Is urenregistratie verplicht in Nederland en de EU?

Ja. De Nederlandse Arbeidstijdenwet verplicht werkgevers om de gewerkte uren van hun medewerkers bij te houden. Vergelijkbare verplichtingen gelden in de hele EU na de uitspraak van het Hof van Justitie uit 2019 (zaak C-55/18).

Waar worden mijn gegevens opgeslagen?

Alle Infrix-gegevens worden gehost op servers binnen de EU. Het platform is standaard GDPR- en AVG-compliant, met versleuteling tijdens verzending en opslag.

Met welke boekhoud- en salarissoftware werkt Infrix samen?

Microsoft 365 en Stripe zijn vandaag beschikbaar. Exact, AFAS en QuickBooks staan op onze roadmap en worden tijdens de bèta uitgerold. Zodra ze live zijn, worden bijgehouden uren en goedgekeurde urenstaten direct geëxporteerd — geen dubbele invoer.

Wat kost Infrix tijdens de bèta?

Infrix is gratis tijdens de early access bèta. Er is geen creditcard vereist. Bètagebruikers behouden hun bètatarief na de officiële lancering.

Moet ik alle functies gebruiken?

Nee. Infrix is modulair. Gebruik alleen planning, alleen urenregistratie, of het volledige platform — jouw team kiest wat past bij de werkwijze.

Verwerkersovereenkomst

Laatst bijgewerkt: 17 maart 2026

English →

Momenteel beschikbaar in het Nederlands en Engels. Vertalingen voor Duits, Spaans, Frans en Italiaans worden voorbereid.

Deze Verwerkersovereenkomst (“Verwerkersovereenkomst”) maakt deel uit van de Gebruiksvoorwaarden tussen Infrix VOF (“Verwerker”), geregistreerd op Wolbrantskerkweg 135, 1069 CL Amsterdam, Nederland (KvK 96615346), en de organisatie die de Dienst gebruikt (“Verwerkingsverantwoordelijke”). Deze Verwerkersovereenkomst is aangegaan in overeenstemming met Artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

1. Definities

“Persoonsgegevens” betekent alle informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon die door de Verwerker namens de Verwerkingsverantwoordelijke via de Dienst wordt verwerkt.
“Verwerking” betekent elke bewerking van Persoonsgegevens, waaronder verzameling, opslag, wijziging, raadpleging, gebruik, verstrekking of verwijdering.
“Betrokkene” betekent een geidentificeerde of identificeerbare natuurlijke persoon op wie Persoonsgegevens betrekking hebben.
“Sub-verwerker” betekent een derde partij die door de Verwerker is ingeschakeld om Persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.
“Datalek” betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde verstrekking van of toegang tot Persoonsgegevens.

2. Reikwijdte en Doel van Verwerking

De Verwerker verwerkt Persoonsgegevens uitsluitend namens de Verwerkingsverantwoordelijke ten behoeve van het leveren van het Infrix personeelsbeheerplatform, waaronder:

Tijdregistratie en werkurenregistratie
Dienstroosters en beschikbaarheidsbeheer
Verzuim- en verlofbeheer
Projectbeheer en taaktoewijzing
Personeelsrapportage en analyses
Gebruikersauthenticatie en toegangscontrole
Servicemeldingen (e-mail)

De Verwerker verwerkt Persoonsgegevens niet voor enig ander doel dan geinstrueerd door de Verwerkingsverantwoordelijke of vereist door toepasselijk recht.

3. Duur

Deze Verwerkersovereenkomst is van kracht voor de duur van het gebruik van de Dienst door de Verwerkingsverantwoordelijke. Na beeindiging zal de Verwerker alle Persoonsgegevens verwijderen of retourneren binnen 90 dagen, tenzij bewaring wettelijk vereist is.

