Verwerkersovereenkomst (DPA)

Versie 1.0 — laatst bijgewerkt op 22 mei 2026

PDF op aanvraag — mail info@wtta-audit.nl

VERWERKERSOVEREENKOMST WTTA-AUDIT op grond van artikel 28 AVG Versie 1.0 — geldig vanaf 20 mei 2026

  1. Het Bedrijf dat een Account heeft aangemaakt op het Platform van WTTA-Audit, zoals geïdentificeerd in dat Account, hierna te noemen "Verwerkingsverantwoordelijke";

en

  1. WTTA-Audit.nl B.V., statutair gevestigd te Huizen, kantoorhoudende aan de Havenstraat 64, 1271 AG Huizen, hierna te noemen "Verwerker";

hierna gezamenlijk te noemen "Partijen" en ieder afzonderlijk "Partij".

Overwegingen

A. Verwerkingsverantwoordelijke neemt diensten af van Verwerker op grond van de Gebruiksvoorwaarden WTTA-Audit (hierna: de "Hoofdovereenkomst"); B. In het kader van de uitvoering van de Hoofdovereenkomst verwerkt Verwerker Persoonsgegevens in opdracht en ten behoeve van Verwerkingsverantwoordelijke; C. Op grond van artikel 28 lid 3 AVG dienen Partijen de verwerking van Persoonsgegevens vast te leggen in een verwerkersovereenkomst; D. Met deze Verwerkersovereenkomst geven Partijen invulling aan deze verplichting.

Artikel 1 — Definities

In deze Verwerkersovereenkomst hebben de volgende termen de daarbij vermelde betekenis. Termen die in deze Verwerkersovereenkomst niet zijn gedefinieerd, hebben de betekenis die daaraan is toegekend in de Gebruiksvoorwaarden WTTA-Audit of in de AVG. AVG: De Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679). Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft. Datalek: Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 lid 12 AVG. Persoonsgegevens: Alle Persoonsgegevens die Verwerker namens Verwerkingsverantwoordelijke verwerkt in het kader van de uitvoering van de Hoofdovereenkomst, zoals nader omschreven in Bijlage 1. Sub-verwerker: Iedere derde die door Verwerker wordt ingeschakeld voor het verwerken van Persoonsgegevens. Verwerken / Verwerking: Een verwerking zoals gedefinieerd in artikel 4 lid 2 AVG.

Artikel 2 — Voorwerp van de Verwerkersovereenkomst en instructies

2.1 Verwerker verwerkt Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. De Hoofdovereenkomst, de Gebruiksvoorwaarden, deze Verwerkersovereenkomst en het gebruik van het Platform door Verwerkingsverantwoordelijke gelden als zodanige instructies. 2.2 De aard, doeleinden, duur en categorieën van Persoonsgegevens en Betrokkenen zijn omschreven in Bijlage 1. 2.3 Verwerker zal Persoonsgegevens niet voor eigen doeleinden gebruiken, behoudens voor zover dit nadrukkelijk is toegestaan op grond van deze Verwerkersovereenkomst (zoals beveiligingsdoeleinden, fraudepreventie, het analyseren van geaggregeerde en geanonimiseerde gegevens, en het voldoen aan eigen wettelijke verplichtingen). 2.4 Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar het oordeel van Verwerker een instructie van Verwerkingsverantwoordelijke in strijd is met de AVG of andere toepasselijke wet- en regelgeving. 2.5 Verwerker verwerkt Persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER), behoudens het bepaalde in artikel 6 van deze Verwerkersovereenkomst over Sub-verwerkers.

