Ga naar inhoud
TERMSEnglish
Ingangsdatum: 1 juni 2026

Verwerkersovereenkomst

Deze verwerkersovereenkomst (“VWO”) hoort bij je Overeenkomst met TimeChimp.

Woorden met een hoofdletter hebben de betekenis uit deze VWO of uit de Algemene Voorwaarden. Andere termen uit de GDPR (EU-privacywet) hebben de betekenis uit die wet.

Waarom deze overeenkomst?

  1. Wij leveren het TimeChimp-platform als SaaS-dienst.
  2. Jij gebruikt het platform; wij verwerken daarbij persoonsgegevens namens jou.
  3. De GDPR verplicht ons om rechten en plichten schriftelijk vast te leggen.

Artikel 1. Definities

  1. 1.1Termen als “persoonsgegevens”, “betrokkene”, “datalek” en “verwerken” hebben de betekenis uit de GDPR.
  2. 1.2Andere hoofdletter-termen hebben de betekenis uit de Algemene Voorwaarden.
  3. 1.3Jij / Klant = de verwerkingsverantwoordelijke die persoonsgegevens in het platform plaatst.
  4. 1.4Wij / Verwerker = TimeChimp.
  5. 1.5Deze VWO geeft invulling aan de vereisten van artikel 28 lid 3 GDPR en is de schriftelijke overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker zoals daarin bedoeld. Bijlage A versie 01-06-2026 maakt integraal deel uit van deze VWO.
  6. 1.6EER: de Europese Economische Ruimte.

Artikel 2. Waarvoor verwerken wij?

  1. 2.1Wij verwerken persoonsgegevens alleen om de Overeenkomst uit te voeren, volgens deze VWO en de GDPR.
  2. 2.2Wij verwerken alleen wat nodig is om de Diensten te leveren. Het doel staat in Bijlage A versie 01-06-2026.
  3. 2.3Verandert het doel? Laat het ons weten.

Artikel 3. Hoe verwerken wij?

  1. 3.1Jij garandeert dat jouw data en instructies rechtmatig zijn en geen rechten van derden schenden.
  2. 3.2Wij zijn verantwoordelijk voor verwerking in opdracht van jou onder deze VWO. Wij zijn niet verantwoordelijk voor:
  1. (i)hoe jij data verzamelt;
  2. (ii)verwerking door jou voor andere doelen;
  3. (iii)verwerking door derden die jij zelf kiest.
  1. 3.3Wijzig jij doel of instructies en kunnen wij dat om zakelijke redenen niet? Dan bespreken we het in goed overleg.
  2. 3.4Op verzoek vertellen we welke maatregelen we nemen (als dat niet al in Bijlage A versie 01-06-2026 staat).
  3. 3.5Onze plichten gelden ook voor mensen die onder ons gezag data verwerken.
  4. 3.6Wij mogen subverwerkers inschakelen (bijvoorbeeld datacenters) als zij dezelfde afspraken accepteren. Overzicht: terms.timechimp.com/nl/subverwerkers.
  1. (a)Wij informeren je minimaal één Kalendermaand van tevoren over nieuwe of gewijzigde subverwerkers per e-mail en via een bijgewerkte lijst op die pagina. Je kunt binnen die termijn bezwaar maken. Kunnen wij geen andere oplossing bieden? Dan kun je de Overeenkomst beëindigen conform artikel 8 van de Algemene Voorwaarden.

3.7Wij verwerken persoonsgegevens op jouw instructie onder de Overeenkomst: door akkoord te gaan met onze voorwaarden, het platform te gebruiken, of ons anderszins aanwijzingen te geven (bijvoorbeeld via support of een Melding). Als wij van oordeel zijn dat een instructie in strijd is met de GDPR of andere toepasselijke privacywetgeving, stellen wij jou daarvan onverwijld op de hoogte voordat wij de instructie uitvoeren.

Artikel 4. Geheimhouding

  1. 4.1Alle persoonsgegevens die wij van jou ontvangen behandelen wij vertrouwelijk. Onze medewerkers tekenen geheimhouding.
  2. 4.2Uitzonderingen: met jouw toestemming, als nodig voor de Overeenkomst, of als de wet openbaarmaking verplicht. Bij een wettelijke plicht informeren we je waar mogelijk. Kosten van juridische stappen zijn voor jou.

