• Home
  • Verwerkersovereenkomst PHOCUS Cloud

Verwerkersovereenkomst PHOCUS Cloud

Inhoudsopgave

Artikel 1          Definities

Artikel 2          Onderwerp van de Verwerkersovereenkomst

Artikel 3          Verwerking

Artikel 4          Inschakeling Derden

Artikel 5          Vertrouwelijkheid

Artikel 6          Beveiliging, Audit

Artikel 7          Verwerking en Data-opslag binnen en buiten EU

Artikel 8          Informatieplicht, Incidentenmanagement

Artikel 9          Teruggave of Vernietiging van Persoonsgegevens

Artikel 10        Aansprakelijkheid, Vrijwaring

Artikel 11        Duur en Beëindiging Verwerkersovereenkomst

Artikel 12        Toepasselijk Recht, Bevoegde Rechter

Artikel 13        Accordering, standaard en specifieke bepalingen

 

Bijlage: Service Level Agreement

  1. A) Algemeen
  • Indeling
  • Beheer SLA
  • Randvoorwaarden SLA
  • Locatie en Werktijden PHOCUS Service
  • Advies & Meerwerk
  1. B) Service Level 1, Software Only
  2. C) Service Level 2, Salaris Serviceverwerking
  3. D) Service Level 3, Managed Services

 

Verwerkersovereenkomst PHOCUS Cloud

PARTIJEN:

Verwerkingsverantwoordelijke, hierna te noemen U, Uw,

EN

Verwerker, hierna te noemen Wij, Onze, Ons,

hierna gezamenlijk aangeduid als “Partijen”, overwegen als volgt:

 

-1.       Wij verlenen diensten aan/verricht werkzaamheden aan/voor U op het gebied van salarissen, Human Resources en aanverwante diensten/aspecten, zoals de bijbehorende administraties en technische ondersteuning.

-2.       Wij Verwerken in Uw opdracht Persoonsgegevens in het kader van deze dienstverlening/ werkzaamheden.

 

PARTIJEN KOMEN MET BETREKKING TOT DEZE VERWERKING HET VOLGENDE OVEREEN:

 

Artikel 1          Definities

In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van deze begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de wettelijke omschrijving van het begrip. De begrippen zijn afkomstig uit de AVG – Algemene verordening gegevensbescherming.

 

AVG: de Algemene verordening gegevensbescherming, inclusief de uitvoeringswet van deze verordening;

Betrokkene: de natuurlijke persoon wiens Persoonsgegevens worden Verwerkt;

Bijzondere Persoonsgegevens: dit zijn gegevens zoals ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, maar ook Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;

Datalek/ Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens;

Derden: anderen dan PHOCUS of Sub-verwerker;

Medewerkers: medewerkers van Ons of Sub-verwerker die de Opdracht/verwerkingen daadwerkelijk uitvoeren;

Meldplicht Datalekken: de verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n);

Onderliggende Opdracht: overeenkomst PHOCUS Cloud die Partijen met elkaar hebben afgesloten tot het verlenen van diensten/verrichten van werkzaamheden op het gebied van HR, salarissen en aanverwante zaken zoals volgt uit artikel 2 van deze verwerkersovereenkomst;

Partij: een partij bij deze overeenkomst, U of Wij;

Partijen: de contractpartijen, U en Wij gezamenlijk;

Persoonsgegevens van gevoelige aard: persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:

  • Bijzondere Persoonsgegevens
  • Gegevens over de financiële of economische situatie van de Betrokkene
  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene
  • Gebruikersnamen, wachtwoorden en andere inloggegevens
  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude

Persoonsgegevens: persoonsgegevens in de zin an de Algemene verordening gegevensbescherming, alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon;

Sub-verwerker: een andere Verwerker die door Ons wordt ingezet om specifieke verwerkingsactiviteiten voor U te verrichten;

SaaS: Software as a Service;

Verwerken/ Verwerking: een verwerking of een geheel van verwerkingen met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Verwerker: een (rechts)persoon die ten behoeve en in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, in deze Wij;

Verwerkingsverantwoordelijke: een (rechts)persoon die het doel en de middelen voor de verwerking van Persoonsgegevens vaststelt, in deze U.

 

 

Artikel 2          Onderwerp van de Verwerkersovereenkomst

-1.       Onderwerp van deze verwerkersovereenkomst is door Partijen vastgelegd in de overeenkomst PHOCUS Cloud.

-2.       Bij de uitvoering van Onderliggende Opdracht Verwerken Wij Persoonsgegevens. Specifieke afspraken over de Verwerking van Persoonsgegevens zijn vastgelegd in de volgende documenten:

  • Onderliggende Opdracht
  • Bijgevoegde Service Level Agreement

-3.       Wij benadrukken dat bij Onze dienstverlening zoals omschreven in de Onderliggende Opdracht en zoals bedoeld in het vorige lid, gebruik wordt gemaakt van door Derden ter beschikking gestelde SaaS-toepassingen. Deze SaaS-leveranciers zijn ISO 27001 en/of ISAE 3402 gecertificeerd. Bij dit gebruik en de bijbehorende Verwerking van de Persoonsgegevens zijn Wij mede gebonden aan de bepalingen van de verwerkersovereenkomst die gelden tussen Ons en de betreffende SaaS-leverancier. Daarnaast zijn Wij afhankelijk van de technische mogelijkheden die de betreffende leverancier van de SaaS-toepassing biedt. Als de SaaS-leverancier hierin op enig moment wijzigingen aanbrengt, kan dit mede gevolgen hebben voor de technische aspecten van de Verwerking. Wij zullen U informeren als dit aan de orde is.

 

 

Artikel 3          Verwerking

-1.       Wij Verwerken de Persoonsgegevens volgens de in artikel 2 lid 2 genoemde documenten en bepalingen.