Artikel 3 — Verplichtingen van de Verwerker

3.1 Verwerker zal de Persoonsgegevens behoorlijk en zorgvuldig verwerken in overeenstemming met de AVG en deze Verwerkersovereenkomst. 3.2 Verwerker zorgt ervoor dat personen die onder zijn gezag of namens hem Persoonsgegevens verwerken, gebonden zijn aan een geheimhoudingsplicht, hetzij op grond van een wettelijke verplichting, hetzij op grond van een contractuele bepaling. 3.3 Verwerker zal Verwerkingsverantwoordelijke op eerste verzoek, en in elk geval ten minste jaarlijks, voorzien van de informatie die nodig is om de naleving van artikel 28 AVG aan te tonen. Dit omvat onder meer informatie over getroffen technische en organisatorische maatregelen, ingeschakelde Sub-verwerkers en bewaartermijnen. 3.4 Verwerker slaat Burgerservicenummers (BSN) van uitzendkrachten versleuteld op (KMS-encryptie in een Europees datacenter) omdat deze gegevens noodzakelijk zijn om bij een audit door een geaccrediteerde inspectie-instelling of toezichthouder de identiteit van een uitzendkracht eenduidig te kunnen koppelen aan zijn loonstroken en aan de door de opdrachtgever aangeleverde arbeidsvoorwaarden. Het BSN wordt niet getoond in de gebruikersinterface, niet in rapporten, niet in e-mails en niet in logbestanden. Ontsleuteling vindt uitsluitend plaats binnen een afgeschermde audit-functie en wordt elke keer geregistreerd in een audit-trail. Andere niet voor de werking van de Diensten benodigde gevoelige Persoonsgegevens verwijdert Verwerker direct na de geautomatiseerde uitlezing van loonstroken.

Artikel 4 — Beveiliging

4.1 Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking, zoals bedoeld in artikel 32 AVG. Een beschrijving van de getroffen maatregelen is opgenomen in Bijlage 2. 4.2 Verwerker evalueert de maatregelen periodiek en past deze aan indien nodig, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de Verwerking, alsmede met de risico's voor de rechten en vrijheden van Betrokkenen. 4.3 De in Bijlage 2 beschreven maatregelen worden door Partijen geacht een passend beveiligingsniveau te vormen in de zin van artikel 32 AVG.

Artikel 5 — Datalekken

5.1 Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in elk geval binnen 48 uur na ontdekking, op de hoogte van elk Datalek dat zich heeft voorgedaan met betrekking tot Persoonsgegevens die worden verwerkt voor Verwerkingsverantwoordelijke. 5.2 De melding van een Datalek aan Verwerkingsverantwoordelijke omvat in elk geval, voor zover bekend op het moment van melding:

  • De aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en Persoonsgegevens, en het geschatte aantal Betrokkenen en records;
  • De waarschijnlijke gevolgen van het Datalek;
  • De maatregelen die zijn of worden voorgesteld om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen te beperken;
  • De contactgegevens van de persoon bij wie meer informatie kan worden verkregen.

5.3 De melding van een Datalek aan de Autoriteit Persoonsgegevens en, indien vereist, aan Betrokkenen, is de verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke daarbij in alle redelijkheid ondersteunen. 5.4 Verwerker houdt een register bij van Datalekken die zich hebben voorgedaan in zijn organisatie.

Artikel 6 — Inschakelen van Sub-verwerkers

6.1 Verwerkingsverantwoordelijke verleent Verwerker hierbij algemene voorafgaande toestemming voor het inschakelen van Sub-verwerkers ten behoeve van de uitvoering van de Hoofdovereenkomst. De actuele lijst van ingeschakelde Sub-verwerkers is opgenomen in Bijlage 3 en wordt door Verwerker actueel gehouden op www.wtta-audit.nl/subverwerkers. 6.2 Verwerker informeert Verwerkingsverantwoordelijke ten minste dertig (30) dagen voorafgaand aan het toevoegen of vervangen van een Sub-verwerker. Indien Verwerkingsverantwoordelijke gemotiveerde en redelijke bezwaren heeft tegen de voorgenomen Sub-verwerker, treden Partijen in overleg. Indien Partijen er niet uitkomen, heeft Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst kosteloos te beëindigen tegen de datum waarop de nieuwe Sub-verwerker zou worden ingeschakeld. 6.3 Verwerker sluit met elke Sub-verwerker een schriftelijke overeenkomst waarin minimaal dezelfde verplichtingen worden opgelegd als die welke voor Verwerker uit deze Verwerkersovereenkomst voortvloeien. Verwerker blijft jegens Verwerkingsverantwoordelijke verantwoordelijk voor het nakomen van de verplichtingen door de Sub-verwerker. 6.4 Doorgifte van Persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) door Verwerker of een Sub-verwerker vindt uitsluitend plaats indien daarvoor een geldige doorgiftegrondslag bestaat onder hoofdstuk V AVG, waaronder een adequaatheidsbesluit van de Europese Commissie of de Standaardcontractbepalingen (SCC's) aangevuld met passende aanvullende waarborgen.

