Algemene Voorwaarden

Heartwork B.V.

Ingangsdatum: maart 2026

1. Inleiding

Welkom bij Heartwork. Deze Algemene Voorwaarden (“Voorwaarden”) zijn van toepassing op uw toegang tot en gebruik van het Heartwork-platform (de “Dienst”), beheerd door Heartwork B.V., een vennootschap opgericht naar Nederlands recht (KvK: 99973790), gevestigd aan de Everard Meysterweg 29, 3817 HA Amersfoort, Nederland (“Heartwork”, “wij”, “ons” of “onze”).

Door een account aan te maken of de Dienst te gebruiken, gaat u akkoord met deze Voorwaarden. Indien u deze Voorwaarden namens een bedrijf of andere rechtspersoon aanvaardt, verklaart u dat u bevoegd bent om die entiteit te binden. Als u niet akkoord gaat met deze Voorwaarden, mag u de Dienst niet gebruiken.

De Dienst is ontworpen voor bedrijven met maximaal 50 medewerkers. Heartwork is een HR-informatiesysteem (HRIS) en applicant tracking system (ATS) waarmee u personeelsdossiers, contracten, verlof, functioneringsgesprekken, medewerkersonderzoeken, werving, organogrammen en gerelateerde bedrijfsinformatie kunt beheren.

2. Definities

“Account” betekent het gebruikersaccount dat u aanmaakt om toegang te krijgen tot de Dienst.

“Klant” betekent de rechtspersoon (bedrijf of organisatie) namens wie een Account wordt aangemaakt en de Dienst wordt gebruikt.

“Klantgegevens” betekent alle gegevens, content en informatie die door u of uw Geautoriseerde Gebruikers worden geüpload, ingediend of gegenereerd via de Dienst, inclusief maar niet beperkt tot personeelsdossiers, documenten en communicatie.

“Geautoriseerde Gebruiker” betekent iedere persoon die toegang heeft gekregen tot de Dienst onder uw Account, inclusief teamleden die u uitnodigt.

“AI-functionaliteiten” betekent alle functies van de Dienst die gebruikmaken van kunstmatige intelligentie of AI-diensten van derden om content te verwerken of te genereren.

3. Accountregistratie

Om de Dienst te gebruiken, dient u een Account aan te maken door uw voornaam, achternaam, zakelijk e-mailadres, een wachtwoord, uw functietitel, bedrijfsnaam en eventueel uw bedrijfswebsite op te geven. U bent verantwoordelijk voor het vertrouwelijk houden van uw inloggegevens en voor alle activiteiten die plaatsvinden onder uw Account.

U dient nauwkeurige en volledige informatie te verstrekken bij de registratie en deze informatie actueel te houden. U moet ten minste 18 jaar oud zijn om de Dienst te gebruiken. U kunt teamleden uitnodigen voor uw Account en u bent verantwoordelijk voor het naleven van deze Voorwaarden door alle Geautoriseerde Gebruikers.

U dient ons onmiddellijk te informeren via support@heartwork.co als u op de hoogte raakt van ongeautoriseerd gebruik van uw Account.

4. Gratis proefperiode

Nieuwe Klanten ontvangen een gratis proefperiode van 14 dagen met volledige toegang tot alle functies. Er zijn geen betaalgegevens vereist om de proefperiode te starten. Aan het einde van de proefperiode dient u een betaald abonnement af te sluiten om de Dienst te blijven gebruiken, tenzij u in aanmerking komt voor onze non-profitregeling (zie Artikel 6).

Wij behouden ons het recht voor om de gratis proefperiode op elk moment te wijzigen of stop te zetten.

5. Prijzen en betaling

5.1 Prijzen

De Dienst wordt als volgt geprijsd:

  • HRIS: €1 per medewerker per maand.
  • Werving: €1 per actieve vacature per dag.

Een vacature wordt als actief beschouwd op elke kalenderdag waarop deze bestaat en gepubliceerd is. Het pauzeren van een vacature stopt de dagtelling. Dagen worden geteld in de lokale tijdzone van de Klant. Gedeeltelijke dagen tellen als volledige dagen. Er zijn geen minimumkosten en geen jaarlijkse verplichtingen.

