Verwerkersovereenkomst

Conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Laatst gewijzigd op: 23 February 2026

Versie 2.0 — Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de Algemene Voorwaarden van EaseTech Solutions (KvK 83925414).

Inhoudsopgave

  1. Definities
  2. Onderwerp en Duur
  3. Aard en Doel van de Verwerking
  4. Soorten Persoonsgegevens
  5. Categorieën van Betrokkenen
  6. Verplichtingen Verwerker
  7. Instructies Verwerkingsverantwoordelijke
  8. Geheimhouding en Vertrouwelijkheid
  9. Beveiligingsmaatregelen
  10. Subverwerkers
  11. Rechten van Betrokkenen
  12. Meldplicht Datalekken
  13. DPIA-bijstand
  14. Doorgifte buiten de EER
  15. Audits en Inspecties
  16. Teruggave en Verwijdering
  17. Aansprakelijkheid
  18. Toepasselijk Recht en Geschillen
  19. Slotbepalingen
  20. Bijlage 1 — Beveiligingsmaatregelen
  21. Bijlage 2 — Lijst Subverwerkers

Preambule

Deze Verwerkersovereenkomst ("Overeenkomst") is opgesteld in overeenstemming met artikel 28 van de Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming, hierna: "AVG") en maakt integraal onderdeel uit van de dienstverleningsovereenkomst tussen:

  • EaseTech Solutions, gevestigd te Maijweg 65, 5211 AD 's-Hertogenbosch, KvK-nummer 83925414, hierna: "Verwerker";
  • De Opdrachtgever die een Overeenkomst is aangegaan voor het gebruik van de Dienst Venuviax, hierna: "Verwerkingsverantwoordelijke".

Gezamenlijk ook aangeduid als "Partijen" en individueel als "Partij".

Overwegende dat:

  1. De Verwerkingsverantwoordelijke gebruik maakt van de SaaS-dienst Venuviax, aangeboden door de Verwerker;
  2. In het kader van deze dienstverlening de Verwerker Persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke;
  3. Partijen de verwerking van Persoonsgegevens wensen vast te leggen in overeenstemming met de eisen van artikel 28 AVG;
  4. Partijen deze Verwerkersovereenkomst sluiten om te voldoen aan de Wet- en regelgeving inzake de bescherming van Persoonsgegevens;

Komen Partijen het volgende overeen:

Artikel 1 — Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

  1. AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming / General Data Protection Regulation).
  2. UAVG: de Uitvoeringswet Algemene Verordening Gegevensbescherming, de Nederlandse implementatiewet van de AVG.
  3. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("Betrokkene"), zoals gedefinieerd in artikel 4 lid 1 AVG.
  4. Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, waaronder het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, aligneren, combineren, afschermen, wissen of vernietigen van gegevens.
  5. Verwerkingsverantwoordelijke: de Opdrachtgever, zijnde de natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt, zoals bedoeld in artikel 4 lid 7 AVG.
  6. Verwerker: EaseTech Solutions, die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zoals bedoeld in artikel 4 lid 8 AVG.
  7. Subverwerker: iedere derde partij die door de Verwerker wordt ingeschakeld om namens de Verwerkingsverantwoordelijke (een deel van de) Persoonsgegevens te verwerken.
  8. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
  9. Inbreuk in verband met Persoonsgegevens (Datalek): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, zoals bedoeld in artikel 4 lid 12 AVG.
  10. Dienst: de SaaS-applicatie Venuviax, inclusief alle bijbehorende functionaliteiten, updates, onderhoud en support, zoals beschreven in de Algemene Voorwaarden.
  11. Toezichthoudende Autoriteit: de Autoriteit Persoonsgegevens (AP), of een andere bevoegde toezichthoudende autoriteit in de zin van artikel 51 AVG.
  12. EER: de Europese Economische Ruimte, bestaande uit de EU-lidstaten plus Noorwegen, IJsland en Liechtenstein.
  13. TOM's: Technische en Organisatorische Maatregelen als bedoeld in artikel 32 AVG.
  14. Hoofdovereenkomst: de overeenkomst tussen Partijen voor het gebruik van de Dienst Venuviax, waaronder de Algemene Voorwaarden.