-2.       Wij Verwerken de Persoonsgegevens alleen onder Uw schriftelijke instructies en verantwoordelijkheid. Deze instructies zijn vastgelegd in de Onderliggende Opdracht en bijgevoegde Service Level Agreement. Als instructies van U in strijd zijn met de Algemene verordening gegevensbescherming en/of overige relevante wet- en regelgeving, zullen Wij handelen volgens de toepasselijke wet- en regelgeving.

-3.       Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over aspecten als het gebruik van de Persoonsgegevens, de bewaartermijn van de Verwerkte Persoonsgegevens en het verstrekken van deze Persoonsgegevens aan Derden. De afspraken hieromtrent leggen Partijen vast in documenten zoals vermeld in artikel 2 lid 2.

-4.       U bent wettelijk verplicht in Uw hoedanigheid van Verwerkingsverantwoordelijke ervoor te zorgen dat de Algemene verordening gegevensbescherming en overige relevante wet- en regelgeving wordt nageleefd. In het bijzonder moet U vaststellen of er sprake is van een rechtmatige grondslag voor de Verwerking.

-5.       Wij zorgen ervoor dat alleen Medewerkers die de Verwerkingen daadwerkelijk verrichten toegang hebben tot de Persoonsgegevens, deze Medewerkers een juiste en volledige instructie hebben gekregen over de omgang met de Persoonsgegevens en bekend zijn met de verantwoordelijkheden en verplichtingen volgens de Algemene verordening gegevensbescherming.

-6.       Indien aan de orde, kunt U Ons vragen om Persoonsgegevens te zoeken, wijzigen of verbeteren als Wij in het kader van de Onderliggende Opdracht toegang hebben tot deze Persoonsgegevens. Wanneer Wij (rechtstreeks) verzoeken van de Betrokkene ontvangen om inzage, wijziging of verbetering van de Persoonsgegevens, zetten wij deze verzoeken naar U door en handelt U deze verzoeken zelf af. Na een schriftelijk verzoek van U, kunnen wij U hierbij behulpzaam zijn, mits Wij in het kader van de Onderliggende Opdracht toegang hebben tot de betreffende Persoonsgegevens.

 

 

Artikel 4          Inschakeling Derden

-1.       Voor inschakeling van Derden maken wij onderscheid tussen inschakeling SaaS-leveranciers en inschakeling Derden ter vervanging van Onze eigen Medewerkers.

-2.       Wij maken schriftelijk afspraken met de in lid 1 bedoelde Derden waarbij Wij hen verplichten minimaal hetzelfde niveau van gegevensbescherming te bieden, als Wij naar U bieden.

-3.       In de Onderliggende Opdracht en de in artikel 2 lid 2 genoemde documenten leggen Partijen de afspraken vast over het eventueel inschakelen van SaaS-leveranciers bij de uitvoering van de Onderliggende Opdracht en de Verwerking.

-4.       Voor inschakeling van Derden ter vervanging van Onze eigen Medewerkers, zullen wij vooraf toestemming aan U vragen voor betreffende inzet.

 

 

Artikel 5          Vertrouwelijkheid

-1.       Wij behandelen en Verwerken alle Persoonsgegevens als strikt vertrouwelijk en garanderen dat Medewerkers, vertegenwoordigers en/of goedgekeurde Sub-verwerkers hierover zullen informeren. Wij waarborgen dat genoemde Medewerkers/personen een adequate geheimhoudingsovereenkomst hebben getekend.

-2.       Onder strikt vertrouwelijke informatie valt in ieder geval (ook) alle informatie die Wij in het kader van het sluiten en uitvoeren van de Onderliggende Opdracht van of over U hebben verkregen.

-3.       De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Wij als gevolg van relevante wet- en regelgeving, als gevolg van een rechterlijke uitspraak of op verzoek van een daartoe bevoegde instantie de Persoonsgegevens/vertrouwelijke informatie moeten openbaren en Wij hierbij niet kunnen beroepen op een wettelijk of een door een rechter toegestaan verschoningsrecht. Deze uitzonderingen gelden ook voor Medewerkers.

-4.       Indien toegestaan, informeren Wij U in situaties als bedoeld in lid 3.

 

 

Artikel 6          Beveiliging, Audit

-1.       Wij streven ernaar al Onze werkzaamheden/dienstverlening uit te voeren volgens de normen van ISO 27001.

-2.       Wij nemen daarnaast de technische/organisatorische maatregelen in acht zoals beschreven in de in artikel 2 lid 2 genoemde documenten.

Wij hanteren bovendien een expliciet beveiligingsbeleid. De maatregelen en dit beleid omvatten in ieder geval:

-a.        organisatie-informatie beveiliging;

-b.       beveiligingseisen aan de Medewerkers, zoals geheimhoudingsverklaringen;

-c.        beveiligingseisen aan te gebruiken apparatuur, zoals beheer op afstand;

-d.       toegangscontrole aan systeem en software, zoals wachtwoorden met tweetrapsauthenticatie;

-e.       cryptografie; zoals encryptie van dataschijven;

-f.         fysieke- en omgevingsbeveiliging, zoals sleutelbeveiliging;

-g.        operationele beveiliging, waaronder back-up en recovery procedures;

-h.       netwerkverbindingen, zoals uitwijkmogelijkheden bij uitval;

-i.         beveiligingseisen ten aanzien van Derden, uitsluitende SaaS-toepassingen met ISO 27001 en/of ISAE-certificaat;

-j.        incidentenmanagement (zie ook artikel 8) zoals het hebben van een datalekprocedure;

-k.        calamiteitenmanagement, zoals het voorzien in uitwijkmogelijkheden.

-3.       Partijen erkennen dat de beveiligingseisen voortdurend wijzigen en een effectieve beveiliging frequente evaluaties en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Wij zullen om die reden de getroffen maatregelen voortdurend evalueren en – indien nodig – aanscherpen, aanvullen of verbeteren.

-4.       U mag door een onafhankelijke Derde een audit bij Ons laten uitvoeren om na te gaan in welke mate Wij voldoen aan de overeengekomen mate van beveiliging en beveiligingsmaatregelen. Wij geven de auditor op diens verzoek toegang tot faciliteiten, personeel en alle relevante documenten die nodig zijn voor het doel van de audit in het kader van deze verwerkersovereenkomst. Tenzij Partijen bij een concrete audit anders overeenkomen, zijn Onze kosten die uit een audit voortvloeien voor Uw rekening.

