Klox
concept · juni 2026
/verwerkersovereenkomst

Verwerkersovereenkomst (DPA)

Standaard bij elk abonnement. Ze legt vast hoe Klox als verwerker met de gegevens van je werknemers omgaat, conform artikel 28 GDPR.

Concept: Dit is een werkversie van de verwerkersovereenkomst. De definitieve, ondertekende versie maakt deel uit van het abonnement en moet juridisch worden nagekeken. Velden tussen [vierkante haken] worden nog ingevuld.

1. Partijen en rollen

Deze overeenkomst geldt tussen de klant (de werkgever, als verwerkingsverantwoordelijke) en Klox, [bedrijfsnaam BV] met ondernemingsnummer [KBO-nummer] (als verwerker). De klant bepaalt het doel en de middelen van de verwerking; Klox verwerkt de persoonsgegevens uitsluitend in opdracht van de klant.

2. Voorwerp, duur, aard en doel

Klox verwerkt persoonsgegevens om de arbeidstijdregistratie te kunnen leveren: het registreren van inkloks en uitkloks, het opbouwen van het dagregister, het traceren van correcties en het exporteren van het inspectiedossier. De verwerking duurt zolang de overeenkomst loopt, plus de wettelijke bewaartermijn.

3. Categorieen betrokkenen en gegevens

Betrokkenen: de werknemers en eventuele andere medewerkers van de klant die de dienst gebruiken. Gegevens: identificatiegegevens (naam, personeelsnummer, werklocatie), inklok- en uitkloktijden, correcties met reden en auteur, en gegevens van de NFC-badge waar van toepassing. Er worden geen bijzondere categorieen van persoonsgegevens verwerkt.

4. Instructies en vertrouwelijkheid

Klox verwerkt de gegevens enkel op gedocumenteerde instructie van de klant, tenzij een wettelijke verplichting anders bepaalt. Iedereen bij Klox die toegang heeft tot de gegevens is gebonden aan vertrouwelijkheid.

5. Beveiligingsmaatregelen

Klox neemt passende technische en organisatorische maatregelen (artikel 32 GDPR), waaronder:

  • versleuteling van gegevens tijdens transport;
  • strikte toegangscontrole en scheiding van rollen;
  • tenant-isolatie op databaseniveau (Row-Level Security) als vangnet;
  • append-only opslag van ruwe registraties, zodat ze niet stil overschreven kunnen worden;
  • een audittrail die vastlegt wie wat wanneer deed;
  • hosting binnen de Europese Unie.

6. Subverwerkers

Klox schakelt enkel subverwerkers in die nodig zijn om de dienst te leveren, en legt hen dezelfde verplichtingen op. De klant geeft een algemene toestemming en wordt geinformeerd bij wijzigingen, zodat hij bezwaar kan maken. Actuele subverwerkers:

  • [hostingprovider] (EU) voor de hosting van de applicatie en de database;
  • [betaalprovider] (EU) voor de verwerking van betalingen, indien van toepassing.

7. Bijstand en datalekken

Klox helpt de klant redelijkerwijs bij het beantwoorden van verzoeken van betrokkenen en bij zijn eigen verplichtingen rond beveiliging en effectbeoordelingen. Bij een inbreuk in verband met persoonsgegevens informeert Klox de klant zonder onredelijke vertraging, met de informatie die de klant nodig heeft om aan zijn meldplicht te voldoen.

8. Datalocatie en internationale doorgifte

Alle gegevens worden verwerkt en opgeslagen binnen de Europese Economische Ruimte, bij voorkeur in Belgie. Er is geen doorgifte naar landen buiten de EER, en in het bijzonder niet naar de Verenigde Staten.

9. Bewaring, teruggave en audits

Registraties worden minstens 5 jaar bewaard en exporteerbaar gehouden voor werknemer en inspectie. Bij het einde van de overeenkomst geeft Klox de gegevens terug of verwijdert ze, naar keuze van de klant en behoudens wettelijke bewaarplicht. De klant kan, binnen redelijke grenzen, de naleving van deze overeenkomst laten controleren. Laatst bijgewerkt: juni 2026. Vragen? privacy@klox.be.