1Partijen
Verwerkingsverantwoordelijke ("Klant"): de natuurlijke persoon of rechtspersoon die een lidmaatschap afsluit voor Solo HR Workspace.
Verwerker: Bureau Liminal B.V., gevestigd te Nederland, aanbieder van Solo HR Workspace ("Dienst").
Deze verwerkersovereenkomst ("Overeenkomst") is onlosmakelijk verbonden met de Algemene Voorwaarden van Solo HR Workspace en treedt in werking op het moment dat de Klant een lidmaatschap aangaat.
2Definities
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
Verwerking: elke bewerking van persoonsgegevens, zoals verzamelen, opslaan, raadplegen, gebruiken, verstrekken of wissen.
Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld voor (een deel van) de verwerking.
Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.
3Onderwerp en duur
De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Dienst, zoals beschreven in de Algemene Voorwaarden.
Deze Overeenkomst geldt voor de duur van het lidmaatschap. Na beëindiging blijft deze Overeenkomst van kracht totdat alle persoonsgegevens zijn verwijderd of teruggegeven.
4Aard en doel van de verwerking
De Verwerker verwerkt persoonsgegevens voor de volgende doeleinden:
- Het beschikbaar stellen van de AI-assistent en bijbehorende tools
- Het opslaan en doorzoeken van door de Klant geüploade documenten
- Het faciliteren van verzuimbeheer en HR-dossierbeheer
- Het genereren van rapportages en analyses
- Het verzenden van dienst-gerelateerde e-mails
- Het verwerken van betalingen en facturatie
- Het verlenen van technische ondersteuning
5Soorten persoonsgegevens
De volgende categorieën persoonsgegevens kunnen worden verwerkt:
| Categorie | Voorbeelden |
|---|---|
| Accountgegevens | E-mailadres, naam, organisatienaam |
| Chatgesprekken | Berichten aan de AI-assistent, gespreksgeschiedenis |
| Geüploade documenten | Kennisbankbestanden, HR-documenten |
| Verzuimgegevens | Naam medewerker, verzuimperiodes, acties, contactpersonen |
| Rapportagegegevens | HR KPI's, verzuimcijfers, organisatiegegevens |
| Betalingsgegevens | Facturatiegegevens (via Stripe, geen volledige creditcardnummers) |
| Gebruiksgegevens | Inlogmomenten, gebruikte functionaliteiten |
Belangrijk
De Dienst verwerkt geen bijzondere persoonsgegevens in de zin van artikel 9 AVG (zoals medische diagnoses of gezondheidsgegevens). Verzuimregistratie beperkt zich tot administratieve gegevens (data, duur, acties) zonder diagnose-informatie.
6Categorieën betrokkenen
- Medewerkers van de Klant (over wie HR-gegevens worden verwerkt)
- De Klant zelf (als gebruiker van de Dienst)
- Contactpersonen van derden (bijv. arbodienst, bedrijfsarts)
7Verplichtingen van de Verwerker
De Verwerker:
- 1Verwerkt persoonsgegevens uitsluitend in opdracht van en volgens de instructies van de Klant, tenzij een wettelijke verplichting anders vereist.
- 2Zorgt ervoor dat personen die toegang hebben tot de persoonsgegevens gebonden zijn aan geheimhouding.
- 3Treft passende technische en organisatorische beveiligingsmaatregelen (zie Artikel 9).
- 4Schakelt geen sub-verwerker in zonder voorafgaande toestemming van de Klant (zie Artikel 8).
- 5Staat de Klant bij in het nakomen van diens verplichtingen jegens betrokkenen (inzage, correctie, verwijdering, etc.).
- 6Staat de Klant bij in het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA) indien van toepassing.
- 7Verwijdert of retourneert na beëindiging van de Dienst alle persoonsgegevens, tenzij bewaring wettelijk verplicht is.
- 8Stelt alle informatie beschikbaar die nodig is om naleving aan te tonen en maakt audits mogelijk (zie Artikel 11).
8Sub-verwerkers
De Klant geeft de Verwerker algemene schriftelijke toestemming om sub-verwerkers in te schakelen voor de uitvoering van de Dienst.