 

 

Artikel 7          Verwerking en Data-opslag binnen en buiten EU

Wij Verwerken de Persoonsgegevens zowel binnen als buiten de Europese Economische Ruimte. Voor Verwerking of data-opslag van Persoonsgegevens buiten de EU, garanderen Wij dat er uitsluitend gebruik gemaakt wordt van SaaS-leveranciers die een met de AVG vergelijkbaar niveau van gegevensbescherming bieden, zoals de Europese commissie die heeft bepaald.

 

 

Artikel 8          Informatieplicht, Incidentenmanagement

-1.       Wij informeren U onverwijld over incidenten rondom de Verwerking. Ingeval van een incident verlenen Wij alle noodzakelijke medewerking aan U en volgen wij de in dit kader gegeven instructies van U op met als doel U in staat te stellen een deugdelijk onderzoek te verrichten naar het incident en passende vervolgstappen te nemen. Wij verstrekken hiertoe alle noodzakelijke informatie aan U om het voor U mogelijk te maken aan Uw wettelijke verplichtingen te voldoen, waaronder het melden van het incident bij de Autoriteit Persoonsgegevens.

-2.       Onder ‘incident’ wordt in ieder geval verstaan:

-a.        een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de Verwerking;

-b.       een onderzoek naar de Persoonsgegevens door overheidsfunctionarissen of een vermoeden van een dergelijk onderzoek;

-c.        een Inbreuk op de vertrouwelijkheid en/of beveiliging zoals bedoeld in de artikelen 5 en 6 van deze verwerkersovereenkomst of zoals uiteengezet in de Algemene verordening gegevensbescherming, welke Inbreuk leidt tot het verlies van Persoonsgegevens of een vorm van onrechtmatige Verwerking. Hieronder is in ieder geval begrepen vernietiging, wijziging, onbevoegde openbaarmaking van/toegang tot de Persoonsgegevens of een aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

-3.       Bij een incident als bedoeld in sub c van het vorige lid informeren wij U binnen 1 werkdag na constatering over het volgende:

-a.        de aard van het incident;

-b.       de datum en het tijdstip van het incident en de constatering hiervan;

-c.        de Betrokkene/Betrokkenen die zijn/worden getroffen door het incident;

-d.       op welke categorieën Persoonsgegevens het incident betrekking heeft;

-e.       of en – zo ja – welke (beveiligings-)maatregelen zij heeft getroffen om de bij het incident betrokken Persoonsgegevens onbegrijpelijk/ontoegankelijk te maken voor iedereen, die geen recht heeft op kennisneming van die Persoonsgegevens.

-4.       Wij zorgen ervoor dat wij interne procedures hanteren die Ons in staat stellen aan Onze verplichtingen op grond van dit artikel te voldoen, zoals het in artikel 6 lid 2 genoemde beveiligingsbeleid.

 

 

Artikel 9          Teruggave of Vernietiging van Persoonsgegevens

-1.       Bij het eindigen van deze verwerkersovereenkomst of op schriftelijk verzoek van U, zullen Wij de Persoonsgegevens – naar Uw keuze – vernietigen of teruggeven/weer aan U beschikbaar stellen.

-2.       Als aan de orde, informeren Wij eventuele Derden die betrokken zijn bij de Verwerking over het eindigen van de verwerkersovereenkomst en waarborgen Wij dat deze Derden de Persoonsgegevens eveneens vernietigen dan wel weer aan U beschikbaar stellen/teruggeven.

-3.       Alle kosten die Wij maken in het kader van het vernietigen/overdragen van de Persoonsgegevens – waaronder de kosten van het verzamelen van de Persoonsgegevens – zijn voor Uw rekening. Indien mogelijk en gewenst, zullen wij op voorhand een inschatting van deze kosten maken.

 

 

Artikel 10        Aansprakelijkheid, Vrijwaring

-1.       U staat ervoor in dat de grondslag voor de Verwerking van de Persoonsgegevens op basis van deze verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

-2.       Wij zijn niet aansprakelijk voor schade die het gevolg is wanneer U de Algemene verordening gegevensbescherming of andere wet- en regelgeving niet (volledig) naleeft. U bent gehouden tot vergoeding van alle schade die Wij hierdoor lijden.

U vrijwaart Ons bovendien voor aanspraken van Derden – waaronder aanspraken van Betrokkenen – die hieruit voortvloeien. Deze vrijwaring geldt niet alleen voor de (materiële en immateriële) schade die bedoelde Derden hebben geleden, maar ook voor kosten die wij moeten maken om Ons te verweren, zoals kosten van juridische bijstand en/of een gerechtelijke procedure en eventuele boetes die aan Ons worden opgelegd.

-3.       De in de Onderliggende Opdracht en de daarop toepasselijke algemene voorwaarden met daarin overeengekomen aansprakelijkheidsbeperkingen zijn eveneens van toepassing op deze verwerkersovereenkomst.

 

 

Artikel 11        Duur en Beëindiging Verwerkersovereenkomst

-1.       Deze verwerkersovereenkomst treedt in werking op de datum van inwerkingtreding van de Onderliggende Opdracht en eindigt in ieder geval gelijktijdig met de Onderliggende Opdracht.

-2.       Het eindigen van deze verwerkersovereenkomst ontslaat Ons niet van Onze verplichtingen en maakt geen einde aan Onze rechten die bestemd zijn om na het eindigen van de verwerkersovereenkomst voort te duren, waaronder in ieder geval de bepalingen zoals neergelegd in de artikelen 5, 9 en 10.

 

 

Artikel 12        Toepasselijk Recht, Bevoegde Rechter

-1.       Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

-2.       Eventuele geschillen zullen worden voorgelegd aan de bevoegde rechter in de vestigingsplaats van PHOCUS, maar Wij behouden altijd het recht het geschil voor te leggen aan de bevoegde rechter in Uw vestigingsplaats.

