Verwerkersovereenkomst

Appgebruiker en eWorks BV, (hierna: ‘Aannemer’), overwegende, dat: Aannemer in opdracht van Uitbesteder App hosting diensten (hierna: de ‘Diensten’) zal leveren,

  • Bij de levering van deze diensten persoonsgegevens worden of kunnen worden verwerkt, in de zin zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (hierna: de ‘Verordening’);
  • De geldende wet- en regelgeving (waaronder de Verordening) aan deze persoonsgegevensverwerking bepaalde eisen en beperkingen stelt;

zijn het volgende overeengekomen:

Artikel 1. Inwerkingtreding, precedentie en duur

1.1. Deze Verwerkersovereenkomst treedt in werking op de datum waarop de Aannemer zijn account aanmaakt.

1.2. Deze Verwerkersovereenkomst eindigt twee weken nadat Aannemer per email aangeeft dat zijn account moet worden opgeheven.

Artikel 2. Toepasselijke Wet- en Regelgeving

2.1. Tenzij expliciet in deze Verwerkingsovereenkomst gedefinieerd gelden voor de in deze Verwerkersovereenkomst gebruikte begrippen de definities zoals beschreven in de Verordening;

2.2. Aannemer garandeert bij de uitvoering van de Overeenkomst en deze Verwerkersovereenkomst te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens (hierna: de ‘Wet’), te weten:

a. De Verordening;

b. Geldende Uitvoeringswetgeving voor de Verordening in de betreffende lidstaten (in Nederland: de Uitvoeringswet AVG);

c. De interpretatie van de Verordening en Uitvoeringswetgeving door de Leidende Toezichthoudende Autoriteit;

2.3. Deze Verwerkersovereenkomst tussen Uitbesteder en Aannemer is aangegaan onder Nederlands recht.

2.4. Alle geschillen in verband met deze Verwerkersovereenkomst of de uitvoering ervan worden voorgelegd aan dezelfde bevoegde rechter als de Overeenkomst waaraan zij is toegevoegd.

Artikel 3. Betrokkenen, Aard en Doeleinden van de Persoonsgegevensverwerking

3.1. De Betrokkenen, Aard en Doeleinden van de persoonsgegevensverwerking voor de door Aannemer te leveren Diensten worden beschreven in Appendix A;

3.2. Naast voor de levering van de Dienst, mag Aannemer de persoonsgegevens ook verwerken in de zin van het toepassen van passende organisatorische c.q. technische maatregelen om die persoonsgegevens te beschermen (zie 12.2);

3.3. Zodra de beschreven doelbinding (zoals beschreven in 3.1) of rechtsgrond (zoals beschreven in Artikel 4) voor de persoonsgegevensverwerking eindigt worden de betreffende persoonsgegevens, inclusief alle eventuele kopieën, door Aannemer onverwijld vernietigd, tenzij:

a. Uitbesteder aan Aannemer voordien opdracht geeft tot overdracht aan Uitbesteder of aan een door Uitbesteder aangewezen derde partij;

b. Aannemer Unierechtelijk of Lidstaatrechtelijk verplicht is om de betreffende persoonsgegevens te bewaren.

In dat geval stelt Aannemer voorafgaand aan het eindigen van doelbinding en/of rechtsgrond Uitbesteder in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

3.4. Aannemer zal de in het kader van de Overeenkomst verzamelde of ontvangen persoonsgegevens niet voor andere doeleinden of op andere wijze verwerken dan behandeld onder 3.1 t/m 3.3, tenzij Aannemer Unierechtelijk of lidstaatrechtelijk verplicht is tot die andersoortige verwerking.

In dat geval stelt Aannemer voorafgaand aan die andersoortige verwerking Uitbesteder in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 4. Rechtsgrond van Verwerking

4.1. Aannemer verwerkt de persoonsgegevens in het kader van de geleverde Diensten op grond van het gerechtvaardigd belang dat zij heeft om de Diensten aan Uitbesteder te kunnen leveren.

Artikel 5. Locatie van verwerking

5.1. Aannemer mag in het kader van de door Aannemer te leveren Diensten persoonsgegevens uitsluitend verwerken in landen binnen de Europese Unie;

5.2. De locaties waar persoonsgegevensverwerking plaatsvindt in het kader van de door Aannemer te leveren Diensten worden beschreven in Appendix A.