Begrippen die in deze Verwerkersovereenkomst met een hoofdletter worden geschreven en hierboven niet nader zijn gedefinieerd, hebben de betekenis die daaraan in de AVG of de Hoofdovereenkomst wordt toegekend.

Artikel 2 — Onderwerp en Duur

  1. Deze Verwerkersovereenkomst regelt de rechten en verplichtingen van Partijen met betrekking tot de Verwerking van Persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke in het kader van de Dienst.
  2. Deze Verwerkersovereenkomst treedt in werking op het moment dat de Verwerkingsverantwoordelijke de Dienst in gebruik neemt en geldt voor de duur van de Hoofdovereenkomst.
  3. De looptijd van deze Verwerkersovereenkomst is onlosmakelijk verbonden aan de looptijd van de Hoofdovereenkomst. Bij beëindiging van de Hoofdovereenkomst eindigt deze Verwerkersovereenkomst van rechtswege, met inachtneming van de bepalingen inzake teruggave en verwijdering van gegevens (artikel 16).
  4. Bepalingen van deze Verwerkersovereenkomst die naar hun aard bestemd zijn om na beëindiging voort te duren, blijven na beëindiging van kracht. Dit betreft onder meer, maar niet uitsluitend, de bepalingen inzake geheimhouding (artikel 8), aansprakelijkheid (artikel 17) en verwijdering van gegevens (artikel 16).

Artikel 3 — Aard en Doel van de Verwerking

  1. De Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden:
    1. het beschikbaar stellen en laten functioneren van de SaaS-applicatie Venuviax;
    2. het opslaan, beheren en verwerken van klant-, boekings-, facturatie- en personeelgegevens die door de Verwerkingsverantwoordelijke worden ingevoerd;
    3. het genereren van rapporten, overzichten en statistieken ten behoeve van de bedrijfsvoering van de Verwerkingsverantwoordelijke;
    4. het verzenden van e-mailnotificaties, facturen en overige communicatie namens de Verwerkingsverantwoordelijke via de Dienst;
    5. het uitvoeren van back-ups ter waarborging van de continuïteit en integriteit van de gegevens;
    6. het verlenen van technische support en het oplossen van storingen;
    7. het uitvoeren van updates en onderhoud aan de Dienst.
  2. De aard van de Verwerking omvat:
    1. geautomatiseerde verwerking, inclusief opslag, raadpleging, wijziging en verwijdering;
    2. het hosten van gegevens op beveiligde servers binnen de EER;
    3. het verwerken van gegevens in een multi-tenant cloud-omgeving met logische scheiding van klantgegevens.
  3. De Verwerker verwerkt de Persoonsgegevens niet voor eigen doeleinden of voor doeleinden van derden, tenzij dit uitdrukkelijk schriftelijk is overeengekomen of wettelijk verplicht is.

Artikel 4 — Soorten Persoonsgegevens

  1. De Verwerker verwerkt de volgende categorieën Persoonsgegevens namens de Verwerkingsverantwoordelijke:
    1. Identificatiegegevens: voor- en achternaam, geslacht, geboortedatum, bedrijfsnaam, KvK-nummer;
    2. Contactgegevens: e-mailadres, telefoonnummer, adresgegevens (straat, huisnummer, postcode, woonplaats, land);
    3. Financiële gegevens: bankrekeningnummer (IBAN), BTW-nummer, factuurgegevens, betalingshistorie, openstaande saldi;
    4. Boekingsgegevens: data en tijden van boekingen, gehuurde zalen/locaties, evenementdetails, wensen en opmerkingen;
    5. Accountgegevens: gebruikersnaam, gehashte wachtwoorden, 2FA-instellingen, inloghistorie, IP-adressen;
    6. Communicatiegegevens: inhoud van berichten via het ticketsysteem, e-mailcorrespondentie, notities;
    7. Personeelsgegevens (indien van toepassing): naam, contactgegevens, functie, rooster, urenregistratie, verlofgegevens van medewerkers van de Verwerkingsverantwoordelijke;
    8. Technische gegevens: IP-adressen, browsertype, sessiegegevens en logbestanden in het kader van beveiliging en foutopsporing.
  2. De Verwerker verwerkt geen bijzondere categorieën van Persoonsgegevens (artikel 9 AVG), tenzij de Verwerkingsverantwoordelijke deze gegevens op eigen initiatief invoert in vrije tekstvelden van de Dienst. In dat geval is de Verwerkingsverantwoordelijke zelf verantwoordelijk voor de rechtmatigheid van die verwerking.
  3. De specifieke Persoonsgegevens die worden verwerkt, zijn afhankelijk van het gebruik dat de Verwerkingsverantwoordelijke maakt van de Dienst en de gegevens die deze invoert.