 

 

Artikel 13        Accordering, standaard en specifieke bepalingen

-1.       Deze verwerkersovereenkomst bevat standaardbepalingen die tussen PHOCUS en al haar opdrachtgevers gelden. Deze verwerkersovereenkomst is gepubliceerd op Onze website www.PHOCUS.nl.

-2.       Deze verwerkersovereenkomst maakt integraal onderdeel uit van de Onderliggende Opdracht. Met de ondertekening van de Opdracht verklaart U uitdrukkelijk kennis te hebben genomen van deze verwerkersovereenkomst en verklaart U dat U instemt met de toepasselijkheid en inhoud van deze verwerkersovereenkomst.

-3.       Als Partijen specifieke afwijkingen van of aanvullingen op deze verwerkersovereenkomst overeenkomen, leggen Partijen deze vast in de Onderliggende Opdracht Bij Artikel “Verwerkersovereenkomst PHOCUS Cloud – Specifieke bepalingen”.

 

 

Bijlage: Service Level Agreement

Onderdeel van verwerkersovereenkomst PHOCUS Cloud

 

 

  1. A) Algemeen

 

  • Indeling

 

Opbouw Service Level Agreement

Onze Service Level Agreement is overeenkomstig de modulaire invulling van de dienstverlening en is als volgt opgebouwd:

  • Algemeen deel (A)
  • Software only (B)
  • Salaris Serviceverwerking (C)
  • Managed Services (D)

 

Het Algemene deel van de Service Level agreement is van toepassing op alle modules van de Dienstensheet. De toepassing van de andere modules staat vermeld in de Overeenkomst PHOCUS Cloud.De Service Level Agreement beschrijft welke activiteiten worden uitgevoerd behorende bij de modules die zijn opgenomen in de Overeenkomst.

 

De Service Level Agreement zorgt ervoor dat er duidelijke afspraken en richtlijnen zijn voor de uitvoering van de overeengekomen dienstverlening. Hierdoor zijn Partijen op de hoogte van de te leveren kwaliteit en kwantiteit. Door duidelijke afspraken te maken zijn beide Partijen ook op de hoogte van de verantwoordelijkheden bij de overeengekomen dienstverlening.

 

De Service Level Agreement dient als basis voor de te leveren diensten en is een onlosmakelijk onderdeel van de Overeenkomst die Wij met U hebben.

 

In deze Service Level Agreement worden de volgende definities en begrippen gehanteerd:

 

Definities

De definities van de begrippen die in dit document worden gebruikt:

Aanlevering van input: onder “Aanlevering van input” wordt verstaan de input die U aan Ons aanlevert;

Addendum: afzonderlijke bijlage behorende bij deze SLA waarin Uw specifieke invulling van deze SLA wordt weergegeven;

Additioneel meerwerk: werkzaamheden die buiten de uitgangspunten van het Dienstensheet vallen, maar mogelijk tegen meerprijs aan de dienstverlening toegevoegd kunnen worden;

Contactpersonen: de personen die door U, volgens de Procuratielijst, zijn toegestaan om in contact te treden met Onze medewerkers om Mutaties aan te leveren voor verwerking;

Dienstensheet overzicht van de afgenomen dienstverlening;

Directie: de tekenbevoegden van PHOCUS;

Gegevens: algemene data en/ of persoonsgegevens in de zin van de Algemene verordening gegevensbescherming, alle Gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon;

Gegevensverwerking: een verwerking of een geheel van verwerkingen met betrekking tot persoonsgegevens, of een geheel van persoonsgegevens al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, of wijzigen, opvragen, raadplegen, gebruiken, verstrekken doormiddel van doorzending, verspreiden, of op andere wijze ter beschikking te stellen, aligneren of combineren, afschermen, wissen of vernietigen van Gegevens;

Infrastructuur: onder Infrastructuur wordt verstaan: computers, printers, modems, firewalls, bekabeling, etc.;

IT-Systeem: is het totaal van alle SaaS-toepassingen die worden gebruikt om de salarisverwerking te kunnen doen;

Masterdata: onder Masterdata wordt verstaan alle wettelijke Gegevens en bedrijfsgegevens die bij U van toepassing zijn. Deze data hoeft vaak maar eenmalig (per jaar) te worden ingevoerd;

Meerwerk: werkzaamheden of andere diensten die buiten de inhoud van de uitgangspunten van de Dienstensheet en Overeenkomst vallen, worden meerwerk genoemd;

Mutatiedata: onder Mutatiedata wordt verstaan alle Mutaties die van toepassing zijn op een werknemer, die een eenmalig karakter hebben en uitsluitend van toepassing zijn op de aangeleverde periode;

Mutaties: onder Mutaties vallen Masterdata, Periodedata en Mutatiedata;

Online documentatie: is de documentatie die beschikbaar is gesteld door de SaaS-leverancier van de betreffende HR- en salaris SaaS. Deze documentatie is online te vinden bij de betreffende SaaS-toepassing;

U, Uw: de verantwoordelijke(n) en de aan haar verbonden entiteiten waarmee PHOCUS een Overeenkomst heeft ten aanzien van opdrachten waarbij persoonsgegevens worden verwerkt;

Optioneel Meerwerk: werkzaamheden die binnen de uitgangspunten van het Dienstensheet optioneel en tegen meerprijs worden aangeboden;

Overeenkomst: iedere Overeenkomst PHOCUS Cloud. De Overeenkomst bevat de ondertekening van de overeengekomen dienstverlening inclusief bijbehorende documenten;

Overmacht: Wij verstaan het volgende onder Overmacht: een niet-toerekenbare tekortkoming van PHOCUS, van de door haar ingeschakelde Derden of overige zwaarwegende redenen aan haar zijde;

Partijen: U en Wij;