Artikel 6. Medewerkers van Aannemer

6.1. Personen die onder het gezag van Aannemer handelen en toegang hebben tot persoonsgegevens in het kader van de door Aannemer te leveren Diensten, verwerken deze uitsluitend conform de beschrijvingen in deze Verwerkersovereenkomst, tenzij zij Unierechtelijk of lidstaatrechtelijk tot de andersoortige verwerking gehouden zijn;

6.2. Aannemer waarborgt dat de personen zoals bedoeld onder 6.1 zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Artikel 7. Onderaannemers van Aannemer

7.1. De Onderaannemers die onder het gezag van Aannemer handelen en toegang hebben tot persoonsgegevens in het kader van de door Aannemer te leveren Diensten worden beschreven in Appendix A;

7.2. Aannemer legt in een overeenkomst krachtens Unierecht of lidstatelijk recht aan alle Onderaannemers zoals bedoeld onder 7.1 dezelfde verplichtingen en beperkingen op zoals deze Verwerkersovereenkomst die aan Aannemer zelf oplegt, voor zover van toepassing op de aan die Onderaannemers uitbestede persoonsgegevensverwerking;

7.3. Wanneer Onderaannemers van Aannemer hun verplichtingen inzake gegevensbescherming niet nakomen, blijft de Aannemer ten aanzien van Uitbesteder volledig aansprakelijk voor het nakomen van de verplichtingen van die Onderaannemers;

Artikel 8. Communicatie tussen Uitbesteder en Aannemer

8.1. De formele communicatie in het kader van de tenuitvoerlegging van deze Verwerkersovereenkomst tussen Uitbesteder en Aannemer verloopt schriftelijk (c.q. via e-mail);

8.2. In het kader van de opvolging van verzoeken van Betrokkenen, en mits dat geen significante afwijking van deze Verwerkersovereenkomst betreft, mag Uitbesteder instructies voor persoonsgegevensverwerking geven;

8.3. Aannemer zal, voor zover mogelijk, de in 8.2 bedoelde instructies van Uitbesteder uitvoeren;

8.4. Aannemer mag de kosten voor het uitvoeren van de in 8.2 bedoelde instructies doorbelasten aan Uitbesteder;

8.5. Aannemer informeert Uitbesteder zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die Aannemer in het kader van de door Aannemer te leveren Diensten verwerkt of laat verwerken;

8.6. Een inbreukmelding zoals bedoeld onder 8.5 voorziet Uitbesteder tenminste van de volgende informatie:

a. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

b. de naam en de contactgegevens van het contactpunt waar meer informatie kan worden verkregen, voor zover afwijkend van 8.8;

c. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d. de maatregelen die Aannemer heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

8.7. Waar Aannemer Unierechtelijk of lidstaatrechtelijk verplicht is tot afwijking van het in deze Verwerkersovereenkomst bepaalde stelt Aannemer Uitbesteder in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving verbiedt;

Artikel 9. Communicatie met Betrokkenen

9.1. Aannemer zal in het kader van de levering van de Diensten met Betrokkenen communiceren zoals behandeld in Artikel 3;

9.2. Aannemer zal alle van Betrokkenen ontvangen verzoeken tot het uitoefenen van hun rechten onder de Wet  onverwijld aan Uitbesteder doorgeven voor verdere afhandeling.

Artikel 10. Communicatie met Toezichthoudende Autoriteiten

10.1. Alleen waar de Wet dat vereist zal Aannemer direct met Toezichthoudende Autoriteiten communiceren over de persoonsgegevensverwerking in het kader van de levering van de Diensten;

10.2. Aannemer stelt Uitbesteder in kennis van onder 10.1 bedoelde communicatie, tenzij deze kennisgeving Unierechtelijk of lidstaatrechtelijk verboden is.