Artikel 5 — Categorieën van Betrokkenen

  1. De Persoonsgegevens die door de Verwerker worden verwerkt, hebben betrekking op de volgende categorieën van Betrokkenen:
    1. Klanten van de Verwerkingsverantwoordelijke: natuurlijke personen die gebruik maken van de diensten van de Verwerkingsverantwoordelijke (zaalverhuur, evenementen, etc.);
    2. Contactpersonen van zakelijke klanten: medewerkers of vertegenwoordigers van bedrijven en organisaties die zaken doen met de Verwerkingsverantwoordelijke;
    3. Medewerkers van de Verwerkingsverantwoordelijke: personeel dat geregistreerd staat in de personeelsmodule van Venuviax;
    4. Gebruikers van de Dienst: personen met een account voor de Dienst, waaronder beheerders en medewerkers van de Verwerkingsverantwoordelijke;
    5. Overige betrokkenen: andere natuurlijke personen van wie gegevens door de Verwerkingsverantwoordelijke in de Dienst worden ingevoerd.

Artikel 6 — Verplichtingen van de Verwerker

De Verwerker verplicht zich tot het volgende:

  1. Instructiegebondenheid: De Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgiften van Persoonsgegevens aan een derde land of internationale organisatie, tenzij een op de Verwerker van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt (artikel 28 lid 3 sub a AVG).
  2. Verwerking binnen de Dienst: De door de Verwerkingsverantwoordelijke gegeven instructies met betrekking tot de verwerking worden in beginsel beschouwd als vastgelegd in deze Verwerkersovereenkomst, de Hoofdovereenkomst en de configuratie van de Dienst door de Verwerkingsverantwoordelijke.
  3. Signalering: De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming (artikel 28 lid 3 laatste alinea AVG).
  4. Register van verwerkingsactiviteiten: De Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de Verwerkingsverantwoordelijke worden verricht, overeenkomstig artikel 30 lid 2 AVG.
  5. Functionaris voor Gegevensbescherming: Indien de Verwerker op grond van de AVG verplicht is een Functionaris voor Gegevensbescherming (FG) aan te stellen, zal de Verwerker de contactgegevens van de FG beschikbaar stellen aan de Verwerkingsverantwoordelijke.
  6. Medewerking Toezichthoudende Autoriteit: De Verwerker werkt desgevraagd samen met de Toezichthoudende Autoriteit bij het vervullen van haar taken, overeenkomstig artikel 31 AVG.

Artikel 7 — Instructies van de Verwerkingsverantwoordelijke

  1. De Verwerkingsverantwoordelijke heeft het recht om de Verwerker redelijke instructies te geven over de Verwerking van Persoonsgegevens. Deze instructies dienen schriftelijk (inclusief per e-mail) te worden verstrekt.
  2. De Verwerkingsverantwoordelijke staat ervoor in dat:
    1. hij gerechtigd is de Persoonsgegevens te laten verwerken door de Verwerker;
    2. de Persoonsgegevens rechtmatig zijn verkregen en de verwerking ervan niet in strijd is met de AVG of enige andere toepasselijke wet- of regelgeving;
    3. er een geldige grondslag bestaat voor de verwerking (artikel 6 AVG) en dat Betrokkenen adequaat zijn geïnformeerd (artikelen 13 en 14 AVG);
    4. de instructies die hij aan de Verwerker verstrekt, in overeenstemming zijn met de AVG.
  3. De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen alle aanspraken van derden die voortvloeien uit het niet naleven door de Verwerkingsverantwoordelijke van de AVG of deze Verwerkersovereenkomst.
  4. Kosten die gemoeid zijn met het uitvoeren van aanvullende instructies die buiten de reguliere dienstverlening vallen, komen voor rekening van de Verwerkingsverantwoordelijke, tenzij Partijen anders zijn overeengekomen.