Artikel 7 — Bijstand bij rechten van Betrokkenen

7.1 Verwerker biedt Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand bij het vervullen van diens verplichting om te reageren op verzoeken van Betrokkenen tot uitoefening van hun rechten op grond van de AVG, waaronder het recht op inzage, rectificatie, verwijdering, beperking van de Verwerking, dataportabiliteit en bezwaar. 7.2 Indien een Betrokkene zich rechtstreeks tot Verwerker wendt met een verzoek tot uitoefening van zijn rechten, verwijst Verwerker deze Betrokkene door naar Verwerkingsverantwoordelijke en stelt Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging op de hoogte. 7.3 Verwerker biedt Verwerkingsverantwoordelijke daarnaast bijstand bij het naleven van de verplichtingen op grond van de artikelen 32 tot en met 36 AVG (beveiliging, datalekmeldingen en data protection impact assessments), rekening houdend met de aard van de Verwerking en de informatie waarover Verwerker beschikt. 7.4 Voor de bijstand zoals genoemd in dit artikel kan Verwerker een redelijke vergoeding in rekening brengen, indien en voor zover deze bijstand meer dan incidenteel van aard is of aanzienlijke werkzaamheden vergt. Verwerker zal Verwerkingsverantwoordelijke vooraf informeren over een dergelijke vergoeding.

Artikel 8 — Audits

8.1 Verwerker stelt Verwerkingsverantwoordelijke in staat de naleving van deze Verwerkersovereenkomst te controleren. Verwerker zal hiertoe op eerste verzoek, en in elk geval ten minste jaarlijks, een rapportage verstrekken die inzicht geeft in de getroffen technische en organisatorische maatregelen en de naleving van deze Verwerkersovereenkomst. Een rapportage van een onafhankelijke auditor (zoals een ISAE 3000-rapportage of vergelijkbaar) voldoet aan deze verplichting. 8.2 Indien de rapportage als bedoeld in lid 1 naar het redelijk oordeel van Verwerkingsverantwoordelijke onvoldoende zekerheid biedt, heeft Verwerkingsverantwoordelijke het recht om eenmaal per kalenderjaar, op eigen kosten en met inachtneming van een aankondigingstermijn van ten minste dertig (30) dagen, een audit uit te (laten) voeren door een onafhankelijke gecertificeerde IT-auditor. Een audit zal plaatsvinden op werkdagen tijdens kantooruren en zo worden ingericht dat deze de bedrijfsvoering van Verwerker zo min mogelijk verstoort. 8.3 De auditor is gebonden aan een geheimhoudingsplicht en mag uitsluitend rapporteren over de naleving van deze Verwerkersovereenkomst, niet over andere bedrijfsinformatie van Verwerker of van andere klanten van Verwerker. 8.4 Partijen bespreken de resultaten van de audit en treffen, voor zover nodig, in onderling overleg passende maatregelen.

Artikel 9 — Aansprakelijkheid

9.1 De aansprakelijkheid van Partijen voor schade die voortvloeit uit een tekortkoming in de nakoming van deze Verwerkersovereenkomst, dan wel uit een onrechtmatige daad of op enige andere grondslag, wordt beheerst door de aansprakelijkheidsregeling in de Hoofdovereenkomst, met dien verstande dat deze aansprakelijkheidsregeling van overeenkomstige toepassing is op verplichtingen uit deze Verwerkersovereenkomst. 9.2 Onverminderd het voorgaande, indien aan een Partij een bestuurlijke boete wordt opgelegd op grond van artikel 83 AVG en deze boete is uitsluitend toe te rekenen aan de andere Partij, dan vrijwaart de andere Partij eerstgenoemde Partij voor die boete, met inachtneming van de aansprakelijkheidsbeperking in de Hoofdovereenkomst.