Artikel 11. Geheimhouding en vertrouwelijkheid

11.1. Op alle persoonsgegevens die Aannemer van Uitbesteder ontvangt en/of zelf verzamelt in het kader van de te leveren Diensten, rust een geheimhoudingsplicht jegens derden;

11.2. Deze geheimhoudingsplicht is niet van toepassing:

a. voor zover Uitbesteder uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen;

b. indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de Diensten en de uitvoering van deze Verwerkersovereenkomst;

c. indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 12. Beveiliging

12.1. Aannemer beoordeelt de in Artikel 3 behandelde persoonsgegevensverwerking op risico’s ten aanzien van:

a. De bescherming van de rechten en vrijheden van de Betrokkenen;

b. Het naleven van de Wet;

c. Het naleven van deze Verwerkersovereenkomst;

12.2. Aannemer waarborgt een op de onder 12.1 bedoelde risico’s afgestemd beveiligingsniveau door, rekening houdend met de stand van de techniek en de uitvoeringskosten, passende technische en organisatorische maatregelen te nemen, opdat:

a. persoonsgegevens, indien zij gelet op de in Artikel 3 behandelde aard en doeleinden waarvoor zij worden verwerkt onjuist zijn, onverwijld worden gewist of gerectificeerd (“juistheid”);

b. persoonsgegevens worden beschermd tegen ongeoorloofde of onrechtmatige verwerking (“vertrouwelijkheid”);

c. persoonsgegevens worden beschermd tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit”);

d. op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de diensten te garanderen;

e. bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig wordt hersteld;

12.3. Aannemer test, beoordeelt en evalueert op gezette tijdstippen de doeltreffendheid van de onder 12.2 bedoelde maatregelen;

12.4. Aannemer werkt conform ISO 27001 / ISO 27002.

Artikel 13. Reikwijdte van verantwoordelijkheden

13.1. Aannemer voert uitsluitend de persoonsgegevensverwerking uit zoals beschreven in deze Verwerkersovereenkomst, overeenkomstig de instructies van Uitbesteder en onder de uitdrukkelijke (eind)verantwoordelijkheid van Uitbesteder;

13.2. Voor overige persoonsgegevensverwerkingen tot en met de aanlevering van persoonsgegevens aan Aannemer door/via Uitbesteder is Aannemer uitdrukkelijk niet verantwoordelijk;

13.3. Voor overige persoonsgegevensverwerkingen na oplevering van persoonsgegevens door Aannemer aan/via Uitbesteder is Aannemer uitdrukkelijk niet verantwoordelijk;

13.4. Uitbesteder garandeert dat de inhoud, het gebruik en de opdracht tot de persoonsgegevensverwerkingen zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 14. Audit

14.1. Aannemer stelt Uitbesteder in staat om ten minste eenmaal per kalenderjaar op kosten van Uitbesteder, onder aanzegging van een redelijke termijn, de naleving van deze verwerkersovereenkomst door Aannemer te controleren of door een onafhankelijke derde partij namens Uitbesteder te laten controleren;

14.2. Aannemer zal Uitbesteder op diens verzoek alle relevante informatie beschikbaar stellen waarmee Uitbesteder kan vaststellen dat Aannemer zich houdt aan de hierboven genoemde verplichtingen.

Appendix A. Persoonsgegevensverwerking per Diensttype

A.a.           DareToCare App

A.a.1.        Betrokkenen

A.a.1.1.     De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval geselecteerde medewerkers (hierna: Medewerkers) van Uitbesteder c.q. van de derde partij die via Uitbesteder de DareToCare diensten afneemt van Aannemer (hierna: de ‘Werkgever’);

A.a.2.        Soort Persoonsgegevens

De Persoonsgegevens (zieA.a.2) die door Aannemer voor het leveren van de DareToCare App diensten worden verwerkt zijn:

A.a.2.1.     door/via Uitbesteder aangeleverde e-mailadressen van Medewerkers.

A.a.2.2.     eventuele met Uitbesteder overeengekomen en door/via Uitbesteder aangeleverde metadata (afdeling, e.d.) over die Medewerkers;

A.a.2.3.     de resultaten en activiteiten per Medewerker zoals uitgevoerd binnen de DareToCare App, zijnde het feit dat men heeft geklikt op alerts, meldingen heeft gedaan of vragen heeft gesteld en de inhoud van die meldingen of vragen, de beantwoording van die meldingen of vragen en de aanwezigheidsscan / deelname aan meetings, andere QR code scans bijvoorbeeld tbv het downloaden van handleidingen of instructies.