5.2 Facturatie

Facturatie vindt maandelijks achteraf plaats. Het gebruik wordt berekend aan het einde van elke kalendermaand. Een factuur wordt opgesteld op de 1e van de volgende maand. De betalingstermijn is 14 dagen na de factuurdatum.

Geaccepteerde betaalmethoden zijn iDEAL, creditcard en SEPA-incasso. Betalingen worden verwerkt door onze betalingsprovider Mollie B.V.

5.3 Te late betaling

Indien betaling niet binnen 14 dagen na de factuurdatum is ontvangen, kunnen wij een betalingsherinnering sturen. Als de betaling meer dan 30 dagen uitstaat, kunnen wij de toegang tot de Dienst opschorten totdat het openstaande bedrag is voldaan. Wij behouden ons het recht voor om wettelijke rente in rekening te brengen over achterstallige bedragen conform Nederlands recht.

5.4 Prijswijzigingen

Wij kunnen onze prijzen van tijd tot tijd aanpassen. Wij stellen u ten minste 30 dagen van tevoren per e-mail op de hoogte van prijswijzigingen. Als u niet akkoord gaat met een prijswijziging, kunt u uw abonnement opzeggen voordat de nieuwe prijzen ingaan.

6. Regeling voor non-profits met een maatschappelijke missie

Non-profitorganisaties met een maatschappelijke missie mogen de Dienst geheel gratis gebruiken, zonder beperkingen op functies, medewerkers of vacatures. Om in aanmerking te komen, dient uw organisatie primair een liefdadig, sociaal, educatief, humanitair of maatschappelijk doel na te streven - en niet de commerciële of beroepsmatige belangen van haar leden te dienen. U dient geregistreerd te zijn als ANBI (Algemeen Nut Beogende Instelling) in Nederland, of een gelijkwaardige charitatieve status te hebben in een ander land binnen de Europese Economische Ruimte of het Verenigd Koninkrijk. Brancheverenigingen, politieke partijen, beroepsverenigingen en sportverenigingen komen niet in aanmerking, ook niet als zij een non-profit rechtsvorm hebben.

De beoordeling is gebaseerd op zelfverklaring met verificatie. Wij behouden ons het recht voor om bewijs van de non-profitstatus op te vragen en de gratis toegang in te trekken als niet langer aan de criteria wordt voldaan. Wij bepalen de geschiktheid naar eigen inzicht en kunnen documentatie opvragen waaruit de missie en activiteiten van uw organisatie blijken.

7. Opzegging en restitutie

U kunt uw abonnement op elk moment opzeggen. De opzegging gaat in aan het einde van de lopende kalendermaand. U behoudt volledige toegang tot de Dienst tot die datum. Er wordt een eindfactuur opgesteld voor uw gebruik tot en met de opzegdatum, in overeenstemming met onze standaard facturatiecyclus (zie Artikel 5).

Restituties en factuurcorrecties worden per geval beoordeeld, naar ons oordeel. Als u van mening bent dat een factuur onjuist is of als u een factuurkwestie wilt bespreken, neem dan contact met ons op via support@heartwork.co.

Na opzegging kunt u uw gegevens op elk moment exporteren voordat uw toegang eindigt (zie Artikel 12).

8. Aanvaardbaar gebruik

U stemt ermee in de Dienst uitsluitend te gebruiken voor wettige doeleinden en in overeenstemming met deze Voorwaarden. U zult niet:

  • De Dienst gebruiken in strijd met enige toepasselijke wet- of regelgeving.
  • Content uploaden, opslaan of verzenden die onrechtmatig, schadelijk, bedreigend, beledigend, lasterlijk of anderszins verwerpelijk is.
  • Ongeautoriseerde toegang proberen te verkrijgen tot de Dienst, accounts van andere gebruikers, of gerelateerde systemen of netwerken.
  • De integriteit of prestaties van de Dienst verstoren of belemmeren.
  • Enig onderdeel van de Dienst reverse-engineeren, decompileren of disassembleren.
  • De Dienst gebruiken om gegevens op te slaan of te verwerken waarvoor u niet wettelijk bevoegd bent.
  • Uw identiteit of de geschiktheid van uw organisatie voor de regeling voor non-profits met een maatschappelijke missie verkeerd voorstellen.
  • De Dienst doorverkopen, in sublicentie geven of beschikbaar stellen aan derden zonder onze voorafgaande schriftelijke toestemming.