Artikel 5. Beveiliging

  1. 5.1Wij nemen passende technische en organisatorische maatregelen tegen verlies en misbruik. Zie Bijlage A versie 01-06-2026.
  2. 5.2Geen enkele maatregel is 100% waterdicht. Wij streven naar een niveau dat past bij de stand van techniek, de gevoeligheid van de data en redelijke kosten.

Artikel 6. Incidenten en datalekken

  1. 6.1Bij een vermoedelijk of echt datalek of schending van geheimhouding (“Incident”) informeren we je onverwijld, doch uiterlijk binnen 48 uur nadat wij kennis hebben genomen van het Incident.
  2. 6.2Wij volgen onze supportprocedure (Severity 1 of 2): servicemelding, updates in het portaal, en telefonisch contact op jouw bekende contactpersoon.
  3. 6.3Wij nemen redelijke stappen om verdere schade te voorkomen.
  4. 6.4Wij geven zo volledig en juist mogelijk informatie op het moment van melding.
  5. 6.5Bij een datalek door onze schuld helpen we je met meldingen aan autoriteiten en betrokkenen. Redelijke kosten mogen we doorberekenen.
  6. 6.6Jij blijft zelf verantwoordelijk voor je meldplicht onder de GDPR.

Artikel 7. Data buiten de EER

  1. 7.1Wij verwerken in de EER en Zwitserland, en in landen met een passend beschermingsniveau volgens de GDPR. Sommige subverwerkers verwerken gegevens buiten de EER (bijvoorbeeld in de Verenigde Staten). Wij zorgen voor passende waarborgen, waaronder Standaard Contractuele Clausules (SCC's) conform artikel 46 lid 2 onder c GDPR. Zie onze subverwerkers.
  2. 7.2Verwerking buiten de EER alleen op jouw schriftelijk verzoek en met de juiste waarborgen (bijvoorbeeld modelcontracten).

Artikel 8. Audit

  1. 8.1Je mag één keer per jaar (met 2 weken vooraf) een audit laten doen om te controleren of wij aan deze VWO voldoen. Bij een redelijk vermoeden van een ernstige inbreuk op deze VWO of de GDPR kun je ook buiten de jaarlijkse cyclus om een audit laten uitvoeren, na schriftelijke motivering.
  2. 8.2Kosten van de audit zijn voor jou.
  3. 8.3Vooraf spreken we af of resultaten bindend zijn of eerst worden besproken.
  4. 8.4De auditor tekent geheimhouding. Audit tijdens kantooruren, zonder onredelijke verstoring. Geen admin-rechten op ons systeem.
  5. 8.5Wij werken mee en geven relevante informatie binnen 2 weken, tenzij urgent.
  6. 8.6Geen overeenstemming over het resultaat? Dan kan een onafhankelijke auditor beslissen; kosten delen we.

Artikel 9. Rechten van betrokkenen

9.1Vraagt iemand ons om inzage, wissing of andere GDPR-rechten? Wij verwijzen door naar jou; jij behandelt het verzoek.

Artikel 10. Aansprakelijkheid

  1. 10.1Onze aansprakelijkheid is beperkt tot directe schade.
  2. 10.2Geen aansprakelijkheid voor indirecte schade (zoals omzetderving of dataverlies).
  3. 10.3Maximum: wat jij in de 12 Kalendermaanden vóór de claim aan ons betaalde (excl. btw), en niet meer dan onze aansprakelijkheidsverzekering uitkeert.
  4. 10.4Uitzondering: opzet of bewuste roekeloosheid van ons management (jij moet dit bewijzen).
  5. 10.5Jij vrijwaart ons tegen claims van derden over verwerking volgens deze VWO.
  6. 10.6Schade melden binnen één Kalendermaand. Claims vervallen na 12 Kalendermaanden, behalve waar de wet anders zegt.

Artikel 11. Overmacht

11.1Voor overmacht die onze verwerkingsverplichtingen onder deze VWO raakt, geldt artikel 12 van de Algemene Voorwaarden.