A.a.3.        Aard en doel van de verwerking

De Persoonsgegevens (zieA.a.2) worden voor het leveren van de DareToCare App diensten als volgt en voor de volgende doelen verwerkt:

A.a.3.1.     het verzenden van alerts aan Medewerkers en het registreren van hun response daarop om de toegankelijkheid van informatie per Respondent vast te stellen;

A.a.3.2.     het rapporteren van de aanwezigheidsregistratie / scan history aan de hand van de aangeleverde metadata om de Werkgever inzicht te geven in de deelname van haar medewerkers aan de informatievoorziening van de werkgever

A.a.3.3.     het melden van vragen en meldingen van Medewerkers en de antwoorden daarop om de Werkgever in staat te stellen vragen en meldingen goed en snel af te handelen.

A.a.4.        Locatie van de Persoonsgegevensverwerking

De Persoonsgegevens  (zie A.a.2) worden voor het leveren van de DareToCare App diensten verwerkt binnen de Europese Unie maar mogelijk niet binnen Nederland.

A.a.5.        Betrokken Onderaannemers

De Onderaannemers die door Aannemer voor het leveren van de DareToCare App diensten als sub-verwerker worden ingezet zijn:

A.a.5.1.     Amazon Web Services, gehost in Europa; AWS is ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC 9001:2015 gecertificeerd.

Data processing agreement

(Machine translated, Dutch is leading)

App user and eWorks BV, (hereinafter: ‘Contractor’), whereas: Contractor  will provide App hosting services (hereinafter: the ‘Services’)  on behalf of ‘Outsourcer’,

  • In the provision of these services, personal data are or may be processed, within the meaning as defined in the General Data Protection Regulation (hereinafter: the “Regulation”);
  • The applicable laws and regulations (including the Regulation) impose certain requirements and restrictions on this personal data processing;

have agreed as follows:

Article 1. Entry into force, precedenty and duration

1.1. This Processor Agreement enters into force on the date on which the Contractor creates his account.

1.2. This Processor Agreement ends two weeks after the Contractor indicates by email that his account must be closed.

Article 2. Applicable Laws and Regulations

2.1. Unless explicitly defined in this Processing Agreement, the definitions as described in the Regulation apply to the terms used in this Processor Agreement;

2.2. In the execution of the Agreement and this Processor Agreement, the Contractor guarantees to comply with the requirements of the applicable laws and regulations regarding the Processing of Personal Data (hereinafter: the ‘Law’), namely:

a. The Regulation;

b. Applicable Implementing Legislation for the Regulation in the relevant member states (in the Netherlands: the GDPR Implementation Act);

c. The interpretation of the Regulation and Implementing Legislation by the Lead Supervisory Authority;

2.3. This Processor Agreement between The Contractor and the Outsourcer has been entered into under Dutch law.

2.4. All disputes in connection with this Processor Agreement or its execution will be submitted to the same competent court as the Agreement to which it has been added.

Article 3. Data subjects, Nature and Purposes of the Personal Data Processing

3.1. The Data Subjects, Nature and Purposes of the personal data processing for the Services to be provided by the Contractor are described in Appendix A;

3.2. In addition to the provision of the Service, the Contractor may also process the personal data in the sense of applying appropriate organizational or technical measures to protect those personal data (see 12.2);

3.3. As soon as the described purpose limitation (as described in 3.1) or legal basis (as described in Article 4) for the personal data processing ends, the personal data concerned, including any copies, will be destroyed by the Contractor without delay, unless:

a.Outsourcer to Contractor in advance instructs the contractor to transfer to Uit outsourceder or to a third party designated by Outsourcer;

b. Contractor is obliged under Union or Member State law to retain the personal data concerned.

In that case, prior to the termination of purpose limitation and/or legal basis, the Contractor shall inform the Subcontracter of that legal obligation, unless that legislation prohibits such notification for important reasons of public interest;

3.4. The Contractor will not process the personal data collected or received in the context of the Agreement for purposes or in any other way than those dealt with under 3.1 to 3.3, unless the Contractor is obliged to do so under Union or Member State law.

