← Terug naar de startpagina

Verwerkersovereenkomst

Overeenkomst inzake de verwerking van persoonsgegevens in opdracht overeenkomstig art. 28 AVG

Gemaksvertaling. Deze Nederlandse versie wordt uitsluitend ter informatie aangeboden. De juridisch bindende tekst is het Duitse origineel; bij afwijkingen prevaleert de Duitse versie.

Preambule

Deze overeenkomst concretiseert de gegevensbeschermingsrechtelijke verplichtingen van de partijen in het kader van het tussen hen bestaande gebruik van de diensten van 121 Apps GmbH (hierna: „verwerker”) door de klant (hierna: „verwerkingsverantwoordelijke”). Zij geldt voor alle activiteiten waarbij de verwerker persoonsgegevens in opdracht van de verwerkingsverantwoordelijke verwerkt.

§ 1 Voorwerp, aard, omvang, doel & duur

(1) Het voorwerp en het doel van de verwerking volgen uit de onderliggende hoofdovereenkomst (gebruik van de betreffende dienst). De verwerker verwerkt de gegevens uitsluitend voor het verlenen van de contractueel overeengekomen diensten en op gedocumenteerde instructie van de verwerkingsverantwoordelijke.

(2) De verwerking omvat, afhankelijk van de gebruikte dienst, met name het verzamelen, vastleggen, ordenen, opslaan, bijwerken, opvragen, raadplegen, gebruiken, doorgeven, beperken en wissen van persoonsgegevens.

(3) De duur van de verwerking komt overeen met de looptijd van de hoofdovereenkomst.

§ 2 Aard van de gegevens & categorieën van betrokkenen

(1) Aard van de persoonsgegevens: afhankelijk van de gebruikte dienst bijv. stamgegevens (naam, e-mail, adres), contactgegevens, gebruiks- en loggegevens, alsmede door de verwerkingsverantwoordelijke geplaatste inhoudsgegevens (bijv. enquêteantwoorden, order- en dienstverlenersgegevens).

(2) Bijzondere categorieën van persoonsgegevens (art. 9 AVG) zijn geen voorwerp van de opdracht, tenzij de verwerkingsverantwoordelijke dergelijke gegevens zelf in de inhoudsgegevens plaatst; in dat geval gelden de verhoogde beschermingseisen dienovereenkomstig.

(3) Categorieën van betrokkenen: bijv. medewerkers, klanten, prospects, enquêtedeelnemers en dienstverleners van de verwerkingsverantwoordelijke.

§ 3 Verplichtingen van de verwerker

(1) De verwerker verwerkt gegevens uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke, tenzij hij wettelijk tot verwerking verplicht is. Instructies worden in tekst- of schriftelijke vorm gegeven; mondeling gegeven instructies dienen onverwijld in tekst- of schriftelijke vorm te worden bevestigd. De partijen kunnen elk personen aanwijzen die bevoegd zijn instructies te geven.

(2) Hij waarborgt dat de tot verwerking bevoegde personen zich tot vertrouwelijkheid hebben verplicht of aan een passende wettelijke geheimhoudingsplicht zijn onderworpen.

(3) Hij treft alle overeenkomstig art. 32 AVG vereiste technische en organisatorische maatregelen (§ 4 juncto Bijlage 1).

(4) Hij ondersteunt de verwerkingsverantwoordelijke binnen de grenzen van het mogelijke bij de nakoming van rechten van betrokkenen (art. 12–23 AVG) alsmede bij de verplichtingen op grond van art. 32–36 AVG (gegevensbeveiliging, melding van inbreuken, gegevensbeschermingseffectbeoordeling).

(5) De verwerker informeert de verwerkingsverantwoordelijke onverwijld indien een instructie naar zijn oordeel in strijd is met gegevensbeschermingsrechtelijke voorschriften.