4. Categorieen van Betrokkenen

Werknemers van de Verwerkingsverantwoordelijke
Managers en beheerders van de Verwerkingsverantwoordelijke
Opdrachtnemers en tijdelijk personeel beheerd via de Dienst

5. Soorten Persoonsgegevens

Identiteitsgegevens: naam, e-mailadres, telefoonnummer, functietitel, afdeling.
Arbeidsgegevens: werkuren, pauzetijden, in-/uitkloktijdstempels, diensttoewijzingen, beschikbaarheidsvoorkeuren, contractgegevens.
Verzuimgegevens: verlofaanvragen, verzuimtypes, verlofsaldi.
Gezondheidsgegevens (bijzondere categorie): ziekteverzuimtype en -duur. Er worden geen medische diagnoses of gedetailleerde gezondheidsinformatie verwerkt.
Projectgegevens: projecttoewijzingen, taakinformatie, tijdsbesteding per project.
Technische gegevens: IP-adres, browserinformatie, sessie-identificatoren (verwerkt voor authenticatie, beveiliging en foutmonitoring).

6. Verplichtingen van de Verwerker

De Verwerker zal:

Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij vereist door EU- of Nederlands recht.
Waarborgen dat personen die bevoegd zijn Persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht.
Passende technische en organisatorische beveiligingsmaatregelen implementeren zoals beschreven in Sectie 10.
Geen andere verwerker (sub-verwerker) inschakelen zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, onder voorbehoud van Sectie 7.
De Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van Betrokkenen (inzage, rectificatie, wissing, overdraagbaarheid, beperking, bezwaar).
De Verwerkingsverantwoordelijke bijstaan bij het nakomen van verplichtingen met betrekking tot beveiliging, melding van datalekken, effectbeoordelingen en voorafgaande raadpleging (Artikelen 32-36 AVG).
Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of retourneren na beeindiging van de Dienst, en bestaande kopieen verwijderen tenzij bewaring wettelijk vereist is.
Alle informatie beschikbaar stellen aan de Verwerkingsverantwoordelijke die nodig is om naleving van de verplichtingen uit Artikel 28 AVG aan te tonen.

7. Sub-verwerkers

De Verwerkingsverantwoordelijke verleent algemene schriftelijke toestemming aan de Verwerker om sub-verwerkers in te schakelen. De huidige sub-verwerkers zijn:

Google Firebase (Google LLC) — Authenticatie, database, opslag. EU-regio (europe-west4).
Stripe (Stripe Inc.) — Betalingsverwerking (wordt geactiveerd). Verenigde Staten, EU-VS Data Privacy Framework.
Sentry (Functional Software Inc.) — Foutmonitoring. Verenigde Staten.
Resend (Resend Inc.) — E-mailbezorging. Verenigde Staten.
Railway (Railway Corp.) — Hosting en infrastructuur.

De Verwerker informeert de Verwerkingsverantwoordelijke ten minste 14 dagen van tevoren over voorgenomen wijzigingen in de lijst van sub-verwerkers, waardoor de Verwerkingsverantwoordelijke de mogelijkheid heeft bezwaar te maken. Bij bezwaar op redelijke gronden zullen de partijen te goeder trouw een oplossing zoeken. Als geen oplossing kan worden gevonden, kan de Verwerkingsverantwoordelijke de Dienst beeindigen.

De Verwerker legt dezelfde gegevensbeschermingsverplichtingen als in deze Verwerkersovereenkomst contractueel op aan elke sub-verwerker.

8. Internationale Gegevensoverdrachten

Primaire gegevensopslag vindt plaats in de EU (Google Firebase, europe-west4, Nederland). Waar Persoonsgegevens worden overgedragen aan sub-verwerkers buiten de EU/EER (Verenigde Staten), waarborgt de Verwerker dat passende waarborgen aanwezig zijn in overeenstemming met Artikelen 44-49 AVG, waaronder:

EU-VS Data Privacy Framework-certificering van de sub-verwerker.
Standaard Contractbepalingen (SCC’s) waar het Data Privacy Framework niet van toepassing is.

9. Rechten van Betrokkenen

De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het nakomen van verplichtingen om te reageren op verzoeken van Betrokkenen onder Artikelen 15-22 AVG. De Verwerker stuurt elk verzoek van een Betrokkene dat rechtstreeks wordt ontvangen onverwijld door naar de Verwerkingsverantwoordelijke, tenzij anders geinstrueerd.