Artikel 8 — Geheimhouding en Vertrouwelijkheid

  1. De Verwerker waarborgt dat de tot het verwerken van Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden (artikel 28 lid 3 sub b AVG).
  2. De Verwerker garandeert dat de toegang tot Persoonsgegevens strikt beperkt is tot die personen die de gegevens nodig hebben voor de uitvoering van hun werkzaamheden in het kader van de Dienst (need-to-know principe).
  3. De geheimhoudingsverplichting geldt zowel tijdens als na beëindiging van deze Verwerkersovereenkomst en de Hoofdovereenkomst.
  4. De Verwerker zorgt ervoor dat ook eventuele Subverwerkers aan gelijkwaardige geheimhoudingsverplichtingen zijn gebonden.

Artikel 9 — Beveiligingsmaatregelen (TOM's)

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van Betrokkenen, treft de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG).
  2. De Verwerker treft ten minste de volgende categorieën van maatregelen, nader gespecificeerd in Bijlage 1:
    1. Versleuteling (encryptie): Persoonsgegevens worden versleuteld opgeslagen en bij overdracht (SSL/TLS);
    2. Pseudonimisering: waar technisch mogelijk en doelmatig worden Persoonsgegevens gepseudonimiseerd;
    3. Toegangsbeheer: strikte rolgebaseerde toegangscontrole, tweefactorauthenticatie (2FA), gehashte wachtwoorden;
    4. Logging en monitoring: audittrails van toegang tot en wijzigingen in Persoonsgegevens;
    5. Fysieke beveiliging: servers in beveiligde datacenters binnen de EER;
    6. Back-ups: regelmatige, versleutelde back-ups met procedures voor herstel;
    7. Incidentbeheer: procedures voor het detecteren, rapporteren en afhandelen van beveiligingsincidenten;
    8. Beschikbaarheid en veerkracht: maatregelen om de voortdurende beschikbaarheid en veerkracht van de verwerkingssystemen te garanderen.
  3. De Verwerker beoordeelt en evalueert regelmatig de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking (artikel 32 lid 1 sub d AVG).
  4. De Verwerker treft maatregelen om ervoor te zorgen dat eenieder die onder zijn gezag handelt en toegang heeft tot Persoonsgegevens, deze slechts in opdracht van de Verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe wettelijk is gehouden (artikel 32 lid 4 AVG).
  5. Op verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker een actueel overzicht van de getroffen beveiligingsmaatregelen.

Artikel 10 — Subverwerkers

  1. De Verwerkingsverantwoordelijke verleent de Verwerker algemene schriftelijke toestemming voor het inschakelen van Subverwerkers, mits de Verwerker voldoet aan de voorwaarden in dit artikel (artikel 28 lid 2 AVG).
  2. De Verwerker informeert de Verwerkingsverantwoordelijke ten minste dertig (30) dagen voorafgaand aan beoogde veranderingen inzake de toevoeging of vervanging van Subverwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
  3. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een voorgestelde Subverwerker, treden Partijen in overleg om een redelijke oplossing te vinden. Indien geen overeenstemming wordt bereikt, heeft de Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst op te zeggen zonder schadevergoeding verschuldigd te zijn.
  4. De Verwerker legt aan iedere Subverwerker dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze Verwerkersovereenkomst zijn opgenomen, met name de verplichting afdoende garanties te bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen (artikel 28 lid 4 AVG).
  5. Wanneer een Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die Subverwerker (artikel 28 lid 4 AVG).
  6. De actuele lijst van Subverwerkers is opgenomen in Bijlage 2 bij deze Verwerkersovereenkomst. De Verwerker houdt deze lijst actueel en stelt deze op verzoek ter beschikking aan de Verwerkingsverantwoordelijke.