§ 4 Technische en organisatorische maatregelen (art. 32)

De verwerker houdt passende technische en organisatorische maatregelen in stand in de zin van art. 32 AVG, met name ter waarborging van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen alsmede voor de regelmatige toetsing van de doeltreffendheid daarvan. De concrete maatregelen zijn beschreven in Bijlage 1 en maken deel uit van deze overeenkomst. Wezenlijke wijzigingen mogen niet onder het overeengekomen beschermingsniveau komen.

§ 5 Subverwerkers

(1) De verwerkingsverantwoordelijke verleent een algemene toestemming voor het inschakelen van subverwerkers. De verwerker informeert de verwerkingsverantwoordelijke tijdig in tekstvorm over voorgenomen wijzigingen (toevoeging of vervanging). De verwerkingsverantwoordelijke kan tegen een wijziging om een gewichtige gegevensbeschermingsrechtelijke reden binnen vier weken na kennisgeving bezwaar maken; wordt geen bezwaar gemaakt, dan geldt de wijziging als goedgekeurd.

(2) De verwerker verplicht subverwerkers tot een gelijkwaardig niveau van gegevensbescherming (art. 28 lid 4 AVG). De momenteel ingeschakelde subverwerkers zijn vermeld in Bijlage 2.

§ 6 Inbreuken in verband met persoonsgegevens

De verwerker meldt inbreuken in verband met persoonsgegevens onverwijld aan de verwerkingsverantwoordelijke, doch uiterlijk binnen 24 uur nadat deze bekend zijn geworden, en ondersteunt hem bij de meldings- en kennisgevingsplichten (art. 33, 34 AVG), zodat de verwerkingsverantwoordelijke zijn eigen 72-uurstermijn kan naleven.

§ 7 Wissing & teruggave

Na afronding van de verwerking wist de verwerker de gegevens naar keuze van de verwerkingsverantwoordelijke of geeft deze terug en wist bestaande kopieën, voor zover geen wettelijke bewaarplicht bestaat. De verwerkingsverantwoordelijke heeft tot het einde van de overeenkomst de mogelijkheid tot export van zijn gegevens.

§ 8 Bewijzen & controles

(1) De verwerker stelt de verwerkingsverantwoordelijke de informatie ter beschikking die noodzakelijk is om de naleving van de verplichtingen op grond van art. 28 AVG aan te tonen. Het bewijs kan ook worden geleverd door middel van actuele certificaten, attesten of rapporten van geschikte onafhankelijke derden.

(2) Verdergaande controles (met inbegrip van inspecties ter plaatse) worden uitgevoerd met een redelijke voorafgaande aankondiging van in de regel twee weken, ten hoogste eenmaal per jaar alsmede incidenteel bij een concreet vermoeden, tijdens de gebruikelijke kantooruren en zonder onevenredige verstoring van de bedrijfsvoering. De kosten van een door de verwerkingsverantwoordelijke geïnitieerde inspectie ter plaatse draagt de verwerkingsverantwoordelijke, tenzij de inspectie een aanzienlijke overtreding van de verwerker aan het licht brengt.

§ 9 Doorgifte naar derde landen

De verwerking vindt in beginsel uitsluitend binnen de EU resp. de EER plaats. Een doorgifte naar een derde land vindt alleen plaats met inachtneming van de voorwaarden van art. 44 e.v. AVG. De enige huidige uitzondering is de betalingsafwikkeling via Stripe, waarbij een doorgifte naar de VS niet volledig kan worden uitgesloten en die op EU-standaardcontractbepalingen (art. 46 AVG) is gebaseerd. Voor het overige vindt geen doorgifte naar derde landen plaats.

§ 10 Aansprakelijkheid & slotbepalingen

(1) Voor de aansprakelijkheid geldt art. 82 AVG. In de verhouding tussen de partijen gelden aanvullend de aansprakelijkheidsbepalingen van de hoofdovereenkomst.