De Verwerker biedt de volgende mechanismen ter ondersteuning van de rechten van Betrokkenen:

Inzage en overdraagbaarheid: gegevensexport in JSON of CSV-formaat op verzoek.
Rectificatie: beheerders kunnen werknemersgegevens rechtstreeks in de Dienst bijwerken.
Wissing: account- en gegevensverwijdering binnen 90 dagen na verzoek, onder voorbehoud van wettelijke bewaarverplichtingen.
Beperking: de Verwerker kan verwerking van specifieke gegevens beperken op instructie van de Verwerkingsverantwoordelijke.

10. Beveiligingsmaatregelen

De Verwerker implementeert de volgende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico:

Versleuteling in transit: alle gegevens verzonden via TLS.
Versleuteling in rust: verzorgd door Google Firebase.
Toegangscontrole: rolgebaseerde toegang met bedrijfsgebonden gegevensisolatie (multi-tenancy). Firestore-beveiligingsregels handhaven gegevensscheiding op databaseniveau.
Authenticatie: veilig sessiebeheer via Firebase Auth.
Applicatiebeveiliging: Content Security Policy (CSP), CSRF-bescherming, rate limiting op gevoelige operaties.
Monitoring: foutopsporing en prestatiemonitoring via Sentry.
Vertrouwelijkheid: alle personeelsleden met toegang tot Persoonsgegevens zijn gebonden aan geheimhoudingsverplichtingen.

11. Melding van Datalekken

De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging en uiterlijk 48 uur na kennisneming van een Datalek met betrekking tot Persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt, informeren.

De melding omvat:

Een beschrijving van de aard van het lek.
De categorieen en het geschatte aantal Betrokkenen en registraties die getroffen zijn.
De waarschijnlijke gevolgen van het lek.
De genomen of voorgestelde maatregelen om het lek aan te pakken en de gevolgen te beperken.

De Verwerker werkt samen met de Verwerkingsverantwoordelijke en neemt redelijke stappen om te helpen bij het onderzoek, de beperking en het herstel van het lek.

12. Gegevensbeschermingseffectbeoordeling

De Verwerker verleent redelijke bijstand aan de Verwerkingsverantwoordelijke bij het uitvoeren van gegevensbeschermingseffectbeoordelingen (GEB’s) en voorafgaande raadplegingen met toezichthoudende autoriteiten, zoals vereist door Artikelen 35-36 AVG, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.

13. Auditrechten

De Verwerker stelt alle informatie beschikbaar aan de Verwerkingsverantwoordelijke die nodig is om naleving van deze Verwerkersovereenkomst en Artikel 28 AVG aan te tonen.

De Verwerkingsverantwoordelijke kan audits uitvoeren, inclusief inspecties, zelf of via een gemandateerde externe auditor, onder voorbehoud van:

Redelijke voorafgaande kennisgeving van ten minste 14 dagen.
Audits worden uitgevoerd tijdens normale kantooruren met minimale verstoring.
De auditor is gebonden aan passende geheimhoudingsverplichtingen.
Maximaal een audit per kalenderjaar, tenzij vereist door wet of toezichthoudende autoriteit.

14. Retournering en Verwijdering van Gegevens

Na beeindiging van de Dienst of op schriftelijk verzoek van de Verwerkingsverantwoordelijke:

Zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens retourneren in een gestructureerd, gangbaar, machineleesbaar formaat (JSON of CSV) of alle Persoonsgegevens verwijderen.
Verwijdering wordt voltooid binnen 90 dagen na het verzoek of de beeindiging.
De Verwerker mag Persoonsgegevens bewaren voor zover vereist door toepasselijk EU- of Nederlands recht, in welk geval de Verwerker de Verwerkingsverantwoordelijke informeert en de gegevens blijft beschermen.
De Verwerker bevestigt schriftelijk dat alle Persoonsgegevens zijn verwijderd op verzoek van de Verwerkingsverantwoordelijke.

15. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze Verwerkersovereenkomst is onderworpen aan de beperkingen zoals vastgelegd in de Gebruiksvoorwaarden. Elke partij is aansprakelijk voor schade veroorzaakt door verwerking die de AVG schendt, in overeenstemming met Artikel 82 AVG.

16. Contact

Voor vragen over deze Verwerkersovereenkomst:

Infrix VOF

Wolbrantskerkweg 135, 1069 CL Amsterdam, Nederland

KvK: 96615346

E-mail: privacy@infrix.app