Verwerkersovereenkomst
Laatst bijgewerkt: 10 juni 2026
Deze Verwerkersovereenkomst ("Verwerkersovereenkomst") maakt deel uit van de overeenkomst tussen MoodMonkey B.V. ("MoodMonkey", "verwerker") en de klant ("Klant", "verwerkingsverantwoordelijke") voor het gebruik van de MoodMonkey-dienst, zoals vereist door artikel 28 van de Algemene Verordening Gegevensbescherming (AVG). Door de Dienst te gebruiken onder onze Algemene Voorwaarden gaat de Klant ook akkoord met deze Verwerkersovereenkomst.
1. Rollen en reikwijdte
De Klant is de verwerkingsverantwoordelijke voor de persoonsgegevens die in de Dienst worden verwerkt; MoodMonkey is de verwerker. MoodMonkey verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, ook met betrekking tot doorgiften, tenzij EU-recht of het recht van een lidstaat anders vereist. Het gebruik van de Dienst conform de documentatie geldt als de volledige instructie van de Klant.
2. Onderwerp, duur, aard en doel
- Onderwerp: het leveren van de MoodMonkey-dienst voor medewerkerswelzijn.
- Duur: de looptijd van het abonnement van de Klant, plus de export- en verwijderperiode beschreven in artikel 9.
- Aard en doel: het verzamelen van dagelijkse welzijns-check-ins van de medewerkers van de Klant en het presenteren van geaggregeerde dashboards en inzichten aan de Klant.
3. Categorieën betrokkenen en persoonsgegevens
| Categorie | Beschrijving |
|---|---|
| Betrokkenen | Medewerkers en ander personeel van de Klant; gebruikers van de Klant met dashboardtoegang |
| Accountgegevens | Naam, zakelijk e-mailadres, rol, inloggegevens van dashboardgebruikers |
| Check-in-gegevens | Dagelijkse stemmingsscores, optionele vrije-tekstopmerkingen, tijdstempels |
| Gebruiksgegevens | Loggegevens die nodig zijn om de Dienst te exploiteren en te beveiligen |
De Dienst is ontworpen voor dataminimalisatie: check-ins worden gerapporteerd op team- en organisatieniveau, en vrije-tekstopmerkingen mogen niet worden gebruikt om bijzondere categorieën van persoonsgegevens te delen. De Klant instrueert zijn medewerkers dienovereenkomstig.
4. Vertrouwelijkheid
MoodMonkey waarborgt dat personen die gemachtigd zijn om de persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen, en dat de toegang is beperkt tot wat noodzakelijk is voor hun rol.
5. Beveiliging
MoodMonkey treft passende technische en organisatorische maatregelen zoals vereist door artikel 32 AVG, waaronder: versleuteling van gegevens tijdens transport, versleuteling van gegevens in rust, rolgebaseerde toegangscontrole op need-to-know-basis, logische scheiding van klantdata, hosting binnen de Europese Unie, regelmatige back-ups, en beveiligingstests van wijzigingen vóór release. MoodMonkey mag deze maatregelen actualiseren, mits het algehele beschermingsniveau niet wordt verlaagd.
6. Subverwerkers
De Klant verleent een algemene toestemming voor het inzetten van subverwerkers. De huidige subverwerkers voor de Dienst zijn:
| Subverwerker | Doel | Locatie |
|---|---|---|
| Microsoft Azure | Hosting van de Dienst | Europese Unie (Noord-Europa) |
| Infrastructuur- en e-mailproviders gevestigd in de EU | Websitehosting, transactionele e-mail | Europese Unie |
MoodMonkey informeert de Klant minimaal 30 dagen voordat een subverwerker wordt toegevoegd of vervangen, zodat de Klant op redelijke gronden bezwaar kan maken. MoodMonkey legt aan elke subverwerker gegevensbeschermingsverplichtingen op die gelijkwaardig zijn aan die in deze Verwerkersovereenkomst en blijft verantwoordelijk voor de nakoming daarvan.
7. Internationale doorgiften
Persoonsgegevens worden verwerkt en opgeslagen binnen de Europese Unie. Mocht een doorgifte buiten de Europese Economische Ruimte ooit noodzakelijk zijn, dan zorgt MoodMonkey voor passende waarborgen conform hoofdstuk V AVG, zoals de modelcontractbepalingen van de EU, en informeert MoodMonkey de Klant.
8. Bijstand en melding van datalekken
Rekening houdend met de aard van de verwerking staat MoodMonkey de Klant met passende technische en organisatorische maatregelen bij in het vervullen van verzoeken van betrokkenen (artikelen 12 tot en met 23 AVG) en in het nakomen van de verplichtingen uit de artikelen 32 tot en met 36 AVG, waaronder gegevensbeschermingseffectbeoordelingen.
MoodMonkey meldt een datalek dat de gegevens van de Klant raakt zonder onredelijke vertraging, en in elk geval binnen 48 uur nadat MoodMonkey er kennis van heeft genomen, aan de Klant, en verstrekt de informatie die de Klant redelijkerwijs nodig heeft om aan zijn eigen meldplichten te voldoen.
9. Teruggave en verwijdering
Na het einde van het abonnement kan de Klant gedurende 30 dagen Klantdata exporteren. Na deze periode verwijdert MoodMonkey alle persoonsgegevens die namens de Klant zijn verwerkt, inclusief kopieën in back-ups binnen de reguliere back-uprotatie, tenzij EU-recht of het recht van een lidstaat langere opslag vereist.
10. Audits
MoodMonkey stelt alle informatie ter beschikking die nodig is om naleving van deze Verwerkersovereenkomst aan te tonen en maakt audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde auditor mogelijk en draagt eraan bij. Audits vinden maximaal eenmaal per jaar plaats, tijdens kantooruren, met een aankondiging van minimaal 30 dagen, en zonder onredelijke verstoring van de bedrijfsvoering van MoodMonkey. Elke partij draagt haar eigen auditkosten.
11. Aansprakelijkheid en slotbepalingen
De aansprakelijkheidsregeling uit de Algemene Voorwaarden is van toepassing op deze Verwerkersovereenkomst. Bij strijdigheid tussen deze Verwerkersovereenkomst en de Algemene Voorwaarden over de verwerking van persoonsgegevens gaat deze Verwerkersovereenkomst voor. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12. Contact
Privacyvragen of meldingen van datalekken: [email protected]. MoodMonkey B.V., Keizersgracht 520-H, 1017 EK Amsterdam, Nederland, KvK 97383392.