Periodedata: onder Periodedata wordt verstaan alle Mutaties die van toepassing zijn op de werknemer, die niet een eenmalig karakter hebben en hierdoor tevens van toepassing zijn op de daaropvolgende perioden tot het moment van de volgende wijziging. Periodedata worden alleen aangeleverd als de data van de werknemer zijn gewijzigd;

Periodekalender: in de Periodekalender worden per periode de data vastgelegd welke actie van welke Partij (U en/of Wij) wordt verwacht. Deze kalender is voor het gehele jaar vastgesteld;

Wij, Ons, Onze: PHOCUS B.V.;

Procuratielijst: op de Procuratielijst staan de namen en handtekeningen van medewerkers van U vermeld, die bevoegd zijn om Mutaties aan te leveren. Op deze lijst staan ook de namen van medewerkers van de U die bevoegd zijn om output overzichten te ontvangen;

SaaS: Software as a Service. Dit houdt in dat een licentiehouder het recht heeft om de software te gebruiken;

Salarisadministratie: het volledig voeren van de Salarisadministratie van begin tot het met het einde. Dit betreft het verzamelen, invoeren, verwerken, controleren en archiveren van de mutaties;

Salarissysteem: is de SaaS-toepassing waarmee de loonverwerking plaatsvindt;

Salarisverwerking: het uitsluitend invoeren, verwerken en controleren van de door U aangeleverde mutaties;

Service Center: PHOCUS Service Center;

SLA: Service Level Agreement, deze Service Level Agreement;

Sluitingsdatum: dit is de datum waarop het gevraagde uiterlijk moet worden opgeleverd;

Te ontvangen output: onder “Te ontvangen output” wordt verstaan de output die Wij aan U aanleveren;

Vestigingen: de locaties waar Wij een Vestiging hebben;

Voorcheck: onder een Voorcheck wordt een bruto-netto berekening verstaan volgens de laatst ingediende Masterdata, Periodedata en Mutatiedata volgend op de laatste werkelijke salarisberekening.

 

 

Modulaire opbouw dienstverlening

Wij verzorgen de dienstverlening volgens de overeengekomen module uit de Dienstensheet, zoals deze is vastgelegd in de Overeenkomst.

 

Er kan worden gekozen uit de volgende modules:

Module           Omschrijving

Service Level 1: Software Only:
Bij deze module krijgt U een abonnement voor HR en/of Payroll Cloud.

Volledig zelfstandige verwerking.

 

Service Level 2: Salaris Serviceverwerking:
Bij deze module krijgt U een abonnement voor Payroll Cloud om zelfstandig de Salarisverwerking te verzorgen, aangevuld met Onze periodieke plausibiliteitscontrole op de input en output.

Salarisverwerking gedeeltelijk uitbesteden.

 

Service Level 3: Managed Services

Bij deze module krijgt U een abonnement voor Payroll Cloud en draagt daarbij de complete Salarisverwerking aan Ons over. In het PHOCUS Service Center verwerken en controleren Wij alle Mutaties, leveren alle output en zorgen voor een tijdige en correcte Salarisverwerking.

Salarisverwerking volledig uitbesteden

 

Addenda SLA

Voor de definitieve invulling uw dienstverlening in de SLA, wordt gebruik gemaakt van aanvullende Addenda.

In deze Addenda worden de wederzijdse afspraken vastgelegd over de Aanlevering van input en output.

 

Aanlevering Input

Wij controleren alle aangeleverde Mutaties op juiste procuratie met behulp van Addendum 1 “Procuratielijst”.

 

Partijen moeten Mutaties aanleveren uiterlijk op de afgesproken data. Deze data zijn per aanleverproces vastgelegd in Addendum 2 “Periodekalender”.

 

Input Mutaties moeten worden aangeleverd volgens de standaard aanlevermethode. Deze methode is vastgelegd in Addendum 3 “Procesoverzicht PSC”.

 

Klant specifieke afwijkingen op het standaard aanleverproces zijn vastgelegd

in Addendum 4 “Additionele dienstverlening”.

 

Aanlevering Output

Wij stellen de standaard output ter beschikking aan de in de Procuratielijst genoemde medewerkers. Dit is Addendum 1 “Procuratielijst”.

 

De aanlevering van de output geschiedt volgens de Periodekalender. Dit is Addendum 2 “Periodekalender”.

 

De lijsten die standaard ter beschikking worden gesteld, zijn vastgelegd in Addendum 3 “Procesoverzicht SSC”.

 

De additionele dienstverlening die periodiek moet worden uitgevoerd, is vastgelegd in Addendum 4 “Additionele dienstverlening”.

 

 

Disclaimer Belastingdienst:

De Belastingdienst stelt dat de inhoudingsplichtige (= de Opdrachtgever) verantwoordelijk is voor het voeren van een juiste Salarisadministratie. De Opdrachtgever kan de uitvoering van de Salarisadministratie uitbesteden aan een derden, maar:

 

  • De uitbesteding leidt volgens de Belastingdienst niet tot ontslag van de verantwoordelijkheid van de Opdrachtgever.
  • Niet alle zaken kunnen worden uitbesteed aan een derde.

Samenvattend: in de optiek van de Belastingdienst blijft de Opdrachtgever altijd verantwoordelijk voor de uitvoering van de Salarisadministratie.

 

De Opdrachtgever kan deze verantwoordelijkheid delegeren aan:

 

  • Personeelszaken binnen haar eigen organisatie, voor wat betreft het registreren van personeelsdossiers en mutaties.
  • Het PHOCUS Service Center voor wat betreft de Salarisverwerking.
  • Finance binnen haar eigen organisatie, voor wat betreft de verwerking van loonjournaalposten, uitbetalingen aan rechthebbenden, bewaking van tussenrekeningen en het doen van tijdige betalingen die aan een fiscaal regime zijn onderworpen.

Het bovenstaande in aanmerking nemende verzorgen Wij voor U uitsluitend de Salarisverwerking en/of daarmee samenhangende activiteiten, zoals deze is beschreven in deze SLA.

