Verwerkersovereenkomst

Deze verwerkersovereenkomst (hierna: "Verwerkersovereenkomst") maakt integraal onderdeel uit van de algemene voorwaarden tussen De Rechter Software en de Afnemer (hierna: de "Overeenkomst"). Zij legt de afspraken vast over de verwerking van persoonsgegevens die De Rechter Software namens de Afnemer uitvoert bij het leveren van Stippa, conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

1. Partijen en rollen

• Verwerkingsverantwoordelijke: de Afnemer, die de doeleinden en middelen van de verwerking van de persoonsgegevens van zijn eindklanten bepaalt.
• Verwerker: De Rechter Software, eenmanszaak gevestigd te Molenwater 20, 4511 BN Breskens, Nederland, KvK-nummer 98466402, btw-nummer NL005332100B80, exploitant van Stippa, die de persoonsgegevens uitsluitend namens en in opdracht van de Afnemer verwerkt.

2. Onderwerp, aard, duur en doel van de verwerking

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de dienst Stippa: een platform voor het beheren en boeken van afspraken, het beheren van klanten en medewerkers, het versturen van notificaties en het verwerken van betalingen. De verwerking duurt zolang de Overeenkomst van kracht is en eindigt overeenkomstig sectie 10.

3. Categorieën gegevens en betrokkenen

De verwerking betreft de volgende categorieën betrokkenen en persoonsgegevens:

• Betrokkenen: eindklanten van de Afnemer en medewerkers van de Afnemer.
• Gegevens: naam, e-mailadres, telefoonnummer, afspraakgegevens (datum, tijd, dienst, medewerker, notities) en betalingsgerelateerde gegevens (via Stripe; geen volledige kaartgegevens).

De Verwerker verwerkt geen bijzondere categorieën van persoonsgegevens, tenzij de Afnemer deze zelf invoert; de Afnemer is daarvoor verantwoordelijk en staat in voor een rechtmatige grondslag.

4. Verplichtingen van de Verwerker

• De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Afnemer, waaronder de Overeenkomst, ook ten aanzien van doorgifte naar een derde land, tenzij een wettelijke verplichting anders bepaalt; in dat geval stelt de Verwerker de Afnemer vooraf op de hoogte, tenzij die wetgeving dit verbiedt.
• De Verwerker stelt de Afnemer onmiddellijk op de hoogte indien naar zijn oordeel een instructie inbreuk maakt op de AVG of andere toepasselijke gegevensbeschermingsregels.
• De Verwerker waarborgt dat personen die toegang hebben tot de persoonsgegevens tot geheimhouding zijn verplicht.
• De Verwerker neemt passende technische en organisatorische maatregelen (zie sectie 5).
• De Verwerker verleent de Afnemer redelijke medewerking bij het beantwoorden van verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar) en bij het nakomen van diens verplichtingen onder de artikelen 32 tot en met 36 AVG (beveiliging, melding van datalekken, data-protection impact assessments en voorafgaande raadpleging van de toezichthouder).
• De Verwerker gebruikt de persoonsgegevens niet voor eigen doeleinden en verkoopt deze nooit.

5. Beveiligingsmaatregelen

De Verwerker treft ten minste de volgende maatregelen:

• Versleuteling van gegevens tijdens transport (TLS 1.2 of hoger) en in rust;
• Versleuteling van gevoelige tokens met AES-256-GCM vóór opslag;
• Rolgebaseerd toegangsbeheer met row-level security in de database;
• Logging van mutaties (auditlogs) ten behoeve van beveiliging en herleidbaarheid;
• Regelmatige beoordeling van de effectiviteit van de maatregelen.

