Verwerkersovereenkomst

Data Processing Agreement (DPA) conform AVG/GDPR
Be Bold IT B.V., KVK 80174442 | Datum: 5 maart 2026

TUSSEN:

Verwerkingsverantwoordelijke (Data Controller): De klant/organisatie die Bumpd Up abonneert (hierna: "Klant")

Verwerker (Data Processor): Be Bold IT B.V., eigenaar van Bumpd Up (hierna: "Verwerker")

Onderwerp: Verwerking van persoonsgegevens in het kader van de Bumpd Up SaaS workforce management dienstverlening.

1. Partijen en Rollen

De Klant treedt op als verwerkingsverantwoordelijke (data controller) onder artikel 4 lid 7 AVG. De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Klant.

Beide partijen zijn onderworpen aan de verplichtingen gesteld in de Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming / AVG) en nationale implementatiewetgeving.

2. Definities

In deze overeenkomst wordt verstaan onder:

  • AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming)
  • Persoonsgegevens: Alle gegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon
  • Verwerking: Elke bewerking van persoonsgegevens, zoals het verzamelen, registreren, organiseren, opslaan, bijwerken, ophalen, raadplegen, gebruiken, versturen of wissen
  • Betrokken persoon: Natuurlijke persoon op wiens gegevens de verwerking betrekking heeft
  • Gegevensinbreuk: Beveiligingsincident waarbij persoonsgegevens onbedoeld zijn blootgesteld, verloren of gewijzigd
  • Sub-verwerker: Derden die werkzaamheden namens de Verwerker uitvoeren en toegang hebben tot persoonsgegevens

3. Onderwerp en Duur

Deze overeenkomst is van toepassing op de verwerking van persoonsgegevens door de Verwerker in het kader van de levering van de Bumpd Up diensten.

Duur: Deze overeenkomst loopt zolang de Klant de Dienst afneemt, en vervalt automatisch bij beëindiging van het abonnement, behoudens nabestaande verplichtingen.

4. Aard en Doel van de Verwerking

Doel: Verlening van workforce management diensten, inclusief:

  • Urenregistratie en timesheet management
  • Contractmanagement en digitale ondertekening
  • Staffing- en plaatsingsbeheer
  • Payroll- en loonadministratie
  • Analytics, rapportage en business intelligence
  • Naleving van wettelijke verplichtingen (belastingaangiften, sociale zekerheid)
  • Voorkoming van fraude en beveiliging van de dienstverlening

Rechtmatigheid: De verwerking is rechtmatig op grond van artikel 6 lid 1b AVG (uitvoering van de dienstenovereenkomst) en artikel 6 lid 1c AVG (naleving van wettelijke verplichtingen).

5. Soorten Persoonsgegevens

De Verwerker verwerkt de volgende categorieën persoonsgegevens:

  • Identificatie: Voornaam, achternaam, geslacht, geboortedatum
  • Contactgegevens: Email, telefoonnummer, adres
  • Werkgegevens: Functie, afdeling, locatie, werktijden, contracttype
  • Identiteitsdocumenten: Burgerservicenummer (BSN), paspoortnummer (waar van toepassing)
  • Urenregistratie: Gewerkte uren, overuren, verlofuren, ziektedagen
  • Contractgegevens: Contractvoorwaarden, startdatum, salarisschaal, ratekaart
  • Financiële gegevens: Bankrekening, loongegevens, inkomstenbelasting info
  • Communicatie: E-mails, notities en opmerkingen
  • Authenticatie: Wachtwoord-hashes, twee-factor authenticatie tokens

De Klant is verantwoordelijk voor het leveren van accurate, volledige en rechtmatige gegevens.

6. Categorieën Betrokken Personen

De volgende categorieën personen kunnen worden verwerkt:

  • Werknemers van de Klant
  • Flex werkers / gelegenheidsmedewerkers
  • Zelfstandigen zonder medewerkers (zzp'ers)
  • Contactpersonen van de Klant (HR-medewerkers, managers)
  • Personeelsleden van samenwerkende bureaus of organisaties
  • Kandidaten (potentiële werknemers)

7. Verplichtingen van de Verwerker

7.1 Verwerking in opdracht

De Verwerker verwerkt persoonsgegevens uitsluitend op schriftelijk bevel van de Klant. Verwerking zonder toestemming is verboden.

7.2 Geheimhouding

Het personeel van de Verwerker is onderworpen aan geheimhouding. Toegang tot persoonsgegevens is beperkt tot personen die deze nodig hebben voor hun werkzaamheden.