Artikel 10 — Duur en beëindiging

10.1 Deze Verwerkersovereenkomst treedt in werking op het moment van aanvaarding van de Gebruiksvoorwaarden door Verwerkingsverantwoordelijke en loopt door zolang Verwerker uit hoofde van de Hoofdovereenkomst Persoonsgegevens verwerkt voor Verwerkingsverantwoordelijke. 10.2 Bij beëindiging van de Hoofdovereenkomst, om welke reden dan ook, verwijdert Verwerker alle Persoonsgegevens, dan wel retourneert deze aan Verwerkingsverantwoordelijke, naar keuze van Verwerkingsverantwoordelijke. Verwerker stelt Verwerkingsverantwoordelijke gedurende een redelijke termijn van ten minste dertig (30) dagen na beëindiging in de gelegenheid om de Persoonsgegevens via het Platform te downloaden. 10.3 In afwijking van het voorgaande mag Verwerker Persoonsgegevens bewaren voor zover dit op grond van Unierechtelijke of lidstaatrechtelijke bepalingen verplicht is, zoals de fiscale bewaarplicht voor facturatiegegevens. De bewaarde Persoonsgegevens worden uitsluitend gebruikt voor het doel waarvoor de bewaarverplichting geldt. 10.4 Verwerker bevestigt de verwijdering of teruggave van Persoonsgegevens schriftelijk aan Verwerkingsverantwoordelijke, op verzoek van Verwerkingsverantwoordelijke.

Artikel 11 — Slotbepalingen

11.1 In geval van strijdigheid tussen deze Verwerkersovereenkomst en de Hoofdovereenkomst, prevaleert deze Verwerkersovereenkomst voor zover het de verwerking van Persoonsgegevens betreft. 11.2 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter zoals bepaald in de Hoofdovereenkomst. 11.3 Verwerker kan deze Verwerkersovereenkomst eenzijdig wijzigen indien wijzigingen in de AVG, andere toepasselijke wet- en regelgeving, jurisprudentie of richtsnoeren van toezichthouders dat vereisen. Verwerker informeert Verwerkingsverantwoordelijke ten minste één (1) maand voorafgaand aan de inwerkingtreding van dergelijke wijzigingen.

Bijlage 1 — Omschrijving van de Verwerking

1. Onderwerp en doel van de Verwerking

Het ondersteunen van Verwerkingsverantwoordelijke bij het opbouwen van een audit-dossier in het kader van de Wet toelating terbeschikkingstelling van arbeidskrachten (Wtta) en het SNA-normenkader (SNA Handboek Normen 26.01 + Wtta-normenkader uit Staatscourant 2026, 6946), waaronder begrepen het automatisch uitlezen van loonstroken, het vergelijken van de inlenersbeloning, het opbouwen van een dossier en het genereren van rapporten.

2. Aard van de Verwerking

Verzamelen, vastleggen, structureren, opslaan, bijwerken, raadplegen, opvragen, gebruiken, doorzenden via beveiligde kanalen, beschikbaarstellen, uitlijnen, combineren, beperken, wissen en vernietigen van Persoonsgegevens, voor zover noodzakelijk voor de in artikel 1 omschreven doeleinden.

3. Categorieën van Betrokkenen

De Verwerking heeft betrekking op de volgende categorieën van Betrokkenen:

  • Gebruikers van Verwerkingsverantwoordelijke (medewerkers van Verwerkingsverantwoordelijke die toegang hebben tot het Platform);
  • Medewerkers (uitzendkrachten, gedetacheerden, ingehuurde krachten) van Verwerkingsverantwoordelijke wier loonstroken worden geüpload op het Platform;
  • Contactpersonen bij inleners van Verwerkingsverantwoordelijke, voor zover hun gegevens in het Platform worden ingevoerd.