 

 

  • Beheer SLA

Uitgangspunten

Onze samenwerking gebaseerd op de afgenomen dienstverlening zoals die zijn vermeld in de Overeenkomst.

 

Beheer

Het is Onze verantwoordelijkheid om de SLA te beheren.

 

Wijzigingen en/of herziening

De standaard SLA kan uitsluitend door Ons worden aangepast.

 

Wijzigingen in de standaard SLA die niet zijn gebaseerd op wetswijzigingen, kunnen reden zijn voor ontbinding van de Overeenkomst. Wijzigingen in de standaard SLA zullen Wij vooraf communiceren met inachtneming van een redelijke termijn. Na deze termijn zullen Wij de wijzigingen effectueren.

 

Wijzigingen in de standaard SLA zullen Wij vastleggen in Addendum 4.

 

Aanpassingen die hun oorsprong vinden in wetswijzigingen, kunnen geen reden zijn voor ontbinding van de Overeenkomst.

 

  • Randvoorwaarden SLA

 

Volledige en tijdige Aanlevering Gegevens

Niet compleet en/of niet tijdig aangeleverde Gegevens kunnen Wij niet, dan wel met één of meer loontijdvakken vertraging, in behandeling nemen. Dit kan tot gevolg hebben dat geen of geen tijdige complete loonberekeningen op basis van de aangeleverde Gegevens kunnen worden gemaakt.

 

Overmacht

Voor Overmacht verwijzen Wij naar de Algemene Voorwaarden van PHOCUS.

 

Planning

Voor de periodieke verwerking stellen Wij samen met U een Periodekalender op. Na overeenstemming wordt deze opgenomen in de procedures (zie Addenda 2 en 3).

 

Een belangrijke datum in de Periodekalender is de Sluitingsdatum. Op deze datum moeten Partijen alle Mutaties hebben ingebracht in de systemen van PHOCUS Cloud. Alle Partijen hebben daardoor nog voldoende tijd voor een correcte Salarisverwerking en een tijdige salarisbetaling.

 

Mutaties die niet op tijd zijn aangeleverd, zullen Wij in de eerstvolgende loonperiode verwerken.

 

Wij verwerken alleen Mutaties wanneer deze zijn aangeleverd door Contactpersonen die worden vermeld op de Procuratielijst.

 

Overlegstructuur

Om de dienstverlening goed te kunnen uitvoeren, wordt een passende overlegstructuur met U overeengekomen. Afhankelijk van de opdracht zal dit overleg mondeling of schriftelijk zijn. Als het overleg niet leidt tot de gewenste resultaten, kunt U contact opnemen met Uw Account Manager.

 

Aanlevermethodiek

U draagt zorg dat Contactpersonen zijn opgeleid om Mutaties op de in de Addendum 3 “Procesoverzicht PSC” overeengekomen wijze, aan te leveren. Meerwerk dat ontstaat door verkeerde aanlevering, zullen bij U in rekening worden gebracht.

 

Toegang bij U op locatie

Als het voor de uitvoering van de dienstverlening noodzakelijk is om bij U op locatie werkzaamheden te verrichten, draagt U zorg voor toegang voor Medewerker(s) tot de gebouwen en systemen, zodat de dienstverlening ter plaatse kan worden uitgevoerd.

 

Beschikbaarheid IT-Systeem

Voor de verwerking van de salarissen maken Wij gebruik van diverse SaaS-systemen van softwareleveranciers. Met deze leveranciers hebben Wij Service Level Agreements en verwerkersovereenkomsten afgesloten die uitgaan van beschikbaarheid op werkdagen.

 

  • Locatie en Werktijden PHOCUS Service Center

 

Plaats verrichten van de Werkzaamheden

Wij verrichten – rekening houdend met de wettelijke voorschriften – alle werkzaamheden vanuit Onze eigen Vestigingen, rekening houdend met wettelijke voorschriften. Als is gekozen voor het verrichten van werkzaamheden op locatie, zal U zorg moeten dragen voor de beschikkingstelling van een werkplek, rekening houdend met de dan geldende wettelijke voorschriften.

 

Werktijden en Beschikbaarheid

Het PHOCUS Service Center is op werkdagen geopend van 09.00 uur tot 17.00 uur. Op nationale feestdagen is het PHOCUS Service Center gesloten. Voor werkzaamheden ter plaatse bij U, zal een afzonderlijk werkrooster worden overeengekomen.

 

IT-Systeem

Ten behoeve van het verwerken van HR- en Salarismutaties maakt het PHOCUS Service Center gebruik van de onderstaande systemen:

-1.       PHOCUS Cloud

-2.       Google Workspace

-3.       Apple Hardware, waaronder MacBooks en iPhones

-4.       JAMF pro voor hardware en software security beheer

-5.       Okta voor toegangsbeheer systemen

-6.       Zendesk Ticket systeem

-7.       Zendesk CRM

 

Ter toelichting hierop het volgende:

Ad 1. De PHOCUS Cloud wordt gebruikt om Uw HR- en Salarismutaties te kunnen verwerken. De door de U gekozen Salaris SaaS-toepassing staat vermeld in Uw contract.

 

Ad 2. Wij hebben een eigen beveiligde Google Workspace omgeving die uitsluitend door Onze medewerkers van PHOCUS toegankelijk is. Met deze tool worden alle backoffice activiteiten uitgevoerd.

 

Ad 3. Wij hebben gekozen voor het gebruik van hardware van het merk Apple.

 

Ad 4. Alle hardware staat geregistreerd in de tool JAMF Pro, waarmee alle hard- en software op afstand kan worden beveiligd en beheerd.

 

Ad 5. Er wordt gebruik gemaakt van Single Sign On (SSO), met zoveel als mogelijk de bijbehorende SAML-techniek en tweetrapsauthenticatie.

 

Ad 6. Deze toepassing wordt gebruikt voor het registreren van meldingen en verzonden mails (in de vorm van tickets).

 

Ad 7. Deze toepassing wordt gebruikt voor het relatiebeheer.