Artikel 11 — Bijstand bij Rechten van Betrokkenen

  1. Rekening houdend met de aard van de Verwerking verleent de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken tot uitoefening van de rechten van Betrokkenen te beantwoorden (artikel 28 lid 3 sub e AVG). Dit betreft onder meer de volgende rechten:
    1. Recht van inzage (artikel 15 AVG);
    2. Recht op rectificatie (artikel 16 AVG);
    3. Recht op gegevenswissing / recht op vergetelheid (artikel 17 AVG);
    4. Recht op beperking van de verwerking (artikel 18 AVG);
    5. Kennisgevingsplicht inzake rectificatie, wissing of beperking (artikel 19 AVG);
    6. Recht op overdraagbaarheid van gegevens (artikel 20 AVG);
    7. Recht van bezwaar (artikel 21 AVG);
    8. Recht niet te worden onderworpen aan geautomatiseerde besluitvorming, waaronder profilering (artikel 22 AVG).
  2. Indien de Verwerker een verzoek van een Betrokkene rechtstreeks ontvangt, zal de Verwerker de Betrokkene zo snel mogelijk doorverwijzen naar de Verwerkingsverantwoordelijke. De Verwerker reageert niet zelfstandig op verzoeken van Betrokkenen, tenzij de Verwerkingsverantwoordelijke hier schriftelijk toe instrueert of dit wettelijk is vereist.
  3. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, en uiterlijk binnen vijf (5) werkdagen, in kennis van elk verzoek van een Betrokkene dat de Verwerker rechtstreeks ontvangt.
  4. De Dienst biedt de Verwerkingsverantwoordelijke functionaliteiten om zelfstandig Persoonsgegevens in te zien, te wijzigen, te exporteren en te verwijderen. Waar de Dienst deze functionaliteiten biedt, wordt geacht aan de bijstandsverplichting te zijn voldaan.
  5. Redelijke kosten die de Verwerker maakt voor bijstand bij het afhandelen van verzoeken van Betrokkenen mogen worden doorberekend aan de Verwerkingsverantwoordelijke, op basis van de dan geldende uurtarieven van de Verwerker.

Artikel 12 — Meldplicht Datalekken

  1. De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging en waar mogelijk uiterlijk binnen vierentwintig (24) uur nadat hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens (Datalek) die betrekking heeft op Persoonsgegevens van de Verwerkingsverantwoordelijke (artikel 33 lid 2 AVG).
  2. De melding bevat ten minste de volgende informatie, voor zover op dat moment beschikbaar:
    1. de aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en Persoonsgegevens in kwestie en, bij benadering, het aantal Betrokkenen en Persoonsgegevensregisters in kwestie;
    2. de naam en contactgegevens van het contactpunt waar meer informatie kan worden verkregen;
    3. de waarschijnlijke gevolgen van de Inbreuk;
    4. de maatregelen die de Verwerker heeft voorgesteld of genomen om de Inbreuk aan te pakken, waaronder, in voorkomend geval, maatregelen ter beperking van de eventuele nadelige gevolgen.
  3. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, wordt de informatie zonder onredelijke vertraging in fasen verstrekt.
  4. De Verwerker verleent de Verwerkingsverantwoordelijke alle redelijke medewerking bij:
    1. het onderzoeken en beoordelen van de Inbreuk;
    2. het voldoen aan de meldplicht aan de Toezichthoudende Autoriteit (artikel 33 AVG);
    3. het voldoen aan de meldplicht aan Betrokkenen (artikel 34 AVG);
    4. het nemen van mitigerende maatregelen.
  5. De Verwerker documenteert alle Inbreuken in verband met Persoonsgegevens, met inbegrip van de feiten, de gevolgen en de genomen corrigerende maatregelen, en stelt deze documentatie op verzoek ter beschikking aan de Verwerkingsverantwoordelijke.
  6. De melding van een Datalek door de Verwerker wordt niet beschouwd als een erkenning van schuld of aansprakelijkheid.

Artikel 13 — Gegevensbeschermingseffectbeoordeling (DPIA) en Voorafgaande Raadpleging

  1. De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment, "DPIA") als bedoeld in artikel 35 AVG, voor zover dit betrekking heeft op de Verwerking door de Verwerker, rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker beschikt (artikel 28 lid 3 sub f AVG).
  2. Indien vereist, verleent de Verwerker bijstand bij een voorafgaande raadpleging van de Toezichthoudende Autoriteit als bedoeld in artikel 36 AVG.
  3. De bijstand van de Verwerker bestaat in ieder geval uit:
    1. het verstrekken van informatie over de kenmerken van de verwerking, de beveiligingsmaatregelen en de getroffen waarborgen;
    2. het beantwoorden van vragen van de Verwerkingsverantwoordelijke of de Toezichthoudende Autoriteit;
    3. het beschikbaar stellen van relevante documentatie.
  4. Redelijke kosten die de Verwerker maakt voor bijstand bij een DPIA of voorafgaande raadpleging mogen worden doorberekend, op basis van de dan geldende uurtarieven.