De Verwerker maakt gebruik van de volgende categorieën sub-verwerkers:
| Categorie | Doel |
|---|---|
| AI-dienstverleners | AI-assistent en zoekvectors |
| Hosting & database | Opslag, authenticatie en infrastructuur |
| Betalingsverwerker | Facturatie en abonnementenbeheer |
| E-maildiensten | Transactionele e-mails en nieuwsbrieven |
De Verwerker legt aan iedere sub-verwerker dezelfde verplichtingen op als in deze Overeenkomst.
De Verwerker informeert de Klant vooraf over wijzigingen in sub-verwerkers. De Klant heeft het recht bezwaar te maken. Indien het bezwaar niet kan worden opgelost, heeft de Klant het recht de Dienst te beëindigen.
Een actueel overzicht van sub-verwerkers is op verzoek beschikbaar via workspace@solohr.nl.
9Beveiliging
De Verwerker treft onder meer de volgende beveiligingsmaatregelen:
Encryptie in transit
TLS/SSL voor alle dataverkeer
Encryptie at rest
AES-256 versleuteling van opgeslagen gegevens
Toegangsbeheer
Passwordless authenticatie, sessiebeveiliging met automatische uitlog
Infrastructuur
Database opgeslagen in de EU (Frankfurt), enterprise-grade hosting
Logboek
Audit logging van relevante verwerkingsactiviteiten
Certificeringen
Hosting-providers zijn SOC 2 gecertificeerd
10Datalekken
De Verwerker meldt een Datalek zonder onredelijke vertraging, en indien mogelijk binnen 48 uur na ontdekking, aan de Klant.
De melding bevat ten minste:
- De aard van het Datalek
- De categorieën en het geschatte aantal betrokkenen
- De waarschijnlijke gevolgen
- De maatregelen die zijn genomen om het Datalek te verhelpen
De Verwerker werkt mee aan het onderzoek en het informeren van de Autoriteit Persoonsgegevens en betrokkenen indien vereist.
11Audit
De Verwerker stelt op verzoek van de Klant informatie beschikbaar die aantoont dat aan de verplichtingen uit deze Overeenkomst wordt voldaan.
De Klant heeft het recht om maximaal eenmaal per jaar een audit uit te (laten) voeren, na redelijke vooraankondiging en tijdens kantooruren.
De kosten van een audit komen voor rekening van de Klant, tenzij uit de audit blijkt dat de Verwerker niet aan zijn verplichtingen voldoet.
12Rechten van betrokkenen
Indien een betrokkene zich rechtstreeks tot de Verwerker wendt met een verzoek tot inzage, correctie, verwijdering, beperking, overdraagbaarheid of bezwaar, verwijst de Verwerker de betrokkene door naar de Klant.
De Verwerker staat de Klant bij in het afhandelen van dergelijke verzoeken, voor zover dit technisch mogelijk en redelijk is.
13Doorgifte buiten de EU/EER
De Verwerker maakt voor bepaalde sub-verwerkers gebruik van diensten buiten de EU/EER.
Doorgifte vindt uitsluitend plaats op basis van:
- Een adequaatheidsbesluit van de Europese Commissie, of
- Standard Contractual Clauses (SCC's), of
- Het EU-US Data Privacy Framework
De Verwerker waarborgt dat passende waarborgen zijn getroffen conform hoofdstuk V van de AVG.
14Aansprakelijkheid
De aansprakelijkheid van de Verwerker onder deze Overeenkomst is beperkt tot hetgeen is opgenomen in de Algemene Voorwaarden.
Elke partij is verantwoordelijk voor de boetes die haar door de Autoriteit Persoonsgegevens worden opgelegd als gevolg van het niet naleven van de AVG.
15Beëindiging en gegevensverwijdering
Na beëindiging van het lidmaatschap verwijdert de Verwerker alle persoonsgegevens binnen 90 dagen, tenzij bewaring wettelijk verplicht is.
De Klant kan voorafgaand aan beëindiging een export van zijn gegevens opvragen via workspace@solohr.nl.
Betalingsgegevens worden conform fiscale wetgeving maximaal 7 jaar bewaard.
16Slotbepalingen
Op deze Overeenkomst is Nederlands recht van toepassing.
Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.
Wijzigingen in deze Overeenkomst worden ten minste 30 dagen vooraf aan de Klant gecommuniceerd.
Indien enige bepaling van deze Overeenkomst ongeldig blijkt, tast dit de geldigheid van de overige bepalingen niet aan.
Versie 1.0 | Februari 2026
Bureau Liminal B.V.