Wij behouden ons het recht voor om uw Account op te schorten of te beëindigen als wij redelijkerwijs van mening zijn dat u in strijd handelt met dit artikel.

9. Intellectueel eigendom

9.1 Ons intellectueel eigendom

De Dienst, inclusief alle software, ontwerpen, teksten, afbeeldingen en andere materialen, is eigendom van Heartwork B.V. en wordt beschermd door het intellectuele eigendomsrecht. Deze Voorwaarden verlenen u geen rechten op ons intellectueel eigendom, behalve het beperkte recht om de Dienst te gebruiken in overeenstemming met deze Voorwaarden.

9.2 Uw gegevens

U behoudt alle eigendomsrechten op uw Klantgegevens. Door de Dienst te gebruiken, verleent u ons een beperkte, niet-exclusieve licentie om uw Klantgegevens te hosten, op te slaan en te verwerken, uitsluitend ten behoeve van het leveren en onderhouden van de Dienst. Wij zullen uw Klantgegevens niet voor andere doeleinden gebruiken, waaronder het trainen van kunstmatige-intelligentiemodellen.

10. AI-functionaliteiten

De Dienst kan functies bevatten die gebruikmaken van kunstmatige intelligentie, inclusief AI-diensten van derden. Wanneer AI-functionaliteiten worden gebruikt, kunnen sommige van uw gegevens naar externe AI-providers worden verzonden voor verwerking. AI-functionaliteiten worden nooit automatisch geactiveerd en elk gebruik vereist uw uitdrukkelijke toestemming.

Hoewel wij zorgvuldig gerenommeerde AI-providers selecteren, garanderen wij niet de juistheid, volledigheid of betrouwbaarheid van door AI gegenereerde content. U bent verantwoordelijk voor het beoordelen en verifiëren van alle door AI-functionaliteiten geproduceerde output voordat u hierop handelt.

Wij zullen in de Dienst duidelijk aangeven wanneer een functie gebruikmaakt van AI, en ons Privacybeleid bevat aanvullende informatie over hoe gegevens worden verwerkt in verband met AI-functionaliteiten.

11. Gegevensbescherming

De aard van de Dienst brengt met zich mee dat u persoonsgegevens van uw medewerkers en sollicitanten kunt verwerken via het platform. In deze context:

  • U (de Klant) treedt op als verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens van uw medewerkers en sollicitanten.
  • Heartwork treedt op als verwerker en verwerkt gegevens namens u en conform uw instructies.

Wij verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en andere toepasselijke privacywetgeving. Ons Privacybeleid, beschikbaar op heartwork.co/privacy, beschrijft in detail welke gegevens wij verzamelen, hoe wij deze gebruiken en welke rechten betrokkenen hebben.

Gezien het feit dat de Dienst HR-gegevens verwerkt — waaronder mogelijk gezondheidsgerelateerde informatie (zoals ziekteverzuimregistraties), salarisinformatie en persoonlijke identificatiegegevens — dienen zowel u als Heartwork deze gegevens met gepaste zorgvuldigheid te behandelen. U bent verantwoordelijk voor het waarborgen van een rechtmatige grondslag voor de verwerking van de persoonsgegevens die u uploadt naar de Dienst, en voor het informeren van uw medewerkers over hoe hun gegevens worden verwerkt.

De Verwerkersovereenkomst (DPA), die een integraal onderdeel vormt van deze Voorwaarden, regelt de verwerking van persoonsgegevens door Heartwork namens de Klant. Zie de Verwerkersovereenkomst hieronder.

12. Data-export en dataportabiliteit

U kunt uw Klantgegevens op elk moment exporteren in standaardformaten (CSV en JSON) zonder extra kosten. Er zijn geen exportkosten, kunstmatige vertragingen of beperkingen op dataportabiliteit.

Heartwork is bewust gebouwd voor kleine teams. Als uw organisatie groeit voorbij wat Heartwork biedt, helpen wij u graag bij de overgang naar een geschikter platform en kunnen wij assisteren bij een soepele migratie.

