← Terug naar RIView

Verwerkersovereenkomst

Versie 1.5  |  Laatst bijgewerkt: 13 mei 2026  |  Van toepassing op alle RIView-diensten

Deze verwerkersovereenkomst (hierna: "VWO") is van toepassing zodra u een account aanmaakt en/of gebruik maakt van de diensten van RIView. Door akkoord te gaan met onze algemene voorwaarden gaat u tevens akkoord met deze VWO, conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

Artikel 1 — Partijen en definities

  1. Verwerker: RIView Advies VOF, gevestigd te Steenplaetsstraat 6, 2288 AA Rijswijk, ingeschreven bij de Kamer van Koophandel onder nummer 98281356, BTW-nummer NL868428152B01. Hierna te noemen: "RIView" of "Verwerker".
  2. Verwerkingsverantwoordelijke: De natuurlijke persoon of rechtspersoon (werkgever) die een account aanmaakt bij RIView en gebruik maakt van de diensten. Hierna te noemen: "Klant" of "Verwerkingsverantwoordelijke".
  3. Betrokkene: De werknemer wiens persoonsgegevens worden verwerkt in het kader van de WvP-scan.
  4. Persoonsgegevens: Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, waaronder bijzondere persoonsgegevens (gezondheidsgegevens).
  5. Verwerking: Elke bewerking van persoonsgegevens, waaronder het verzamelen, opslaan, analyseren en verwijderen.
  6. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming).

Artikel 2 — Doel en grondslag van de verwerking

  1. RIView verwerkt persoonsgegevens uitsluitend ten behoeve van de door de Klant afgenomen dienst: de analyse van verzuimdossiers op WvP-compliance (loonsanctierisico).
  2. De verwerking vindt uitsluitend plaats op instructie van de Verwerkingsverantwoordelijke (de Klant).
  3. RIView verwerkt de persoonsgegevens niet voor eigen doeleinden, tenzij hier een wettelijke verplichting toe bestaat.
  4. De Verwerkingsverantwoordelijke draagt er zorg voor dat zij over een rechtmatige grondslag beschikt voor het verstrekken van de persoonsgegevens aan RIView (bijv. gerechtvaardigd belang werkgever o.g.v. WvP-verplichting, of toestemming betrokkene).

Artikel 3 — Categorieën van persoonsgegevens en betrokkenen

In het kader van de WvP-scan verwerkt RIView de volgende categorieën persoonsgegevens:

Categorie Toelichting Bijzondere persoonsgegevens?
Identiteitsgegevens Naam werknemer, functie, afdeling Nee
Arbeidsgegevens Eerste ziektedag, contracttype, contracturen, sector Nee
Gezondheidsgegevens Inhoud van medische documenten (probleemanalyse, actueel oordeel bedrijfsarts) voor zover aangeleverd door de Klant Ja — bijzondere persoonsgegevens (art. 9 AVG)
Re-integratiegegevens Plan van Aanpak, evaluaties, voortgangsverslagen Indirect (afgeleid van gezondheid)
Bedrijfsgegevens Naam, contactgegevens en e-mailadres van de Klant (werkgever) Nee
Let op: RIView verwerkt uitsluitend de documenten die de Klant aanlevert. De Klant is zelf verantwoordelijk voor het niet aanleveren van meer persoonsgegevens dan strikt noodzakelijk is voor de scan (dataminimalisatie, art. 5 lid 1 sub c AVG).

Artikel 4 — Beveiliging van persoonsgegevens

  1. RIView treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking of onbevoegde toegang, conform artikel 32 AVG. Deze maatregelen omvatten minimaal:
    • Versleuteling van persoonsgegevens in transit (TLS 1.2+) en in rust (AES-256, AWS KMS)
    • Toegangsbeveiliging via AWS IAM met minimale privileges (least privilege)
    • Authenticatie via AWS Cognito met multi-factor authenticatie (optioneel)
    • Logging en monitoring via AWS CloudWatch
    • Automatische back-ups via DynamoDB Point-in-Time Recovery
    • Beperkte toegang: alleen geautoriseerde RIView-specialisten hebben toegang tot dossierinhoud
  2. RIView evalueert de beveiligingsmaatregelen periodiek en past deze zo nodig aan.
  3. Medewerkers en specialisten van RIView zijn gebonden aan een geheimhoudingsplicht.

Artikel 5 — Inschakeling van sub-verwerkers

RIView maakt gebruik van de volgende sub-verwerkers. Door akkoord te gaan met deze VWO geeft de Klant algemene toestemming voor de inschakeling van deze sub-verwerkers:

Sub-verwerker Land/Regio Doel Grondslag doorgifte
Amazon Web Services (AWS) EU (Frankfurt, Duitsland) Cloud-infrastructuur, opslag, geautomatiseerde dossier-analyse (AWS Bedrock) Adequaatheidsbesluit (GDPR art. 45) / SCCs
Mollie B.V. Nederland (Amsterdam) Betalingsverwerking (geen dossierinhoud) Binnen EER — geen doorgifte buiten EU
Amazon SES (AWS) EU (Frankfurt, Duitsland) Transactionele e-mail (rapporten, notificaties) Adequaatheidsbesluit / SCCs

RIView sluit met alle sub-verwerkers een verwerkersovereenkomst conform artikel 28 AVG. RIView informeert de Klant bij wijzigingen in sub-verwerkers. De Klant heeft het recht bezwaar te maken.

