Verwerkersovereenkomst
Versie 2026-06-01 · Laatst bijgewerkt: 1 juni 2026
Deze verwerkersovereenkomst (conform artikel 28 AVG) hoort bij de algemene voorwaarden en geldt automatisch zodra je SmartShifter gebruikt om gegevens van je medewerkers te verwerken. Je bent dan verwerkingsverantwoordelijke; SmartShifter is verwerker.
1. Partijen en rollen
- Verwerkingsverantwoordelijke: de klant (jouw onderneming), die bepaalt welke gegevens van medewerkers worden verwerkt en waarom.
- Verwerker: BlitzWorx, handelend onder SmartShifter (KvK 00000000), die deze gegevens namens jou verwerkt om de dienst te leveren.
Deze overeenkomst gaat alleen over de gegevens die je als werkgever in SmartShifter invoert. Voor gegevens waarvoor SmartShifter zelf verantwoordelijke is (zoals je accountgegevens als abonnee) geldt de privacyverklaring.
2. Onderwerp, aard en doel van de verwerking
SmartShifter verwerkt persoonsgegevens uitsluitend om de personeelsplanning-dienst te leveren: het maken en delen van roosters, urenregistratie en klokken, verlofbeheer, fooienverdeling, de loonafsluiting en de communicatie die daarbij hoort. De verwerking omvat onder meer verzamelen, vastleggen, opslaan, raadplegen, gebruiken, wijzigen en verwijderen.
3. Duur
Deze overeenkomst geldt zolang de onderliggende abonnementsovereenkomst loopt en eindigt automatisch wanneer die eindigt, behoudens de verplichtingen die naar hun aard blijven gelden (zoals geheimhouding en verwijdering of teruggave van gegevens).
4. Soort persoonsgegevens en betrokkenen
Categorieën betrokkenen: medewerkers van de klant (inclusief eventuele flex-/oproepkrachten) en de gebruikers die namens de klant met de dienst werken.
Categorieën persoonsgegevens:
- contactgegevens: naam, e-mailadres, telefoonnummer, adres;
- functie, rol, skills en teamindeling;
- rooster- en urengegevens: diensten, beschikbaarheid, geklokte tijden, pauzes, verlof;
- loongegevens voor de loonafsluiting: uurloon en bruto loonberekeningen;
- fooiengegevens, voor zover van toepassing.
SmartShifter verwerkt geen BSN en geen bankrekeningnummers (IBAN) van medewerkers; die blijven bij de salarisadministratie van de werkgever. Er worden geen bijzondere categorieën persoonsgegevens (zoals gezondheid) verwerkt; voer die dan ook niet in vrije tekstvelden in.
5. Verwerking uitsluitend op instructie
SmartShifter verwerkt de persoonsgegevens alleen volgens jouw instructies en voor de hierboven genoemde doelen, tenzij een wettelijke verplichting anders bepaalt. Het gebruik van de dienst zoals bedoeld geldt als je instructie. SmartShifter gebruikt jouw gegevens nooit voor eigen doeleinden en verkoopt ze niet.
6. Beveiliging
SmartShifter neemt passende technische en organisatorische maatregelen (artikel 32 AVG), waaronder:
- versleuteling van dataverkeer (HTTPS/TLS);
- opslag van gegevens op servers binnen de EU;
- strikte toegangsscheiding per organisatie, zodat klanten nooit elkaars gegevens kunnen zien;
- gehashte opslag van wachtwoorden (nooit leesbaar);
- toegang tot gegevens alleen voor bevoegd personeel, en logging.
7. Subverwerkers
Je geeft SmartShifter algemene toestemming om subverwerkers in te schakelen voor het leveren van de dienst. Met elke subverwerker sluiten we een overeenkomst met minstens dezelfde verplichtingen als hier beschreven. De huidige subverwerkers zijn:
| Subverwerker | Doel | Locatie |
|---|---|---|
| Supabase | Hosting van database en accounts | EU (Frankfurt) |
| Resend | Versturen van transactionele e-mails | VS (EU-US Data Privacy Framework) |
| Sentry | Foutmeldingen en stabiliteit | EU / VS |
Bij een nieuwe of vervangende subverwerker informeren we je vooraf, zodat je bezwaar kunt maken. Voor verwerking buiten de EU zorgen we voor passende waarborgen, zoals de standaardcontractbepalingen van de Europese Commissie of een adequaatheidsbesluit (zoals het EU-US Data Privacy Framework).
Mollie (betalingen) en Moneybird (facturatie) verwerken gegevens in de relatie tussen SmartShifter en jou als abonnee, niet de gegevens van je medewerkers; zij vallen onder de privacyverklaring, niet onder deze verwerkersovereenkomst.
8. Bijstand bij rechten van betrokkenen
Krijg je een verzoek van een medewerker (inzage, correctie, verwijdering, beperking, overdraagbaarheid of bezwaar)? Dan helpt SmartShifter je dat af te handelen, met de functies in de dienst en waar nodig met aanvullende ondersteuning. Richt een betrokkene zich rechtstreeks tot ons, dan verwijzen we door naar jou als verantwoordelijke.
9. Datalekken en overige bijstand
Bij een datalek dat jouw gegevens raakt, informeren we je zonder onredelijke vertraging nadat we ervan op de hoogte zijn, met de informatie die je nodig hebt om aan je eigen meldplicht (binnen 72 uur) te voldoen. We ondersteunen je ook bij een eventuele DPIA en voorafgaande raadpleging van de toezichthouder.
10. Geheimhouding
SmartShifter houdt de persoonsgegevens geheim en zorgt dat personen die er toegang toe hebben tot geheimhouding zijn verplicht.
11. Audit
Je mag (laten) controleren of SmartShifter deze overeenkomst naleeft. SmartShifter stelt de informatie beschikbaar die nodig is om de naleving aan te tonen en werkt mee aan audits, die redelijk worden ingepland en de normale bedrijfsvoering niet onnodig verstoren.
12. Teruggave en verwijdering
Na afloop van de overeenkomst stelt SmartShifter je gedurende een redelijke termijn in staat de gegevens te exporteren, en verwijdert of anonimiseert daarna alle persoonsgegevens en kopieën, tenzij een wettelijke bewaarplicht langer bewaren vereist.
13. Contact
Vragen over deze verwerkersovereenkomst of wil je hem ondertekend ontvangen? Mail sander@blitzworx.nl.