13. Beschikbaarheid van de Dienst

Wij streven ernaar de Dienst te allen tijde beschikbaar en operationeel te houden, maar wij garanderen geen ononderbroken of foutloze toegang. De Dienst wordt geleverd op basis van “zoals beschikbaar”. Wij bieden geen formele Service Level Agreements (SLA’s) of uptimegaranties.

Het kan voorkomen dat wij de Dienst tijdelijk moeten onderbreken voor onderhoud, updates of beveiligingspatches. Waar redelijkerwijs mogelijk zullen wij gepland onderhoud vooraf aankondigen.

14. Ondersteuning

Ondersteuning wordt geboden per e-mail via support@heartwork.co. Wij streven ernaar vragen binnen 24–48 uur op werkdagen te beantwoorden. Wij bieden geen telefonische ondersteuning of een vast aanspreekpunt. Documentatie voor zelfservice is beschikbaar binnen de applicatie en op onze website.

15. Beperking van aansprakelijkheid

Voor zover maximaal toegestaan door toepasselijk recht:

  • De Dienst wordt geleverd “zoals deze is” en “zoals beschikbaar”, zonder enige garantie, uitdrukkelijk noch stilzwijgend, inclusief maar niet beperkt tot impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel en niet-inbreuk.
  • Heartwork is niet aansprakelijk voor indirecte, incidentele, bijzondere, gevolg- of punitieve schade, inclusief maar niet beperkt tot gederfde winst, gegevensverlies, gemiste zakelijke kansen of verlies van goodwill.
  • De totale aansprakelijkheid van Heartwork voortvloeiend uit of in verband met deze Voorwaarden of de Dienst is beperkt tot het totale bedrag dat u aan Heartwork heeft betaald in de 12 maanden voorafgaand aan de gebeurtenis die aanleiding geeft tot de vordering.
  • Heartwork is niet aansprakelijk voor verlies of schade als gevolg van uw vertrouwen op door AI gegenereerde content.

Niets in deze Voorwaarden sluit aansprakelijkheid uit of beperkt deze voor fraude, opzettelijk wangedrag, of enige aansprakelijkheid die niet kan worden uitgesloten op grond van toepasselijk recht.

16. Vrijwaring

U stemt ermee in Heartwork, haar bestuurders, medewerkers en vertegenwoordigers te vrijwaren, te verdedigen en schadeloos te stellen tegen alle vorderingen, aansprakelijkheden, schade, verliezen en kosten (inclusief redelijke juridische kosten) die voortvloeien uit of op enigerlei wijze verband houden met:

  • Uw gebruik van de Dienst.
  • Uw schending van deze Voorwaarden.
  • Uw schending van toepasselijke wet- of regelgeving.
  • Uw verwerking van persoonsgegevens via de Dienst.

17. Looptijd en beëindiging

Deze Voorwaarden blijven van kracht zolang u een actief Account heeft. Beide partijen kunnen de overeenkomst beëindigen:

  • U kunt beëindigen door uw abonnement op te zeggen en uw Account te verwijderen.
  • Wij kunnen uw Account beëindigen of opschorten als u deze Voorwaarden schendt, openstaande facturen niet betaalt na redelijke kennisgeving, of als wij de Dienst stopzetten.

Na beëindiging vervalt uw recht om de Dienst te gebruiken onmiddellijk. U heeft na beëindiging 30 dagen de tijd om uw Klantgegevens te exporteren, tenzij uw Account is beëindigd wegens schending van deze Voorwaarden, in welk geval wij uw gegevens onmiddellijk mogen verwijderen. Na deze periode verwijderen wij uw gegevens in overeenstemming met ons gegevensretentiebeleid en toepasselijk recht.

18. Wijzigingen in deze Voorwaarden

Wij kunnen deze Voorwaarden van tijd tot tijd bijwerken. Bij wezenlijke wijzigingen stellen wij u ten minste 30 dagen van tevoren op de hoogte per e-mail of via een duidelijke melding in de Dienst. Uw voortgezet gebruik van de Dienst na de ingangsdatum van de herziene Voorwaarden geldt als aanvaarding van de wijzigingen.

Als u niet akkoord gaat met de herziene Voorwaarden, dient u het gebruik van de Dienst te staken en uw abonnement op te zeggen voordat de wijzigingen van kracht worden.

19. Toepasselijk recht en geschillen

Op deze Voorwaarden is Nederlands recht van toepassing.