Artikel 14 — Doorgifte van Persoonsgegevens buiten de EER

  1. De Verwerker verwerkt Persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER), tenzij voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke is verkregen.
  2. Indien doorgifte naar een land buiten de EER noodzakelijk is, waarborgt de Verwerker dat passende waarborgen worden getroffen, waaronder:
    1. een adequaatheidsbesluit van de Europese Commissie (artikel 45 AVG);
    2. Standaardcontractbepalingen (Standard Contractual Clauses, "SCC's") als vastgesteld door de Europese Commissie (artikel 46 lid 2 sub c AVG);
    3. Bindende bedrijfsvoorschriften (Binding Corporate Rules, "BCR's") als bedoeld in artikel 47 AVG; of
    4. een ander rechtsgeldig doorgifte-instrument als bedoeld in hoofdstuk V van de AVG.
  3. De Verwerker informeert de Verwerkingsverantwoordelijke over het land van verwerking en de getroffen waarborgen, en verstrekt op verzoek een kopie van de betreffende doorgifte-instrumenten.
  4. De servers van de Verwerker bevinden zich bij Hostinger, in datacenters gevestigd binnen de Europese Unie. De Verwerker zal de Verwerkingsverantwoordelijke informeren indien hierin wijzigingen optreden.

Artikel 15 — Audits en Inspecties

  1. De Verwerker stelt de Verwerkingsverantwoordelijke op diens verzoek alle informatie ter beschikking die nodig is om de nakoming van de in deze Verwerkersovereenkomst en in artikel 28 AVG neergelegde verplichtingen aan te tonen (artikel 28 lid 3 sub h AVG).
  2. De Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde onafhankelijke controleur mogelijk en draagt daaraan bij.
  3. De volgende voorwaarden zijn van toepassing op audits:
    1. De Verwerkingsverantwoordelijke dient een auditverzoek ten minste dertig (30) dagen van tevoren schriftelijk aan te kondigen;
    2. Audits vinden plaats gedurende reguliere kantooruren en op zodanige wijze dat de bedrijfsvoering van de Verwerker zo min mogelijk wordt verstoord;
    3. De Verwerkingsverantwoordelijke heeft het recht maximaal één (1) audit per kalenderjaar uit te voeren, tenzij de Verwerker niet voldoet aan de verplichtingen uit deze Overeenkomst of er zich een Datalek heeft voorgedaan;
    4. De controleur dient gebonden te zijn aan een geheimhoudingsovereenkomst en mag geen directe concurrent zijn van de Verwerker;
    5. De bevindingen van de audit worden gedeeld met de Verwerker, die in de gelegenheid wordt gesteld om binnen een redelijke termijn eventuele tekortkomingen te verhelpen;
    6. Redelijke kosten die de Verwerker maakt ten behoeve van de audit (inzet personeel, faciliteiten) komen voor rekening van de Verwerkingsverantwoordelijke.
  4. De Verwerker kan ook aan zijn auditverplichtingen voldoen door het overleggen van:
    1. een actuele, door een onafhankelijke derde partij opgestelde certificering, audit of rapportage (zoals ISO 27001, SOC 2 of gelijkwaardig); of
    2. een door een onafhankelijke auditor opgesteld auditrapport.