 

Alle SaaS-toepassingen die hierboven zijn genoemd, zijn ISO 27001 en/of ISAE 3402 gecertificeerd en zijn voorzien van een verwerkersovereenkomst. Data kan buiten de EU worden opgeslagen mits dit in landen gebeurt die een passend beschermingsniveau bieden volgens de richtlijnen van de Autoriteit Persoonsgegevens. Deze leveranciers voldoen daarmee aan de eisen zoals deze door de Algemene verordening gegevensbescherming wordt gesteld.

 

  • Advies & Meerwerk

 

Advies

In de uitgangspunten van de Overeenkomst is opgenomen dat Wij inhoudelijk kunnen adviseren over HRM- en/of salariszaken. Wanneer U dit wilt, dient U hiervoor opdracht te geven. Afhankelijk van de aard van de advisering, zullen Wij deze opdracht bevestigen, zodat deze contractueel vastligt. Na uitvoering van de opdracht, vindt facturatie plaats overeenkomstig de voorwaarden, zoals deze zijn opgenomen in de Algemene Voorwaarden en Overeenkomst.

 

Als verdere informatie over Onze dienstverlening wenselijk is, kan Onze Contactpersoon van het PHOCUS Service Center of Onze accountmanager worden geraadpleegd.

 

Meerwerk

Structureel Optioneel Meerwerk ten opzichte van Onze standaard dienstverlening zal worden vermeld in Addendum 4 “Meerwerk”. Voor Additioneel Meerwerk zal een separate Overeenkomst worden opgesteld wanneer deze op een later tijdstip wordt overeengekomen. Structureel Additioneel Meerwerk zal eveneens vermeld worden in Addendum 4 “Meerwerk”.

 

Een opdracht tot Meerwerk kunnen Wij alleen accepteren, als deze opdracht is gedaan door de daartoe bevoegde Contactpersoon van Uw organisatie of een medewerker die op de Procuratielijst staat.

 

Meerwerk zullen Wij na voltooiing van de werkzaamheden apart factureren op basis van nacalculatie. Dit zullen Wij ook specificeren op de factuur.

 

Verplichtingen als gevolg van Meerwerk, die van invloed zijn op de Overeenkomst, zullen geen langere looptijd kunnen hebben dan de einddatum van de Overeenkomst.

 

 

  1. B) Service Level 1: Software Only

Doel van de service

Het doel van deze service is dat U zelf uw eigen Salarisverwerking blijft doen. Wij richten voor U de Salarisadministratie in de SaaS in en daarna doet U zelf uw eigen Salarisverwerking. Wij dragen zorg voor het standaard beheer en als U hulp nodig heeft bij Uw verwerking, kunt U altijd met Ons PHOCUS Service Center contact opnemen voor ondersteuning.

 

Eenmalige Inrichting SaaS

Wanneer U deze dienst afneemt, zullen Wij voor U de SaaS-inrichten op basis van de CAO en bedrijfsspecifieke regelingen zoals deze standaard zijn opgenomen in de SaaS. Deze zullen gedurende de looptijd van de Overeenkomst worden onderhouden door de SaaS- leverancier.

 

Functioneel Beheer

Het functioneel beheer zoals benoemd in de Dienstensheet is belegd bij Onze SaaS- leverancier. Het functioneel beheer omvat:

  • Het doorvoeren van wetswijzigingen in de standaard rekenregels van de applicatie.
  • Het doorvoeren van de CAO-wijzigingen in de standaard rekenregels van de applicatie.
  • Het beheren van de standaard rapportages.
  • Het beheren van de standaard signaleringen.

 

Applicatie Beheer

Het applicatie beheer van de SaaS-toepassing is contractueel belegd bij de leverancier. Hierbij moet worden gedacht aan:

  • Het doorvoeren van verbeteringen van de software.
  • Het maken van Back-ups.

 

Technisch Beheer

Onder het technisch beheer wordt het volgende verstaan:

  • Het beheren van de technische Infrastructuur van de salarisapplicatie
  • Het functioneel beschikbaar houden van de salarisapplicatie
  • Het beheren van de database van de salarisapplicatie
  • Het beschikbaar stellen van het standaard bestandsformaat voor journaalposten

 

Maar let op: Iedere Partij is verantwoordelijk voor zijn eigen Infrastructuur, die het mogelijk maakt om de systemen op de internet omgeving te benaderen.

 

 

  1. C) Service Level 2: Salaris Serviceverwerking

Doel van de Service

Het beoordelen is gericht op het bewaken van de continuïteit en kwaliteit van de door U in eigen beheer gedane Salarisverwerking.

 

Wij verzamelen bij de uitvoering van deze dienst geen data en zullen geen enkele data zelfstandig verwerken. De verzameling en verwerking van data geschiedt geheel door U zelf.

 

Diensten

Naast de in Service Level 1 genoemde dienstverlening, verzorgen Wij de salaris serviceverwerking volgens de door Partijen in de Overeenkomst vastgelegde Dienstensheet. Onder de standaard dienstverlening van de salaris serviceverwerking valt:

 

  • Diensten zoals genoemd bij Service Level 1
  • Logische plausibiliteitscontroles op Mutaties
  • Fiscale toetsing op de Mutaties (geen cao- toetsing)
  • Jaarlijkse rondrekening loonaangiften
  • Controle LIV/LKV
  • Instroom WHK

 

Uiteraard staat het U vrij om via Ons PHOCUS Service Center aanvullende ondersteuning te vragen. Deze ondersteuning kan in rekening worden gebracht.

 

 

  1. D) Service Level 3: Managed Services

Doel van de service

Met dit Service Level besteedt U de complete Salarisverwerking aan Ons uit. Het enige wat U hoeft te doen is het aanleveren van Mutaties, de Voorcheck controleren en uitbetalen van salarissen. Wij nemen de complete Salarisverwerking uit uw handen.

 

De volgende dienstverlening zullen Wij uitvoeren en sluiten aan op de diensten van

Service Level 1 & 2.

 

Procesbeschrijving

Onderstaand is het salarisproces beschreven, zoals Wij dat voor U gaan uitvoeren.