(2) Bij tegenstrijdigheden tussen deze verwerkersovereenkomst en de hoofdovereenkomst hebben de bepalingen van deze verwerkersovereenkomst voorrang in gegevensbeschermingsrechtelijke kwesties.

(3) Duits recht is van toepassing. De exclusief bevoegde rechter is, voor zover wettelijk toegestaan, die te München.

(4) Wijzigingen van en aanvullingen op deze overeenkomst vereisen tekstvorm. Mocht een bepaling ongeldig zijn, dan blijft de overeenkomst voor het overige geldig.

(5) Deze verwerkersovereenkomst maakt samen met de hoofdovereenkomst deel uit van de contractuele relatie. Zij komt elektronisch tot stand doordat de verwerkingsverantwoordelijke er bij het afsluiten van een betaald abonnement — in het kader van het bestel- en betaalproces via Stripe resp. door bevestiging in zijn klantaccount — mee instemt. Een eigenhandige ondertekening is overeenkomstig art. 28 lid 9 AVG niet vereist; de elektronische vorm volstaat.

Bijlage 1 — Technische en organisatorische maatregelen (art. 32 AVG)

De verwerker past de volgende maatregelen toe. Deze opsomming dient vóór gebruik te worden afgestemd op de daadwerkelijk geïmplementeerde praktijk.

1. Vertrouwelijkheid

  • Fysieke toegangscontrole: exploitatie in datacenters van Alfahosting GmbH (Halle/Saale) en Hetzner Online GmbH (Gunzenhausen) met beveiligde fysieke toegangscontrole (onder andere toegangsbeveiliging, videobewaking).
  • Systeemtoegangscontrole: individuele gebruikersaccounts, veilige wachtwoorden, meerfactorauthenticatie voor administratieve toegang, automatische sessievergrendelingen.
  • Gegevenstoegangscontrole: rolgebaseerd autorisatieconcept volgens het beginsel van minimale rechten, logging van administratieve toegang.
  • Scheidingscontrole: logische scheiding per klant (mandantenscheiding) van de gegevens van verschillende verwerkingsverantwoordelijken; scheiding van productie-, test- en ontwikkelomgevingen.
  • Versleuteling: TLS-versleuteling van de gegevensoverdracht; versleuteling van gevoelige gegevens in rust alsmede versleutelde opslag van toegangs- en tokengegevens.

2. Integriteit

  • Invoercontrole: logging van aanmaken, wijzigen en wissen; traceerbaarheid via auditlogs.
  • Doorgiftecontrole: overdracht uitsluitend via versleutelde verbindingen.

3. Beschikbaarheid en veerkracht

  • regelmatige, versleutelde back-ups en een procedure voor het herstellen van de beschikbaarheid na een incident;
  • systeemmonitoring, bescherming tegen overbelasting en aanvallen (onder andere firewalls, DDoS-bescherming), tijdige beveiligingsupdates.

4. Procedures voor regelmatige toetsing, beoordeling en evaluatie

  • regelmatige toetsing van de doeltreffendheid van de maatregelen; privacy- en beveiligingsreviews; toezicht op subverwerkers;
  • gegevensbescherming door ontwerp en door standaardinstellingen (art. 25 AVG).

Bijlage 2 — Subverwerkers

Per de datum van deze overeenkomst zijn de volgende subverwerkers ingeschakeld:

  • Alfahosting GmbH, Halle (Saale), Duitsland — hosting / datacenter (EU).
  • Hetzner Online GmbH, Gunzenhausen, Duitsland — hosting / datacenter (EU).
  • Stripe Payments Europe Ltd., Dublin, Ierland — betalingsafwikkeling; een doorgifte naar de VS is niet uitgesloten en is gebaseerd op EU-standaardcontractbepalingen.
  • Sendinblue GmbH (Brevo), Köln, Duitsland — verzending van e-mails en meldingen (EU).

Laatst bijgewerkt: 6 juli 2026