Artikel 16 — Teruggave en Verwijdering van Persoonsgegevens

  1. Na afloop van de verwerkingsdiensten wist de Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens of bezorgt deze aan de Verwerkingsverantwoordelijke terug, en verwijdert bestaande kopieën, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht (artikel 28 lid 3 sub g AVG).
  2. De Verwerkingsverantwoordelijke heeft na beëindiging van de Hoofdovereenkomst een termijn van dertig (30) dagen om een verzoek tot data-export in te dienen. De Verwerker stelt de gegevens beschikbaar in een gestructureerd, gangbaar en machineleesbaar formaat (zoals CSV of JSON).
  3. Na het verstrijken van de in lid 2 genoemde termijn, of na ontvangst van een schriftelijke bevestiging van de Verwerkingsverantwoordelijke dat de gegevens zijn ontvangen, wist de Verwerker alle Persoonsgegevens binnen dertig (30) dagen, inclusief alle kopieën, back-ups en gerelateerde gegevens.
  4. De Verwerker bevestigt schriftelijk aan de Verwerkingsverantwoordelijke dat de verwijdering heeft plaatsgevonden.
  5. Persoonsgegevens in back-ups die technisch niet onmiddellijk kunnen worden gewist, worden door de reguliere back-uprotatie binnen negentig (90) dagen na beëindiging overschreven. Tot dat moment blijven de beveiligingsmaatregelen van kracht en worden de gegevens niet actief verwerkt.

Artikel 17 — Aansprakelijkheid

  1. Partijen zijn aansprakelijk overeenkomstig de bepalingen van de AVG, in het bijzonder artikel 82 AVG.
  2. De Verwerkingsverantwoordelijke is aansprakelijk voor schade die wordt veroorzaakt door verwerking die inbreuk maakt op de AVG. De Verwerker is slechts aansprakelijk voor schade door verwerking wanneer niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of wanneer buiten dan wel in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke is gehandeld (artikel 82 lid 2 AVG).
  3. De Verwerker is niet aansprakelijk indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit (artikel 82 lid 3 AVG).
  4. De aansprakelijkheid op grond van de Hoofdovereenkomst (inclusief eventuele beperkingen daarvan) is van overeenkomstige toepassing op deze Verwerkersovereenkomst, voor zover niet in strijd met de AVG.
  5. De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen alle aanspraken van derden die het gevolg zijn van:
    1. handelingen of nalatigheden van de Verwerkingsverantwoordelijke die inbreuk maken op de AVG;
    2. instructies van de Verwerkingsverantwoordelijke die in strijd zijn met toepasselijke wet- of regelgeving;
    3. het niet-nakomen door de Verwerkingsverantwoordelijke van zijn verplichtingen uit deze Verwerkersovereenkomst.

Artikel 18 — Toepasselijk Recht en Geschillen

  1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing, onverminderd de directe werking van de AVG.
  2. Geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst worden bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement Oost-Brabant ('s-Hertogenbosch).
  3. Alvorens een geschil aan de rechter voor te leggen, zullen Partijen zich inspannen om het geschil in onderling overleg op te lossen, gedurende een periode van ten minste dertig (30) dagen.

Artikel 19 — Slotbepalingen

  1. In geval van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de Hoofdovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst voor zover het de verwerking van Persoonsgegevens betreft.
  2. Indien en voor zover enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar blijkt te zijn, blijven de overige bepalingen onverminderd van kracht. Partijen zullen in dat geval in overleg treden om een vervangende bepaling overeen te komen die de strekking van de oorspronkelijke bepaling zo dicht mogelijk benadert.
  3. De Verwerker is gerechtigd deze Verwerkersovereenkomst te wijzigen indien dit noodzakelijk is als gevolg van wijzigingen in toepasselijke wet- of regelgeving, jurisprudentie of richtlijnen van de Toezichthoudende Autoriteit. De Verwerkingsverantwoordelijke wordt ten minste dertig (30) dagen voorafgaand aan een wijziging geïnformeerd.
  4. Rechten of verplichtingen uit deze Verwerkersovereenkomst kunnen niet aan een derde worden overgedragen zonder voorafgaande schriftelijke toestemming van de andere Partij.
  5. Het niet uitoefenen of vertraagd uitoefenen van enig recht of rechtsmiddel op grond van deze Verwerkersovereenkomst houdt geen afstand van dat recht of rechtsmiddel in.

Bijlage 1 — Technische en Organisatorische Beveiligingsmaatregelen (TOM's)

Deze bijlage maakt integraal onderdeel uit van de Verwerkersovereenkomst en beschrijft de door EaseTech Solutions getroffen maatregelen conform artikel 32 AVG.