4. Soorten Persoonsgegevens

De Verwerking heeft betrekking op de volgende categorieën van Persoonsgegevens:

  • NAW-gegevens: naam, adres, woonplaats, geboortedatum;
  • Werknemers-/personeelsidentificatiegegevens: personeelsnummer, functie;
  • Arbeidsvoorwaardelijke gegevens: CAO-inschaling (schaal, trede), periodeloon, toeslagen, vakantiegeld, ADV, gewerkte uren, reisuren, eenmalige uitkeringen, thuiswerkvergoeding;
  • Inlener-gerelateerde gegevens: naam inlener, contactpersoon bij inlener, toepasselijke inlener-CAO;
  • Account- en contactgegevens van Gebruikers: naam, zakelijk e-mailadres, telefoonnummer, functietitel, gebruikersrol.

Burgerservicenummers (BSN) worden versleuteld bewaard (KMS-encryptie, EER) gedurende de looptijd van het bijbehorende medewerker-dossier en zijn uitsluitend ontsleutelbaar binnen een afgeschermde audit-functie met access-log. BSN worden niet getoond in UI, rapporten, e-mails of logs. Verwerker verwacht geen bijzondere categorieën van Persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG) te verwerken. Indien dergelijke gegevens onbedoeld toch op een loonstrook of in een ander document voorkomen (bijvoorbeeld een herleidbare verwijzing naar gezondheid), zal Verwerker zich inspannen deze te detecteren en te verwijderen.

5. Duur van de Verwerking

De Verwerking duurt voort gedurende de looptijd van de Hoofdovereenkomst. Na beëindiging van de Hoofdovereenkomst geldt het bepaalde in artikel 10 van de Verwerkersovereenkomst.

6. Locatie van de Verwerking

De Verwerking vindt plaats binnen de Europese Economische Ruimte (EER), in beginsel in de regio Frankfurt. Voor specifieke ondersteunende diensten kan een doorgifte buiten de EER plaatsvinden onder de voorwaarden van artikel 6.4 van de Verwerkersovereenkomst.

Bijlage 2 — Technische en organisatorische maatregelen

Verwerker heeft de volgende technische en organisatorische maatregelen getroffen ter beveiliging van de Persoonsgegevens, in lijn met artikel 32 AVG.

1. Toegangsbeveiliging

  • Toegang tot het Platform vereist authenticatie met gebruikersnaam en sterk wachtwoord;
  • Ondersteuning voor multifactorauthenticatie (MFA) voor Gebruikers;
  • Rollen- en rechtenbeheer ("least privilege"): Gebruikers krijgen uitsluitend toegang tot die functionaliteiten en gegevens die zij voor hun rol nodig hebben;
  • Toegang door medewerkers van Verwerker tot productieomgevingen is beperkt tot een minimum aantal geautoriseerde medewerkers, gelogd en aan geheimhouding gebonden.

2. Versleuteling

  • Versleuteling van data in transport via TLS 1.2 of hoger;
  • Versleuteling van data in rust ("encryption-at-rest") op alle databases en bestandsopslag binnen het Platform;
  • Sleutelbeheer via een gescheiden sleutelbeheerdienst (key management service).

3. Logische en fysieke scheiding

  • Strikte multi-tenant data-isolatie: gegevens van klant A zijn technisch gescheiden van gegevens van klant B;
  • Productieomgeving is logisch gescheiden van ontwikkel- en testomgevingen;
  • Hosting in fysiek beveiligde Europese datacenters (regio Frankfurt) met ISO 27001-, ISO 27017-, ISO 27018- en SOC-certificeringen aan de zijde van de hostingleverancier.

4. Logging en monitoring

  • Logging van toegang tot Persoonsgegevens en kritieke handelingen op applicatieniveau;
  • Monitoring van het Platform op afwijkende patronen en mogelijke beveiligingsincidenten;
  • Regelmatige beoordeling van logbestanden.