 

Mutatieproces

Voor alle soorten Mutaties hebben Wij het volgende met U afgesproken:

 

  • U levert zelf op de overeengekomen wijze (Addendum 3) alle mutaties aan.
  • De aanlevering geschiedt binnen de overeengekomen termijnen (Addendum 2)
  • Wij nemen alleen mutaties in behandeling die aangeleverd worden door bevoegde medewerkers (Addendum 1)
  • Opdrachten voor wijziging van Masterdata dienen te zijn voorzien van een kopie van het origineel van de betreffende instantie.
  • Een kopie en onderbouwing van de aangeleverde Mutaties dient U zelf te archiveren.
  • U bent zelf verantwoordelijk voor de aanlevering van Mutaties.
  • De werkzaamheden zullen Wij in Ons PHOCUS Service Center uitvoeren.
  • Aangeleverde Mutaties zullen Wij controleren op basis van autorisatie en overeengekomen afspraken.
  • Bevindingen zullen Wij door middel van e-mail met U communiceren.
  • Wij zullen fiscaal onjuiste Mutaties in beginsel niet doorvoeren. Als U dit toch wenst, dient u onderliggende documentatie of bevestiging aan te leveren.

 

Voorcheck

Wanneer alle Mutaties zijn ingevoerd en gecontroleerd, zullen Wij een Voorcheck doen.

De kenmerken van een Voorcheck zijn:

  • Er wordt rekening gehouden met cumulatieve Gegevens.
  • Het vastgestelde netto te betalen bedrag komt overeen met het werkelijke netto te betalen bedrag.
  • De werkelijke cumulatieve Gegevens worden niet bijgewerkt met de resultaten van de Voorcheck.
  • De Voorcheck wordt overeenkomstig met de afgesproken datum vermeld in Addendum 2 “Periodekalender” aan U ter beschikking gesteld voor het uitvoeren van de controle.

 

Goedkeuren Voorcheck

Als U akkoord kunt gaan met de Voorcheck, keurt U deze goed en kan de definitieve verwerking van start gaan. Als U niet akkoord kunt gaan, of U heeft nog wijzigingen, neemt U in de daarvoor gestelde periode contact met Ons op om wijzigingen door te voeren.

 

Definitieve Salarisverwerking

Na goedkeuring van de Voorcheck wordt de lopende salarisperiode verwerkt en afgesloten en wordt de salaris output overeenkomstig de genoemde datum in Addendum 2 “Periodekalender”, vrijgegeven.

 

Correcties kunnen na het afsluiten van de periode niet meer worden doorgevoerd. In heel uitzonderlijke gevallen, zou dit eventueel nog kunnen. Dit moet in overleg geschieden. Hiervoor wordt echter wel een meerprijs in rekening gebracht.

 

Loonaangiften

Voordat de loonaangifte kan worden gegenereerd, moet U – indien van toepassing – separaat nog doorgeven welke losse componenten nog moeten worden meegenomen in de aangifte. U kunt hierbij denken aan regelingen zoals WKR en afdrachtsverminderingen.

Pas dan kan de aangifte automatisch worden gegenereerd en worden verzonden naar de Belastingdienst.

 

Beschikbaarstelling Output

Output wordt digitaal aan U ter beschikking gesteld. Na verwerking staat deze voor U klaar in het portaal van de SaaS.

 

Samenstellen Journaalposten

U ontvangt op basis van geïmplementeerde rekeningschema de loonjournaalpost. U dient dit schema zelf te onderhouden door de Mutaties in het rekeningschema aan Ons door te geven.

 

Communicatie Derden

Afhankelijk van Uw keuze kunnen Wij de relevante aangiften versturen naar de volgende partijen:

 

  • Belastingdienst (verplicht)
  • UWV (verplicht)
  • Arbodienst (optioneel)
  • Pensioen (optioneel)

 

De keuze die U heeft gemaakt, is vastgelegd in de Overeenkomst PHOCUS Cloud.

 

Pro forma Berekeningen

Onder een pro forma berekening wordt een ad hoc bruto-netto- of een netto-bruto- of een combinatie van beide berekeningen verstaan. Bij het maken van een pro forma berekening wordt GEEN rekening gehouden met cumulatieve Gegevens. Daardoor kan de uitkomst van de pro forma berekening afwijken van de definitieve berekening. Deze kunnen op aanvraag worden verstrekt, echter hier kunnen kosten voor worden berekend.

 

Jaarwerk

Na de laatste loonperiode/ Salarisverwerking van het loonjaar, stellen Wij de output met betrekking tot het jaarwerk aan U beschikbaar. Dit gebeurt op basis van de onderstaande methode:

 

  • Geautomatiseerde Jaarwerkdocumenten

Vanuit de salarissoftware worden een aantal jaarwerkdocumenten geautomatiseerd gegenereerd en digitaal aan U beschikbaar gesteld.

  • Jaaropgaven Medewerkers

De jaaropgaven worden digitaal beschikbaar gesteld aan Uw medewerkers, mits zij beschikking hebben over een medewerker login.

 

Archivering en Dossiervorming

U bent verantwoordelijk voor het archiveren van een Salarisadministratie zoals is gedefinieerd door de Belastingdienst. De algemene bewaartermijn van loonbescheiden is hierbij standaard gesteld op 7 jaar. Dit betekent niet dat documenten die 7 jaar oud zijn, vernietigd kunnen worden. De termijn van 7 jaar gaat pas lopen op het moment dat het document zijn actuele geldigheid heeft verloren. Dit betekent dat de bewaartermijn van documenten zeer uiteenlopend karakter is. U dient hierop alert te zijn. Wij archiveren uitsluitend de verkregen digitale input en digitale output behorende bij de Salarisverwerking. Data verzameld in de salaris SaaS, blijft gedurende de contracttijd voor U beschikbaar.

 

 

Elzenlaan 1-B
2481 LZ Woubrugge
+31 (0)172 519 900
advies@phocus.nl