In that case, prior to that other type of processing, the Contractor shall inform the Subcontracter of that legal obligation, unless that legislation prohibits such notification for important reasons of public interest.

Article 4. Legal basis of Processing

4.1. The contractor processes the personal data in the context of the Services provided on the basis of the legitimate interest it has to be able to provide the Services to Uitcontracteder.

Article 5. Location of processing

5.1. In the context of the Services to be provided by the Contractor, the Contractor may only process personal data in countries within the European Union;

5.2. The locations where personal data processing takes place in the context of the Services to be provided by the Contractor are described in Appendix A.

Article 6. Employees at Aannemer

6.1. Persons who act under the authority of the Contractor and have access to personal data in the context of the Services to be provided by the Contractor will only process them in accordance with the descriptions in this Processor Agreement, unless they are obliged to the other type of processing under Union or Member State law;

6.2. The Contractor guarantees that the persons referred to in 6.1 have undertaken to observe confidentiality or are bound by an appropriate legal obligation of confidentiality.

Article 7. Subcontractors of Contractor

7.1. The Subcontractors who act under the authority of the Contractor and have access to personal data in the context of the Services to be provided by the Contractor are described in Appendix A;

7.2. In an agreement under Union or Member State law, the Contractor imposes on all Subcontractors as referred to in 7.1 the same obligations and restrictions as this Processor Agreement imposes on the Contractor itself, insofar as applicable to the personal data processing outsourced to those Subcontractors;

7.3. If Subcontractors of The Contractor do not comply with their data protection obligations, the Contractor remains fully liable vis-à-vis The Contractor for the fulfilment of the obligations of those Subcontractors;

Article 8. Communication between Outsourcer and Contractor

8.1. The formal communication in the context of the implementation of this Processor Agreement between The Contractor and the Contractor takes place in writing (or via e-mail);

8.2. In the context of the follow-up of requests from Data Subjects, and provided that this does not concern a significant deviation from this Processor Agreement, Outsourcer may give instructions for personal data processing;

8.3. The Contractor shall, as far as possible, carry out the instructions from Outsourcer referred to in 8.2;

8.4. The contractor may charge the costs of carrying out the instructions referred to in 8.2 to Uitcontracteder;

8.5. The Contractor shall inform The Contractor without unreasonable delay as soon as it has become aware of a breach in connection with personal data that the Contractor processes or has processed in the context of the Services to be provided by the Contractor;

8.6. An infringement notification as referred to in 8.5 provides Outsourcer with at least the following information:

(a) the nature of the personal data breach, indicating, where possible, the categories of data subjects and personal data registers concerned and, approximately, the number of data subjects and personal data registers concerned;

b. the name and contact details of the contact point from which more information can be obtained, if different from 8.8;

c. the likely consequences of the personal data breach;

d. the measures proposed or taken by the Contractor to address the personal data breach, including, where appropriate, the measures to limit any adverse consequences thereof;

8.7. Where the Contractor is obliged under Union or Member State law to deviate from the provisions of this Processor Agreement, Contractor Shall inform The Contractor of that legal obligation, unless that legislation prohibits such notification;

Article 9. Communication with Data Subjects

9.1. In the context of the provision of the Services, the Contractor will communicate with data subjects as dealt with in Article 3;

9.2. The Contractor shall immediately pass on all requests received from data subjects to exercise their rights under the Act to Uit outsourceder for further processing.

Article 10. Communication with Supervisory Authorities

10.1. Only where required by law will the Contractor communicate directly with supervisory authorities about the personal data processing in the context of the provision of the Services;

10.2. The Contractor shall inform The Contractor of the communication referred to in 10.1, unless such notification is prohibited by Union or Member State law.

Article 11. Confidentiality and confidentiality

11.1. All personal data that the Contractor receives from Outsourcer and/or collects itself in the context of the Services to be provided is subject to a duty of confidentiality towards third parties;

11.2. This obligation of confidentiality shall not apply:

a. insofar as Uit outsourceder has given explicit permission to provide the information to third parties;

b. if the provision of the information to third parties is logically necessary in view of the nature of the Services and the execution of this Processor Agreement;

c. if there is a legal obligation to provide the information to a third party.