Alle geschillen die voortvloeien uit of verband houden met deze Voorwaarden worden voorgelegd aan de bevoegde rechter te Amsterdam, Nederland.

Alvorens een gerechtelijke procedure te starten, komen beide partijen overeen te trachten elk geschil te goeder trouw op te lossen door middel van rechtstreekse communicatie.

20. Overige bepalingen

Volledige overeenkomst. Deze Voorwaarden vormen, samen met de Verwerkersovereenkomst en het Privacybeleid, de volledige overeenkomst tussen u en Heartwork met betrekking tot de Dienst.

Scheidbaarheid. Indien enige bepaling van deze Voorwaarden onuitvoerbaar wordt bevonden, blijven de overige bepalingen onverminderd van kracht.

Afstand van recht. Het niet-afdwingen door ons van enige bepaling van deze Voorwaarden houdt geen afstand van die bepaling in.

Overdracht. U mag uw rechten of verplichtingen op grond van deze Voorwaarden niet overdragen zonder onze voorafgaande schriftelijke toestemming. Wij mogen onze rechten en verplichtingen overdragen aan een rechtsopvolger in het geval van een fusie, overname of verkoop van alle of nagenoeg alle activa.

Overmacht. Heartwork is niet aansprakelijk voor het niet of vertraagd nakomen van haar verplichtingen op grond van deze Voorwaarden als gevolg van omstandigheden buiten haar redelijke controle, inclusief maar niet beperkt tot natuurrampen, pandemieën, overheidsmaatregelen of verstoringen van internetdiensten.

21. Contact

Heeft u vragen over deze Voorwaarden? Neem dan contact met ons op:

Heartwork B.V.
Everard Meysterweg 29
3817 HA Amersfoort
Nederland

E-mail: support@heartwork.co
Website: www.heartwork.co

Verwerkersovereenkomst

Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) regelt de verwerking van persoonsgegevens door Heartwork namens de Klant. Deze Verwerkersovereenkomst is een integraal onderdeel van de Algemene Voorwaarden (“Voorwaarden”) en vormt, samen met de Voorwaarden en het Privacybeleid, de volledige Overeenkomst tussen de partijen. Door gebruik te maken van de Dienst aanvaardt de Klant deze Verwerkersovereenkomst. Bij strijdigheid tussen deze Verwerkersovereenkomst en de Voorwaarden prevaleert deze Verwerkersovereenkomst ten aanzien van de verwerking van persoonsgegevens.

DPA 1. Definities

Begrippen die in deze Verwerkersovereenkomst worden gebruikt en die zijn gedefinieerd in de Algemene Voorwaarden, hebben hier dezelfde betekenis. Daarnaast hebben begrippen als “verwerking”, “persoonsgegevens”, “betrokkene”, “inbreuk in verband met persoonsgegevens”, “verwerkingsverantwoordelijke”, “verwerker” en “subverwerker” de betekenis die daaraan wordt gegeven in de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 — “AVG”).

“Toepasselijke Wetgeving” betekent de AVG en alle andere toepasselijke wet- en regelgeving op het gebied van gegevensbescherming, waaronder de Uitvoeringswet AVG (“UAVG”).

DPA 2. Rollen van de partijen

In het kader van de Dienst treedt de Klant op als verwerkingsverantwoordelijke en Heartwork als verwerker in de zin van de AVG. Heartwork verwerkt persoonsgegevens uitsluitend namens de Klant en in overeenstemming met de gedocumenteerde instructies van de Klant, zoals beschreven in deze Verwerkersovereenkomst, de Voorwaarden en via de configuratie en het gebruik van de Dienst door de Klant.

DPA 3. Reikwijdte en onderwerp

Deze Verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens door Heartwork namens de Klant in het kader van het leveren van de Dienst. Welke persoonsgegevens worden verwerkt, hangt af van welke functies de Klant gebruikt en hoe de Klant de Dienst configureert.

DPA 3.1 HRIS

Aard en doel van de verwerking: Heartwork biedt een gestandaardiseerd softwareplatform voor het beheren van werknemersinformatie, contracten, verlof, functioneringsgesprekken, medewerkersonderzoeken, organogrammen en gerelateerde HR-gegevens. De Klant bepaalt hoe het platform wordt gebruikt, welke functies worden ingeschakeld en hoe instellingen worden geconfigureerd.