5. Back-up en herstel

  • Periodieke back-ups van Persoonsgegevens binnen de EER;
  • Geteste herstelprocedures.

6. BSN-bescherming

  • BSN wordt door het Platform versleuteld opgeslagen met behulp van een KMS-managed encryptiesleutel in een Europees datacenter;
  • BSN wordt nooit getoond in de gebruikersinterface, rapporten, e-mails of logbestanden;
  • Ontsleuteling vindt uitsluitend plaats binnen een afgeschermde audit-functie en wordt elke keer geregistreerd in een audit-trail (gebruiker, tijdstip, dossier-id);
  • Toegang tot de audit-functie is beperkt tot daartoe gemachtigde gebruikers binnen het Bedrijf, met aparte rolvergrendeling;
  • Bij verwijdering van een medewerker-dossier of beëindiging van het Abonnement worden zowel het versleutelde BSN als de bijbehorende encryptie-context onomkeerbaar vernietigd binnen dertig (30) dagen.

7. Organisatorische maatregelen

  • Schriftelijke geheimhoudingsverklaringen voor alle medewerkers en ingehuurde krachten van Verwerker;
  • Periodieke bewustwordingstrainingen op het gebied van privacy en informatiebeveiliging;
  • Vastgestelde procedure voor het melden en afhandelen van beveiligingsincidenten en Datalekken;
  • Periodiek beoordelen en bijwerken van het informatiebeveiligingsbeleid;
  • Screening van nieuwe medewerkers (waaronder, voor zover redelijkerwijs mogelijk, een Verklaring Omtrent het Gedrag).

8. Beveiligingstests

  • Periodieke kwetsbaarheidsscans en, op de daartoe geëigende momenten, penetratietesten;
  • Toepassen van een veilige softwareontwikkellevenscyclus (secure software development life cycle) waaronder code-reviews.

Bijlage 3 — Lijst van Sub-verwerkers

Verwerker maakt op het moment van inwerkingtreding van deze Verwerkersovereenkomst gebruik van de volgende Sub-verwerkers. De actuele lijst is te raadplegen op www.wtta-audit.nl/subverwerkers.

[NB: Vul deze tabel aan met de daadwerkelijk ingeschakelde leveranciers zodra deze contractueel zijn vastgelegd. Voor sub-verwerkers buiten de EER dient de doorgiftegrondslag uit Hoofdstuk V AVG te worden vermeld, zoals een adequaatheidsbesluit van de Europese Commissie of Standaardcontractbepalingen (SCC's) met aanvullende waarborgen.]

— Einde Verwerkersovereenkomst —

| Sub-verwerker | Functie | Locatie verwerking | Doorgiftegrondslag (indien buiten EER) | |---|---|---|---| | Amazon Web Services EMEA SARL (AWS) | Cloud hosting van het Platform, databases, opslag | Frankfurt, Duitsland (eu-central-1) | N.v.t. (binnen EER) | | [AI-/OCR-leverancier — invullen] | Geautomatiseerde uitlezing van loonstroken | [invullen] | [invullen indien buiten EER: SCC + aanvullende waarborgen] | | [E-signatuur-leverancier — pas van toepassing na PAdES-activering, zie Artikel 3.5 Gebruiksvoorwaarden] | Geavanceerde elektronische handtekening (PAdES) op Gewaarmerkte Rapporten | [invullen] | [invullen] | | [E-mail-/transactional-mailleverancier — invullen] | Verzending van transactionele e-mail (account, support, facturatie) | [invullen] | [invullen] | | [Helpdesk-/supportleverancier — invullen] | Klantenservice en ticketing | [invullen] | [invullen] | | [Boekhoud-/facturatieleverancier — invullen] | Facturatie en boekhouding | [invullen] | [invullen] | | [Monitoring-/analyseleverancier — invullen] | Foutmonitoring en productprestaties | [invullen] | [invullen] |