Article 12. Security

12.1. The contractor shall assess the personal data processing dealt with in Article 3 for risks with regard to:

a. The protection of the rights and freedoms of data subjects;

b. Compliance with the Law;

c. Compliance with this Processor Agreement;

12.2. The contractor shall ensure a level of security appropriate to the risks referred to in 12.1 by taking appropriate technical and organisational measures, taking into account the state of the art and the costs of implementation, so that:

a. personal data, if they are inaccurate in view of the nature and purposes for which they are processed in view of the nature and purposes for which they are processed, they are deleted or rectified without delay (‘accuracy’);

b. personal data are protected against unauthorised or unlawful processing (“confidentiality”);

c. personal data are protected against accidental loss, destruction or damage (“integrity”);

d. ensure, on an ongoing basis, the confidentiality, integrity, availability and resilience of the services;

e. in the event of a physical or technical incident, the availability of and access to the personal data is restored in a timely manner;

12.3. Contractor shall periodically test, assess and evaluate the effectiveness of the measures referred to in 12.2;

12.4. Contractor works in accordance with ISO 27001 / ISO 27002.

Article 13. Scope of responsibilities

13.1. The Contractor shall only carry out the personal data processing as described in this Processor Agreement, in accordance with the instructions of The Outsourcer and under the express (final) responsibility of The Outsourcer;

13.2. For other personal data processing up to and including the delivery of personal data to the Contractor by/via Uit outsourceder, Contractor is explicitly not responsible;

13.3. For other personal data processing after delivery of personal data by The Contractor to/via Outsourcer, Contractor is explicitly not responsible;

13.4. The outsourcer guarantees that the content, use and assignment for the personal data processing as referred to in this Processor Agreement is not unlawful and does not infringe any right of third parties.

Article 14. Audit

14.1. The contractor enables The Contractor to check the contractor’s compliance with this processing agreement at least once per calendar year at the expense of The Outsourcer, giving notice of a reasonable period of time, or to have it checked by an independent third party on behalf of Outsourcer;

14.2. The Contractor shall, at its request, make available to The Contractor all relevant information with which The Contractor can establish that the Contractor complies with the above-mentioned obligations.

Appendix A. Personal data processing by Service Type

A.a.DareToCare App

A.a.1.        Those involved

A.a.1.1.De persons to whom the Personal Data relate are in any case selected employees (hereinafter: Employees) of Outsourcer or of the third party that purchases the DareToCare services from the Contractor via Uit outsourceder (hereinafter: the ‘Employer’);

A.a.2.Type of Personal Data

The Personal Data (seeA.a.2) processed by The Contractor for the provision of the DareToCare App services are:

A.a.2.1.e-mail addresses of Employees supplied by/via Outsourcer.

A.a.2.2.any metadata (department, etc.) agreed with Outsourcer and supplied by/via Outsourcer about those Employees;

A.a.2.3.de results and activities per Employee as carried out within the DareToCare App, being the fact that people have clicked on alerts, made reports or asked questions and the content of those reports or questions, the answering of those reports or questions and the attendance scan / participation in meetings, other QR code scans for example for downloading manuals or instructions.

A.a.3.Nature and purpose of the processing

The Personal Data (seeA.a.2) are processed for the provision of the DareToCare App services as follows and for the following purposes:

A.a.3.1.sending alerts to Employees and registering their response to them in order to determine the accessibility of information per Respondent;

A.a.3.2.reporting the attendance registration / scan history on the basis of the metadata provided to give the Employer insight into the participation of its employees in the provision of information by the employer

A.a.3.3.reporting questions and reports from Employees and the answers to them to enable the Employer to handle questions and reports properly and quickly.

A.a.4.Location of personal data processing

The Personal Data (see A.a.2) are processed for the provision of the DareToCare App services within the European Union but possibly not within the Netherlands.

A.a.5.Affected Subcontractors

The Subcontractors used by the Contractor as sub-processors for the provision of the DareToCare App services are:

A.a.5.1.Amazon Web Services, hosted in Europe; AWS is ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC 9001:2015 certified.