Categorieën van betrokkenen:

  • Werknemers: personen die in dienst zijn van of anderszins werkzaam zijn voor de Klant, in welke hoedanigheid dan ook.
  • Gebruikers: personen die een gebruikersaccount hebben in de Dienst, doorgaans werknemers, managers of beheerders van de Klant.

Soorten persoonsgegevens die worden verwerkt: De persoonsgegevens die kunnen worden verwerkt zijn afhankelijk van het gebruik van de Dienst door de Klant en kunnen omvatten: naam, geboortedatum, genderidentiteit, nationaliteit, contactgegevens, adres, werknemersfoto, functietitel, team- en managertoewijzingen, arbeidscontractgegevens (waaronder salaris, werktijden en proeftijd), verlofgegevens (waaronder type verlof), beoordelingsgegevens (waaronder zelfevaluaties, feedback van collega’s en beoordelingen), enquêteresultaten en documenten die door de Klant zijn geüpload.

DPA 3.2 Werving (ATS)

Aard en doel van de verwerking: Heartwork biedt wervingsfunctionaliteit voor het beheren van vacatures, sollicitaties en het wervingsproces. De Klant bepaalt welke gegevens van sollicitanten worden verzameld en hoe het wervingsproces wordt geconfigureerd.

Categorieën van betrokkenen:

  • Sollicitanten: personen die solliciteren op een functie bij de Klant, of personen die de Klant benadert of werft voor een dienstverband.
  • Gebruikers: personen die namens de Klant betrokken zijn bij het wervingsproces.

Soorten persoonsgegevens die worden verwerkt: De persoonsgegevens die kunnen worden verwerkt zijn afhankelijk van hoe de Klant het sollicitatieproces configureert en kunnen omvatten: naam, contactgegevens, cv, motivatiebrief, antwoorden op sollicitatievragen, interviewnotities, beoordelingen door het wervingsteam, pipelinestatus en communicatie tussen het wervingsteam en de sollicitant.

DPA 3.3 Bijzondere categorieën van gegevens

De Klant of diens gebruikers kunnen via de Dienst gegevens invoeren die kwalificeren als bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG, zoals gezondheidsgerelateerde informatie (bijvoorbeeld ziekteverzuimgegevens). Het is de exclusieve verantwoordelijkheid van de Klant om ervoor te zorgen dat de verwerking van bijzondere categorieën van persoonsgegevens in overeenstemming is met de Toepasselijke Wetgeving, waaronder het hebben van een geldige rechtsgrondslag en het bieden van passende waarborgen.

DPA 3.4 Duur

Deze Verwerkersovereenkomst blijft van kracht zolang Heartwork persoonsgegevens verwerkt namens de Klant. Bij beëindiging van de Overeenkomst behandelt Heartwork persoonsgegevens overeenkomstig artikel DPA 12 van deze Verwerkersovereenkomst.

DPA 4. Verplichtingen van de Klant

De Klant garandeert dat:

  • Alle instructies aan Heartwork met betrekking tot de verwerking van persoonsgegevens in overeenstemming zijn en blijven met de Toepasselijke Wetgeving.
  • De Klant beschikt over een geldige rechtsgrondslag voor de verwerking van alle persoonsgegevens die worden geüpload naar of beheerd via de Dienst.
  • Betrokkenen (werknemers, sollicitanten en anderen) adequaat zijn geïnformeerd over de verwerking van hun persoonsgegevens, waaronder de betrokkenheid van Heartwork als verwerker.
  • De Klant passende bewaartermijnen hanteert en handhaaft met behulp van de beschikbare functionaliteit van de Dienst, en als enige verantwoordelijk is voor het verwijderen van persoonsgegevens die niet langer noodzakelijk zijn.