Artikel 6 — Meldplicht datalekken

  1. RIView meldt een inbreuk in verband met persoonsgegevens (datalek) die onder de verantwoordelijkheid van de Klant valt, zo spoedig mogelijk en uiterlijk binnen 48 uur na ontdekking aan de Verwerkingsverantwoordelijke.
  2. De melding bevat minimaal: aard van de inbreuk, betrokken categorieën en geschat aantal betrokkenen, contactgegevens DPO (indien aanwezig), beschrijving van waarschijnlijke gevolgen, maatregelen ter herstel.
  3. De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor eventuele melding aan de Autoriteit Persoonsgegevens (binnen 72 uur) en aan betrokkenen.

Artikel 7 — Rechten van betrokkenen

  1. De Verwerkingsverantwoordelijke (Klant) is primair verantwoordelijk voor het afhandelen van verzoeken van betrokkenen (werknemers) om inzage, rectificatie, verwijdering of overdracht van persoonsgegevens.
  2. RIView verleent de Klant binnen 10 werkdagen medewerking bij het uitvoeren van rechten van betrokkenen, voor zover technisch mogelijk en redelijkerwijs te verlangen.
  3. Verzoeken van betrokkenen die rechtstreeks bij RIView worden ingediend, worden doorgestuurd naar de Verwerkingsverantwoordelijke, tenzij RIView zelfstandig verwerkingsverantwoordelijke is voor die verwerking.

Artikel 8 — Bewaartermijnen en verwijdering

  1. RIView bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel van de verwerking.
  2. Dossierinhoud (geüploade documenten en analyseresultaten) wordt bewaard gedurende maximaal 2 jaar na de datum van de scan, tenzij de Klant eerder om verwijdering verzoekt.
  3. Na afloop van de bewaartermijn, of na beëindiging van de overeenkomst, vernietigt RIView de persoonsgegevens op veilige wijze, tenzij wettelijke bewaarplicht van toepassing is.
  4. De Klant kan op elk moment verzoeken om verwijdering van persoonsgegevens via privacy@riviewadvies.nl.

Artikel 9 — Geheimhouding

  1. RIView behandelt alle persoonsgegevens die in het kader van de dienstverlening worden verwerkt als strikt vertrouwelijk.
  2. RIView-medewerkers en -specialisten zijn contractueel gebonden aan geheimhouding en verwerken persoonsgegevens uitsluitend in het kader van hun werkzaamheden voor RIView.

Artikel 10 — Audit en verantwoording

  1. RIView stelt de Klant in staat te controleren of RIView voldoet aan de verplichtingen uit deze VWO, onder meer door het verstrekken van relevante informatie.
  2. Op schriftelijk verzoek verstrekt RIView een overzicht van de getroffen beveiligingsmaatregelen.
  3. Audits worden uitgevoerd op kosten van de Klant, met een redelijke aankondigingstermijn van minimaal 30 dagen en zonder verstoring van de bedrijfsvoering van RIView.

Artikel 11 — Aansprakelijkheid

  1. RIView is aansprakelijk voor schade die het gevolg is van een toerekenbare tekortkoming in de nakoming van deze VWO, overeenkomstig de bepalingen in de Algemene Voorwaarden van RIView.
  2. De aansprakelijkheid van RIView voor schade voortvloeiend uit deze VWO is beperkt tot het bedrag dat in het betreffende geval door de beroepsaansprakelijkheidsverzekering van RIView wordt uitbetaald.

Artikel 12 — Duur en beëindiging

  1. Deze VWO treedt in werking op het moment dat de Klant akkoord gaat bij registratie en is van kracht gedurende de gehele looptijd van de overeenkomst tussen Klant en RIView.
  2. Bij beëindiging van de overeenkomst vernietigt RIView alle persoonsgegevens van de Klant conform artikel 8, tenzij wettelijke bewaarplichten van toepassing zijn.

Artikel 13 — Toepasselijk recht en bevoegde rechter

  1. Op deze VWO is Nederlands recht van toepassing.
  2. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar RIView is gevestigd.
  3. Bij tegenstrijdigheid tussen deze VWO en de Algemene Voorwaarden prevaleert deze VWO voor zover het de verwerking van persoonsgegevens betreft.

Contactgegevens en vragen

Voor vragen over de verwerking van persoonsgegevens of deze verwerkersovereenkomst kunt u contact opnemen via: