/Planningen als CSV/Excel) binnen de bewaartermijn. Eventuele aanvullende werkzaamheden kunnen tegen vergoeding plaatsvinden.

Back-ups hebben een maximale retentie van drie (3) maanden. Verwijdering uit back-ups vindt plaats door verloop van de retentie en/of door volledige verwijdering van een omgeving.

Aard, doel en instructies

Aard en doel: het hosten, beschikbaar stellen, beveiligen, onderhouden en ondersteunen van de Software, inclusief troubleshooting, monitoring en incidentafhandeling.

Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke of elektronische instructies van Verwerkingsverantwoordelijke. Het gebruik van de Software, het indienen van supportverzoeken (e-mail/Intercom) en het activeren van integraties geldt als instructie.

Verwerker is gerechtigd Persoonsgegevens in te zien en te verwerken voor noodzakelijke operationele doeleinden (zoals updates, onderhoud, beveiliging, monitoring en ondersteuning), met inachtneming van passende toegangsbeperkingen en geheimhouding.

Categorieën betrokkenen en gegevens

Categorieën betrokkenen kunnen onder meer zijn: medewerkers van Verwerkingsverantwoordelijke, klanten/relaties van Verwerkingsverantwoordelijke, en overige personen van wie gegevens door Verwerkingsverantwoordelijke in de Software worden verwerkt.

Soorten Persoonsgegevens kunnen onder meer zijn: identificatie- en contactgegevens, accountgegevens, planning-/taakgegevens, urenregistratie, notities, log- en auditgegevens, en inhoud van vrije invoervelden. Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de inhoud in vrije velden.

Verplichtingen Verwerker

Verwerker waarborgt dat personen die onder zijn gezag handelen gebonden zijn aan een geheimhoudingsplicht.

Verwerker verleent redelijke medewerking aan verzoeken van Verwerkingsverantwoordelijke inzake rechten van betrokkenen, voor zover dit binnen de rol van Verwerker past.

Verwerker ondersteunt Verwerkingsverantwoordelijke redelijkerwijs bij:

  • DPIA's en voorafgaande raadpleging (waar relevant);
  • beveiligingsmaatregelen en documentatie;
  • incidentafhandeling.

Beveiligingsmaatregelen

Verwerker treft passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.

Een beschrijving op hoofdlijnen van de maatregelen is opgenomen in Bijlage 1 (TOM's) en de Security & Informatiebeveiliging-pagina van Offsoo.

Subverwerkers

Verwerker mag Subverwerkers inschakelen.

Een actuele lijst van Subverwerkers is beschikbaar op de Subverwerkers-pagina.

Verwerker informeert Verwerkingsverantwoordelijke voorafgaand aan materiële wijzigingen in Subverwerkers (bijv. via e-mail of in-app bericht). Verwerkingsverantwoordelijke kan binnen 14 dagen gemotiveerd bezwaar maken.

Indien Verwerker het bezwaar niet kan wegnemen, heeft Verwerkingsverantwoordelijke het recht de Overeenkomst (en daarmee deze DPA) te beëindigen, eventueel per direct.

Verwerker zorgt ervoor dat Subverwerkers contractueel ten minste dezelfde verplichtingen naleven als opgenomen in deze DPA.

Doorgifte buiten de EER

Persoonsgegevens worden in beginsel verwerkt binnen de EER.

Indien doorgifte buiten de EER plaatsvindt, gebeurt dit uitsluitend op basis van een geldig overdrachtsmechanisme, zoals SCC's, een adequaatheidsbesluit of het EU-US DPF (indien van toepassing).

Datalekken en incidenten

Verwerker meldt een datalek zonder onredelijke vertraging aan Verwerkingsverantwoordelijke en hanteert een streeftermijn van 72 uur na ontdekking, voor zover redelijkerwijs haalbaar.

De melding bevat, voor zover beschikbaar:

  • de aard van het incident;
  • (vermoedelijk) getroffen gegevens en categorieën betrokkenen;
  • genomen of voorgestelde maatregelen;
  • contactpunt voor opvolging.

Verwerker verleent redelijke ondersteuning bij meldingen aan toezichthouders en betrokkenen.

Contactpunt:

Audit en controle

Verwerkingsverantwoordelijke heeft het recht om maximaal éénmaal per jaar een audit te laten uitvoeren.

Audits:

  • vinden primair plaats op basis van documentatie, verklaringen en/of (beperkte) rapportages;
  • worden uitgevoerd door een onafhankelijke, gecertificeerde auditor;
  • mogen de bedrijfsvoering van Verwerker niet onnodig verstoren;
  • zijn voor rekening van Verwerkingsverantwoordelijke.

Indien een on-site audit noodzakelijk is, wordt dit in overleg gepland en gelden redelijke voorwaarden (o.a. vertrouwelijkheid, scope en tijdsvenster).

Aansprakelijkheid

De aansprakelijkheid van Verwerker in verband met deze DPA is beperkt overeenkomstig de aansprakelijkheidsbeperkingen uit de Algemene Voorwaarden van Offsoo. Deze DPA leidt niet tot een uitbreiding van aansprakelijkheid.

Rangorde en slotbepalingen

Bij strijdigheid tussen deze DPA en andere afspraken over verwerking van Persoonsgegevens, prevaleert deze DPA.

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de rechtbank Midden-Nederland, locatie Utrecht, tenzij dwingendrechtelijk anders is bepaald.

Bijlage 1 - Technische en organisatorische maatregelen (TOM's)

Verwerker hanteert onder meer de volgende maatregelen (hoog niveau):

  • versleutelde verbindingen (TLS/HTTPS);
  • hashed wachtwoorden (niet leesbaar opgeslagen);
  • toegangsbeheer op basis van least privilege;
  • logging en monitoring (o.a. foutmeldingen en beschikbaarheid);
  • periodieke back-ups (DB doorgaans ieder uur; bestanden doorgaans dagelijks);
  • incident response-procedure en meldproces;
  • MFA beschikbaar voor gebruikers en verplicht voor Offsoo beheerders waar mogelijk.

Deze lijst kan worden bijgewerkt op basis van technische ontwikkelingen en risico-inschattingen.