6. Sub-verwerkers

De Afnemer geeft de Verwerker algemene toestemming om de onderstaande sub-verwerkers in te schakelen:

• Supabase Inc. voor databaseopslag (gehost in de EU)
• Vercel Inc. voor de hosting van de webapplicatie
• Upstash, Inc. voor snelheidsbegrenzing en misbruikpreventie (tijdelijke verwerking van IP-adressen)
• Cloudflare, Inc. voor bot- en misbruikbescherming (Turnstile)
• Sentry (Functional Software, Inc.) voor foutmonitoring en de stabiliteit van de applicatie
• Inngest, Inc. voor de uitvoering van achtergrondtaken, zoals het versturen van herinneringen
• Grafana Labs voor logboekbeheer (Loki), uitsluitend indien ingeschakeld
• Stripe Payments Europe Ltd. en Mollie B.V. voor betalingsverwerking (Mollie is gehost in de EU)
• Resend, Inc. voor het versturen van transactionele e-mails (bevestigingen, herinneringen en notificaties)
• Twilio Inc. / WhatsApp Business voor optionele berichtendiensten
• PostHog voor productanalyse

De volgende koppelingen worden uitsluitend ingeschakeld wanneer de Afnemer of een medewerker deze zelf activeert: Google LLC voor agendasynchronisatie (zie het privacybeleid) en Moneybird B.V. voor een boekhoudkoppeling.

De Verwerker legt elke sub-verwerker bij overeenkomst dezelfde gegevensbeschermingsverplichtingen op als in deze Verwerkersovereenkomst. De Verwerker blijft jegens de Afnemer volledig aansprakelijk voor de nakoming van de verplichtingen door de sub-verwerker.

Bij een voorgenomen wijziging of toevoeging van een sub-verwerker informeert de Verwerker de Afnemer ten minste 30 dagen van tevoren. De Afnemer kan binnen die termijn op redelijke gronden bezwaar maken tegen de wijziging; partijen treden dan in overleg. Wordt geen oplossing bereikt, dan kan de Afnemer de betrokken dienst of de Overeenkomst opzeggen.

7. Doorgifte buiten de EER

Voor zover persoonsgegevens worden doorgegeven aan een sub-verwerker buiten de Europese Economische Ruimte, vindt deze doorgifte uitsluitend plaats op basis van een passende waarborg conform hoofdstuk V AVG: bij doorgifte naar de Verenigde Staten primair op grond van het EU-VS Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie van 10 juli 2023) voor daaronder gecertificeerde partijen, en als aanvullende of terugvalwaarborg op grond van de modelcontractbepalingen van de Europese Commissie (Standard Contractual Clauses, uitvoeringsbesluit (EU) 2021/914).

8. Datalekken

De Verwerker informeert de Afnemer zonder onredelijke vertraging, en uiterlijk binnen 48 uur, nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Daarbij verstrekt de Verwerker de informatie die de Afnemer redelijkerwijs nodig heeft om te voldoen aan zijn eventuele meldplicht aan de Autoriteit Persoonsgegevens en aan betrokkenen.

9. Audits

De Verwerker stelt de Afnemer op verzoek de informatie ter beschikking die nodig is om de naleving van de in artikel 28 AVG bedoelde verplichtingen aan te tonen. De Afnemer kan, met inachtneming van een redelijke termijn en ten hoogste eenmaal per jaar, een audit (laten) uitvoeren door de Afnemer zelf of een door de Afnemer gemandateerde, onafhankelijke auditor. De redelijke kosten daarvan komen voor rekening van de Afnemer, tenzij uit de audit een wezenlijke tekortkoming van de Verwerker blijkt.

10. Teruggave en verwijdering

Na beëindiging van de Overeenkomst zal de Verwerker, naar keuze van de Afnemer, alle persoonsgegevens hetzij als gegevensexport aan de Afnemer ter beschikking stellen, hetzij verwijderen, en bestaande kopieën verwijderen, tenzij een wettelijke bewaarplicht (zoals de fiscale bewaarplicht voor betalingsgegevens) anders bepaalt. Bij gebreke van een keuze binnen de in de algemene voorwaarden genoemde termijn van 30 dagen worden de gegevens verwijderd.

11. Aansprakelijkheid en toepasselijk recht

Op deze Verwerkersovereenkomst zijn de aansprakelijkheidsbepalingen en het toepasselijk recht uit de algemene voorwaarden van toepassing. Bij strijdigheid tussen deze Verwerkersovereenkomst en de algemene voorwaarden prevaleert deze Verwerkersovereenkomst voor zover het de verwerking van persoonsgegevens betreft.

12. Contact

Voor vragen over deze Verwerkersovereenkomst of voor een ondertekend exemplaar kunt u contact opnemen via support@stippa.nl.