1. Versleuteling en Transmissiebeveiliging

  • Alle dataverkeer tussen gebruikers en de Dienst verloopt via TLS 1.2 of hoger (HTTPS);
  • E-mailverkeer via de Dienst verloopt via SMTP over SSL/TLS (poort 465);
  • Wachtwoorden worden opgeslagen met behulp van industriestandaard hashing-algoritmen (bcrypt) en worden nooit in platte tekst bewaard;
  • Gevoelige gegevens worden versleuteld opgeslagen in de database waar technisch toepasbaar.

2. Toegangsbeheer en Authenticatie

  • Rolgebaseerde toegangscontrole (RBAC): beheerders, medewerkers en gebruikers hebben uitsluitend toegang tot functionaliteiten en gegevens die bij hun rol horen;
  • Tweefactorauthenticatie (2FA) beschikbaar voor alle accounts en verplicht voor beheerders;
  • Automatische sessie-time-out bij inactiviteit;
  • IP-gebaseerde toegangsbescherming en brute-force-beveiliging;
  • Strikte scheiding van klantgegevens in een multi-tenant architectuur (logische scheiding).

3. Logging en Monitoring

  • Audit-logging van gebruikersacties (inloggen, wijzigingen, verwijderingen);
  • Logbestanden worden bewaard gedurende een periode conform het retentiebeleid;
  • Monitoring van ongebruikelijke activiteiten en verdachte inlogpogingen;
  • CSRF-bescherming op alle formulieren.

4. Fysieke en Infrastructurele Beveiliging

  • De Dienst wordt gehost bij Hostinger op servers gevestigd in datacenters binnen de Europese Unie;
  • Datacenters beschikken over fysieke toegangscontrole, brandbeveiliging, klimaatbeheersing en noodstroomvoorziening;
  • Regelmatige geautomatiseerde back-ups met opslag op gescheiden locaties binnen de EU;
  • Procedures voor disaster recovery en business continuity.

5. Bescherming tegen Kwaadaardige Software en Aanvallen

  • Input-validatie en output-encoding ter voorkoming van SQL-injectie en Cross-Site Scripting (XSS);
  • reCAPTCHA-bescherming op publiek toegankelijke formulieren;
  • Regelmatige software-updates en security patches;
  • Gebruik van prepared statements / parameterized queries voor database-interacties.

6. Organisatorische Maatregelen

  • Alle medewerkers van de Verwerker zijn gebonden aan geheimhoudingsverplichtingen;
  • Toegang tot Persoonsgegevens is beperkt op basis van het need-to-know principe;
  • Procedure voor het melden en afhandelen van beveiligingsincidenten (incident response plan);
  • Periodieke evaluatie en aanpassing van beveiligingsmaatregelen;
  • Bewustwording bij medewerkers ten aanzien van gegevensbescherming en informatiebeveiliging.

Bijlage 2 — Lijst van Subverwerkers

Deze bijlage maakt integraal onderdeel uit van de Verwerkersovereenkomst. Onderstaande tabel geeft een overzicht van de Subverwerkers die door EaseTech Solutions worden ingezet bij de levering van de Dienst Venuviax.

Subverwerker Dienst / Doel Locatie verwerking Waarborgen
Hostinger International Ltd. Webhosting, servers, databases (opslag en verwerking van alle Klantdata) EU (Litouwen / Nederland) DPA Hostinger, servers binnen EU
Hostinger (SMTP) E-mailverzending (facturen, notificaties, communicatie namens Opdrachtgever) EU SSL/TLS-versleuteling, DPA Hostinger
Google Ireland Ltd. reCAPTCHA v3 (spampreventie op formulieren — verwerkt IP-adressen en gedragsgegevens) EU / VS EU-US Data Privacy Framework (adequaatheidsbesluit), SCC's

Wijzigingsprocedure: Bij toevoeging of vervanging van Subverwerkers wordt de Verwerkingsverantwoordelijke ten minste dertig (30) dagen voorafgaand geïnformeerd, overeenkomstig artikel 10 van deze Verwerkersovereenkomst.

Contact

Voor vragen over deze Verwerkersovereenkomst of over de verwerking van Persoonsgegevens kunt u contact opnemen met:

Disclaimer: Deze Verwerkersovereenkomst is opgesteld met zorg en gebaseerd op de vereisten van de AVG. Voor specifieke juridische situaties adviseren wij aanvullend juridisch advies in te winnen. Zie ook onze Algemene Voorwaarden en Privacyverklaring.