DPA 5. Verplichtingen van Heartwork

Heartwork zal:

  • Persoonsgegevens uitsluitend verwerken in overeenstemming met de gedocumenteerde instructies van de Klant zoals vastgelegd in deze Verwerkersovereenkomst en de Voorwaarden, of zoals vereist door toepasselijk recht. Indien Heartwork op grond van de wet verplicht is persoonsgegevens voor een ander doel te verwerken, zal Heartwork de Klant daarvan voorafgaand aan de verwerking op de hoogte stellen, tenzij de wet een dergelijke kennisgeving verbiedt.
  • Persoonsgegevens niet verwerken voor enig ander doel dan het leveren en onderhouden van de Dienst, tenzij de Klant hiertoe uitdrukkelijk opdracht geeft.
  • Persoonsgegevens niet gebruiken voor het trainen van kunstmatige-intelligentiemodellen.
  • De Klant onverwijld informeren indien naar het oordeel van Heartwork een instructie van de Klant inbreuk maakt op de AVG of andere toepasselijke wetgeving op het gebied van gegevensbescherming.

DPA 6. Vertrouwelijkheid

Heartwork behandelt alle persoonsgegevens die namens de Klant worden verwerkt als vertrouwelijk. Heartwork zorgt ervoor dat toegang tot persoonsgegevens beperkt blijft tot die personen die toegang nodig hebben voor het verlenen van de Dienst, en dat al deze personen gebonden zijn aan passende vertrouwelijkheidsverplichtingen, hetzij contractueel, hetzij wettelijk.

DPA 7. Beveiligingsmaatregelen

Heartwork treft en onderhoudt passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens tegen ongeoorloofde of onrechtmatige verwerking, onopzettelijk verlies, vernietiging of beschadiging, overeenkomstig artikel 32 AVG. Deze maatregelen omvatten onder meer:

  • Versleuteling van persoonsgegevens tijdens transport (TLS) en in opslag.
  • Tweefactorauthenticatie voor gebruikersaccounts.
  • Rolgebaseerde toegangscontrole binnen de applicatie.
  • Regelmatige beveiligingsupdates en beheer van afhankelijkheden.
  • Veilige opslag van wachtwoorden met behulp van gangbare hashingalgoritmen.
  • Regelmatige toetsing en evaluatie van de doeltreffendheid van deze maatregelen.

Heartwork kan de beveiligingsmaatregelen van tijd tot tijd aanpassen, mits het algehele beschermingsniveau niet wezenlijk wordt verlaagd.

DPA 8. Subverwerkers

De Klant verleent Heartwork een algemene schriftelijke toestemming om subverwerkers in te schakelen voor de verwerking van persoonsgegevens, onder de volgende voorwaarden:

  • Heartwork houdt een actuele lijst van subverwerkers bij op heartwork.co/sub-processors.
  • Heartwork stelt de Klant ten minste 14 dagen voor de inschakeling van een nieuwe subverwerker op de hoogte van voorgenomen wijzigingen in de lijst van subverwerkers (toevoegingen of vervangingen), per e-mail aan het geregistreerde contactadres van de Klant.
  • De Klant kan binnen 14 dagen na ontvangst van een dergelijke kennisgeving bezwaar maken tegen een nieuwe subverwerker. Indien de Klant op redelijke gronden met betrekking tot gegevensbescherming bezwaar maakt, treden partijen in goed overleg. Indien geen oplossing wordt bereikt, kan de Klant de Overeenkomst beëindigen.
  • Heartwork legt aan iedere subverwerker, door middel van een schriftelijke overeenkomst, gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan die in deze Verwerkersovereenkomst.
  • Heartwork blijft volledig aansprakelijk voor de handelingen en nalatigheden van haar subverwerkers alsof het haar eigen handelingen en nalatigheden betreffen.

DPA 9. Internationale gegevensdoorgifte

Heartwork verwerkt persoonsgegevens binnen de Europese Economische Ruimte (EER). Indien doorgifte van persoonsgegevens naar een land buiten de EER noodzakelijk is (bijvoorbeeld via een subverwerker of een AI-dienstverlener), zorgt Heartwork ervoor dat passende waarborgen aanwezig zijn overeenkomstig hoofdstuk V van de AVG, zoals door de Europese Commissie goedgekeurde Standaard Contractbepalingen (SCCs) of een adequaatheidsbesluit van de Europese Commissie.

DPA 10. Rechten van betrokkenen

Heartwork ondersteunt de Klant bij het nakomen van diens verplichtingen om te reageren op verzoeken van betrokkenen die hun rechten op grond van de AVG uitoefenen (waaronder het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar). Indien Heartwork rechtstreeks een verzoek ontvangt van een betrokkene, zal Heartwork de betrokkene onverwijld doorverwijzen naar de Klant, tenzij de Klant anders instrueert.

