Deze verwerkersovereenkomst (DPA) regelt hoe MyCompanyDesk persoonsgegevens verwerkt namens jou als zakelijke klant, conform AVG artikel 28 en de aanbevelingen van de Autoriteit Persoonsgegevens en de NLdigital Data Pro Code. Je hebt deze overeenkomst nodig zodra je via MCD persoonsgegevens van je eigen klanten verwerkt.
Deze verwerkersovereenkomst wordt gesloten tussen MyCompanyDesk (verwerker) en jou als zakelijke klant (verwerkingsverantwoordelijke). Door je MCD-account in zakelijk gebruik te nemen aanvaard je deze DPA. De DPA maakt onlosmakelijk deel uit van onze algemene voorwaarden.
MyCompanyDesk, eenmanszaak Sil van Rijnberk, KvK 42058784, Naxosdreef 161, 3562 NM Utrecht, Nederland. Contact: support@mycompanydesk.com.
De zakelijke klant zoals geregistreerd in het MCD-account (naam, KvK-nummer, vestigingsadres). Jij bepaalt het doel en de middelen van de verwerking van persoonsgegevens die je via MCD beheert.
MCD verwerkt persoonsgegevens uitsluitend voor het leveren van de in de algemene voorwaarden beschreven dienst: facturatie, klanten- en projectadministratie, urenregistratie, expense-tracking, contracten, e-mailbezorging en bijbehorende rapportage. De verwerking duurt voort zolang jij een actief MCD-account hebt en eindigt zodra je het account beëindigt, met inachtneming van artikel 10 (teruggave en verwijdering).
Jouw eigen klanten en relaties, jouw werknemers of teamleden, leveranciers waarvan je facturen of bonnetjes verwerkt, en abonnees van jouw nieuwsbrieven binnen MCD.
Contactgegevens (naam, e-mailadres, telefoonnummer, adres), bedrijfsidentificatie (KvK, BTW-nummer), financiële identificatie (IBAN, betalingsstatus), inhoud van facturen, offertes, contracten en e-mailcorrespondentie, gebruikslogs en IP-adressen voor beveiliging.
MCD is niet ingericht voor de verwerking van bijzondere persoonsgegevens (artikel 9 AVG) zoals gezondheidsgegevens. Sla deze niet bewust op in het platform; doe je dit toch, dan ben je daarvoor zelf verantwoordelijk.
MCD verwerkt persoonsgegevens uitsluitend op jouw schriftelijke instructie zoals neergelegd in deze DPA en de algemene voorwaarden. MCD waarschuwt je als een instructie naar zijn redelijk oordeel in strijd is met de AVG of andere toepasselijke wet- en regelgeving.
Iedereen die namens MCD toegang heeft tot jouw persoonsgegevens is gebonden aan geheimhouding, zowel tijdens als na de samenwerking.
MCD gebruikt jouw klantdata niet voor eigen doeleinden, profilering, doorverkoop of training van eigen modellen. Geaggregeerde, niet-herleidbare productstatistieken vallen daar niet onder.
MCD schakelt subverwerkers in voor hosting, e-mailbezorging, betalingen, bankkoppeling, AI en bedrijfsopzoeking. De actuele lijst staat in de privacyverklaring en wordt minstens veertien dagen vooraf bijgewerkt bij toevoegingen of vervangingen. Je kunt binnen die termijn schriftelijk bezwaar maken; lukt het niet om tot een oplossing te komen, dan heb je het recht je MCD-abonnement op te zeggen tegen de eerstvolgende factuurperiode. Aan elke subverwerker legt MCD via een back-to-back verwerkersovereenkomst dezelfde verplichtingen op die deze DPA aan MCD oplegt (AVG art. 28 lid 4). MCD blijft jegens jou volledig aansprakelijk voor het handelen of nalaten van zijn subverwerkers. Doorgifte naar buiten de EER vindt uitsluitend plaats onder Standard Contractual Clauses of het EU-US Data Privacy Framework; klanten kunnen de actuele DPF-certificeringsstatus van Amerikaanse subverwerkers verifiëren via dataprivacyframework.gov/list.
MCD treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, ongeoorloofde toegang en onrechtmatige verwerking, conform AVG artikel 32. Concreet betekent dit onder meer: TLS-versleuteling voor alle verbindingen, geëncrypteerde opslag van OAuth-tokens en TOTP-secrets, bcrypt-gehashte wachtwoorden, geleidelijke afbouw van administratieve toegang met audit-logging, optionele tweefactorauthenticatie en WebAuthn, dagelijkse back-ups in eu-north-1, regelmatige securityreviews en geautomatiseerde scrubbing van persoonsgegevens uit foutlogs.
Wordt MCD bekend met een inbreuk in verband met persoonsgegevens die jouw klanten of medewerkers raakt, dan stelt MCD je zonder onnodige vertraging en uiterlijk binnen 48 uur op de hoogte via het in jouw account vastgelegde e-mailadres. De melding bevat een omschrijving van de aard van het lek, welke (categorieën) betrokkenen en data het betreft, de waarschijnlijke gevolgen en de getroffen of voorgestelde maatregelen. MCD ondersteunt je bij eventuele melding aan de Autoriteit Persoonsgegevens en betrokkenen, maar de meldplicht jegens de toezichthouder rust op jou als verwerkingsverantwoordelijke.
MCD biedt in de applicatie standaardfunctionaliteit waarmee je inzage-, rectificatie-, verwijderings- en dataportabiliteitsverzoeken van jouw betrokkenen zelf kunt afhandelen, waaronder een data-export via /api/account/export en het permanent verwijderen van klant- en factuurrecords. Voor verzoeken die niet via de standaardfunctionaliteit kunnen worden afgehandeld biedt MCD je tegen kostprijs technische ondersteuning.
Je hebt het recht om eenmaal per kalenderjaar, na een schriftelijk verzoek met een termijn van dertig dagen, een audit te (laten) verrichten op de naleving van deze DPA. De audit vindt plaats binnen kantoortijd en mag de bedrijfsvoering van MCD redelijkerwijs niet hinderen. Het auditbureau is gebonden aan geheimhouding. De kosten van de audit komen voor jouw rekening, tenzij er een materiële tekortkoming wordt vastgesteld die aan MCD toerekenbaar is.
De aansprakelijkheid van MCD voor schade voortvloeiend uit een toerekenbare tekortkoming in de nakoming van deze DPA is per kalenderjaar beperkt tot het bedrag dat jij in de twaalf maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan MCD hebt betaald, tot een maximum van EUR 5.000. Deze beperking geldt niet bij opzet of bewuste roekeloosheid. Voor het overige sluiten partijen aan bij de aansprakelijkheidsbepalingen in de algemene voorwaarden.
Bij beëindiging van het MCD-abonnement kun je tot dertig dagen na de einddatum nog een volledige data-export downloaden via je account of via /api/account/export. Daarna verwijdert MCD jouw persoonsgegevens binnen negentig dagen, behoudens een wettelijke bewaarplicht (in het bijzonder de Nederlandse fiscale bewaarplicht van zeven jaar voor facturen en administratie, AWR artikel 52). Back-ups draaien volgens een rolling-schema (standaard dertig back-ups, elke zes uur) en zijn daarmee binnen vijftien dagen geheel overschreven.
Op deze DPA is Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland, tenzij dwingend recht een andere rechter aanwijst. Wijzigingen worden minstens dertig dagen vooraf aangekondigd via het in jouw account vastgelegde e-mailadres en gepubliceerd op deze pagina.
Stuur een mail naar support@mycompanydesk.com en we beantwoorden je binnen twee werkdagen.