Artikel 12. Duur en einde

  1. 12.1Deze VWO geldt zolang de Overeenkomst loopt.
  2. 12.2Eindigt de Overeenkomst? Dan eindigt deze VWO, tenzij wij nog data verwerken — dan blijft de VWO gelden tot verwerking stopt.
  3. 12.3Kunnen wij een wijziging in doel of instructies niet uitvoeren? Dan mogen wij beëindigen na overleg.
  4. 12.4Wij geven data terug of vernietigen deze uiterlijk binnen 30 dagen na beëindiging van de Overeenkomst, tenzij schriftelijk anders overeengekomen. Wij bevestigen vernietiging schriftelijk aan jou.
  5. 12.5Artikelen die na einde gelden (zoals geheimhouding) blijven van kracht.

Artikel 13. Overig

  1. 13.1Ongeldige bepaling? De rest blijft gelden.
  2. 13.2Dit is de volledige afspraak over dit onderwerp.
  3. 13.3Wij mogen deze VWO wijzigen wanneer de wet dat vereist, of wanneer wij dit met jou schriftelijk overeenkomen. Wijzigingen in Bijlage A versie 01-06-2026 vereisen eveneens schriftelijke overeenstemming. Kennelijke verschrijvingen of evidente omissies mogen wij zonder apart akkoord corrigeren. Voor overige wijzigingen is schriftelijke overeenstemming vereist.
  4. 13.4Niet handhaven van een recht is geen afstand van dat recht.
  5. 13.5Deze VWO geldt ook voor rechtsopvolgers.

Bijlage A — Doel en beveiliging

Versie 01-06-2026

Deze bijlage maakt integraal deel uit van de VWO.

Doel van de verwerking

Leveren en onderhouden van het TimeChimp-platform: urenregistratie, kosten, facturatie, gebruikersbeheer en support.

Soorten persoonsgegevens

Accountgegevens, contactgegevens, uren-/kosten-/factuurdata en andere persoonsgegevens die jij in het platform plaatst.

Categorieën betrokkenen

Jouw medewerkers, contactpersonen en andere personen waarvan jij data invoert.

Bewaartermijnen

Datacategorie Bewaartermijn
Accountgegevens Uiterlijk 30 dagen na beëindiging van de Overeenkomst
Uren-, kosten- en factuurdata 7 jaar na het boekjaar (wettelijke bewaarplicht boekhouding)
Loggegevens (toegang, systeem- en beveiligingslogs) 12 maanden
Back-ups Maximaal 3 maanden na beëindiging van de Overeenkomst

Beveiligingsmaatregelen

Wij nemen onder meer de volgende technische en organisatorische maatregelen:

  1. (a)Toegangsbeheer: rolgebaseerde toegang (RBAC), multi-factor authenticatie (MFA) voor beheerders en gebruikersaccounts waar beschikbaar, en periodieke toegangsbeoordelingen.
  2. (b)Versleuteling: TLS 1.2 of hoger voor data tijdens transport; versleuteling in rust (AES-256 of equivalent) voor opslag van persoonsgegevens in productieomgevingen.
  3. (c)Back-ups: dagelijkse back-ups van productiedata; retentie van back-ups conform de bewaartermijnen in deze bijlage.
  4. (d)Logging en monitoring: logging van toegang tot systemen en beveiligingsrelevante gebeurtenissen; bewaartermijn loggegevens 12 maanden; monitoring op afwijkend gedrag en beschikbaarheid.
  5. (e)Patchbeleid: beveiligingspatches en updates worden regelmatig geëvalueerd en toegepast volgens een vastgesteld onderhoudsproces.
  6. (f)Medewerkers: toegang tot persoonsgegevens is beperkt tot medewerkers met een need-to-know; geheimhoudingsplicht en privacytraining.

Aanvullende documentatie: Visma Trust Centre.

(Deze verwerkersovereenkomst geldt vanaf 01-06-2026.)

Meer security- en compliance-informatie vind je in het Visma Trust Centre.

PDF-downloads

Open een PDF-versie van dit document.

Huidige versie

Vorige versies