Voor zover de Klant een verzoek van een betrokkene niet zelfstandig kan afhandelen via de functionaliteit van de Dienst, verleent Heartwork op verzoek van de Klant redelijke bijstand.

DPA 11. Inbreuk in verband met persoonsgegevens

Heartwork stelt de Klant onverwijld, en in ieder geval binnen 48 uur, op de hoogte nadat Heartwork kennis heeft genomen van een inbreuk in verband met persoonsgegevens die betrekking heeft op de persoonsgegevens van de Klant. De melding bevat, voor zover beschikbaar:

  • Een beschrijving van de aard van de inbreuk, waaronder de categorieën en het geschatte aantal betrokkenen en persoonsgegevensrecords.
  • De waarschijnlijke gevolgen van de inbreuk.
  • Een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om de inbreuk aan te pakken en de gevolgen ervan te beperken.
  • Het contactpunt bij Heartwork voor nadere informatie.

Heartwork werkt samen met de Klant en neemt redelijke maatregelen ter ondersteuning bij het onderzoeken, beperken en herstellen van de inbreuk. De verplichting tot melding van een inbreuk mag niet worden uitgelegd als een erkenning van aansprakelijkheid.

DPA 12. Bewaring en verwijdering van gegevens

Na beëindiging van de Overeenkomst heeft de Klant 30 dagen de tijd om gegevens te exporteren via de data-exportfunctionaliteit van de Dienst (zie artikel 12 van de Voorwaarden). Na deze periode zal Heartwork alle persoonsgegevens die namens de Klant zijn verwerkt verwijderen, tenzij Heartwork op grond van toepasselijk recht verplicht is bepaalde gegevens te bewaren. In dat geval informeert Heartwork de Klant over de bewaarplicht en beperkt verdere verwerking tot hetgeen strikt noodzakelijk is op grond van de toepasselijke wettelijke verplichting.

Back-ups die persoonsgegevens bevatten worden binnen 7 dagen overschreven.

DPA 13. Audits

Heartwork stelt de Klant alle informatie ter beschikking die redelijkerwijs noodzakelijk is om naleving van de verplichtingen uit deze Verwerkersovereenkomst en artikel 28 AVG aan te tonen. Heartwork staat audits toe en draagt daaraan bij, inclusief inspecties, uitgevoerd door de Klant of een door de Klant aangewezen onafhankelijke auditor, onder de volgende voorwaarden:

  • De Klant stelt Heartwork ten minste 30 dagen van tevoren schriftelijk op de hoogte van een auditverzoek.
  • Audits worden uitgevoerd tijdens kantooruren en mogen de bedrijfsvoering van Heartwork niet onredelijk verstoren.
  • De Klant draagt de eigen kosten voor het uitvoeren van de audit. Indien de audit aanzienlijke betrokkenheid van Heartwork vereist die verder gaat dan het verstrekken van standaarddocumentatie en toegang, maken partijen vooraf afspraken over een redelijke vergoeding voor de tijd en middelen van Heartwork.
  • Auditbevindingen en alle verkregen informatie worden door de Klant en de auditor als vertrouwelijk behandeld.
  • Audits zijn beperkt tot eenmaal per kalenderjaar, tenzij een inbreuk in verband met persoonsgegevens heeft plaatsgevonden of een toezichthoudende autoriteit aanvullende audits vereist.

DPA 14. Bijstand bij naleving

Rekening houdend met de aard van de verwerking en de aan Heartwork beschikbare informatie, ondersteunt Heartwork de Klant bij het nakomen van diens verplichtingen op grond van de artikelen 32 tot en met 36 AVG, waaronder verplichtingen met betrekking tot de beveiliging van de verwerking, de melding van inbreuken in verband met persoonsgegevens, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging van toezichthoudende autoriteiten.

DPA 15. Aansprakelijkheid

De aansprakelijkheidsbepalingen uit artikel 15 (Beperking van aansprakelijkheid) van de Voorwaarden zijn eveneens van toepassing op deze Verwerkersovereenkomst. Iedere partij is aansprakelijk voor schade veroorzaakt door verwerking die inbreuk maakt op de AVG, overeenkomstig artikel 82 AVG.