7.3 Beveiligingsmaatregelen

De Verwerker implementeert technische en organisatorische maatregelen conform artikel 32 AVG:

  • End-to-end encryptie (TLS 1.3) voor data in transit
  • Versleuteling (AES-256) voor data at rest
  • Toegangscontrole met sterke authenticatie (SSO/MFA)
  • Regelmatig beveiligingstests (penetration testing, vulnerability scanning)
  • Beveiligde backups met redundantie
  • Firewall en intrusion detection systemen
  • Logging en monitoring van alle datatoegangen
  • Incident response procedures
  • Jaarlijkse beveiligingsaudits

7.4 Naleving van verzoeken betrokken personen

De Verwerker zal de Klant bijstaan bij het vervullen van rechten van betrokken personen (inzagerecht, correctierecht, verwijderingsrecht, dataportabiliteit).

7.5 Datalekken - Meldingsplicht

Bij een gegevensinbreuk stelt de Verwerker de Klant onverwijld, doch uiterlijk binnen 24 uur in kennis. De melding bevat:

  • Aard van de inbreuk
  • Betrokken persoonsgegevens
  • Waarschijnlijke gevolgen
  • Getroffen maatregelen en aanbevelingen

7.6 Data Protection Impact Assessment (DPIA)

De Verwerker zal de Klant bijstaan bij het uitvoeren van een DPIA waar wettelijk vereist.

8. Sub-verwerkers

Huidige sub-verwerkers van Bumpd Up:

  • Hosting & Infrastructure: AWS (Amazon Web Services), regio EU (Frankfurt/Ireland)
  • Betalingsverwerking: Stripe (VS, adequaat beschermingsniveau), Mollie (Nederland)
  • Email & Communicatie: Resend (VS, adequaat beschermingsniveau)
  • Search & Analytics: Meilisearch (zelf gehosted in EU)
  • Monitoring & Logging: Datadog (US-based, Data Processing Addendum)

Wijzigingen: De Klant geeft toestemming voor bovenstaande sub-verwerkers. Voor nieuwe sub-verwerkers zal de Klant van tevoren schriftelijk bericht ontvangen met recht van bezwaar.

9. Doorgifte Buiten de EER

Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) geschiedt alleen met passende waarborgen conform artikel 44-49 AVG:

  • Adequaalbesluit van de Europese Commissie (bv. VS Standard Contractual Clauses)
  • Expliciete toestemming van de betrokken persoon

De Verwerker zal de Klant informeren over geotransmissies van persoonsgegevens.

10. Audit en Inspecties

De Verwerker zal zich aan regelmatige audits en inspecties onderwerpen door:

  • De Klant of diens databeschermfunctionaris
  • Onafhankelijke auditors (op kosten van de Klant)
  • Regelgevingsinstanties (AFM, CBP)

Een jaarlijks controle report is beschikbaar op verzoek.

11. Bewaartermijnen en Verwijdering

Bewaartermijnen:

  • Actieve gegevens: Zolang het account actief is
  • Verwijderde accounts: 30 dagen (recovery window)
  • Backup archief: Tot 90 dagen
  • Wettelijk verplichte gegevens: Conform Nederlands/Europees recht (bv. loonautogiften: 5 jaar)

Na beëindiging van het abonnement worden alle persoonsgegevens permanent verwijderd, behoudens wettelijke verplichtingen.

12. Aansprakelijkheid

De Verwerker is aansprakelijk voor schade voortvloeiend uit niet-nakoming van deze Verwerkersovereenkomst, beperkt tot het bedrag van de abonnementskosten van de afgelopen 12 maanden.

De Klant blijft verantwoordelijk voor rechtmatigheid van de verwerking.

13. Toepasselijk Recht

Deze Verwerkersovereenkomst wordt beheerst door Nederlands recht en de AVG.

Alle geschillen worden voorgelegd aan de bevoegde rechter in Waalwijk.

14. Duur en Beëindiging

Deze Verwerkersovereenkomst loopt zolang de Klant de Bumpd Up diensten afneemt.

Na beëindiging van het abonnement:

  • Blijven alle verplichtingen van deze overeenkomst van kracht voor de duur van de bewaartermijnen
  • Zullen persoonsgegevens conform artikel 11 verwijderd of geanonimiseerd worden
  • Zal de Verwerker alle ingebouwde kopieën wissen

15. Contact

Voor vragen over gegevensverwerking:

Privacy Officer: privacy@bumpdupworkforce.nl
Databeschermfunctionaris: dpo@bumpdupworkforce.nl (op aanvraag)
Bedrijf: Be Bold IT B.V., KVK 80174442
Locatie: Vredesplein 28, 5142RA Waalwijk

Goedkeuring:

Door de Bumpd Up diensten te gebruiken, gaat de Klant akkoord met deze Verwerkersovereenkomst.

Datum: 5 maart 2026
Versie: 1.0
Toepasselijk recht: Nederlands recht, AVG (EU) 2016/679