Verwerkingsovereenkomst

Onderstaande overeenkomst heeft betrekking op de verwerking van persoonsgegevens in het kader van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

VERWERKINGSOVEREENKOMST

tussen

Eenmanszaak AppOne, handelend onder de naam MijnKlantportaal, gevestigd te John Blankensteinstraat 170, 1095MB Amsterdam, ingeschreven bij de Kamer van Koophandel onder nummer 54410754, hierna: Verwerker.

en

Een ieder die gebruik maakt van de MijnKlantportaal dienst(en), hierna: Verwerkingsverantwoordelijke

Artikel 1 - Onderwerp en duur

  1. Deze verwerkersovereenkomst ("Overeenkomst") regelt de verwerking van persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke in het kader van het gebruik van de SaaS-dienst MijnKlantportaal.
  2. De Overeenkomst is van kracht zolang Verwerker persoonsgegevens verwerkt in opdracht van Verwerkingsverantwoordelijke, en eindigt zodra alle persoonsgegevens zijn verwijderd of geretourneerd overeenkomstig artikel 9.

Artikel 2 - Doel en aard van de verwerking

  1. Verwerker levert een online applicatie (MijnKlantportaal) waarmee Verwerkingsverantwoordelijke klantgegevens kan beheren, delen en opslaan in een digitale omgeving.
  2. De verwerking betreft uitsluitend het faciliteren van de werking van de applicatie en de bijbehorende ondersteunende diensten (zoals hosting, back-ups en beveiliging).
  3. De verwerking ziet onder meer op:
    • Categorieën betrokkenen: (i) medewerkers en vertegenwoordigers van Verwerkingsverantwoordelijke, (ii) klanten en eindgebruikers van Verwerkingsverantwoordelijke.
    • Categorieën persoonsgegevens: account- en identificatiegegevens (zoals naam, e-mailadres, inloggegevens), klantgegevens die door Verwerkingsverantwoordelijke en diens klanten worden ingevoerd (zoals contactgegevens, financiële gegevens, documenten en communicatie), en technische gebruiksgegevens (zoals IP-adressen, loggegevens en apparaatgegevens).
  4. Verwerker verwerkt de persoonsgegevens uitsluitend voor het uitvoeren van de overeenkomst en nooit voor eigen doeleinden.

Artikel 3 - Verplichtingen Verwerker

  1. Verwerker zal persoonsgegevens alleen verwerken op schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een wettelijke bepaling anders vereist.
  2. Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onrechtmatige verwerking of onbevoegde toegang. Deze maatregelen omvatten in ieder geval:
    • encryptie tijdens transport (TLS) en opslag waar technisch mogelijk;
    • strikte toegangsbeveiliging en authenticatie (waaronder 2FA voor beheerders);
    • logging en monitoring van toegangspogingen en datagebruik;
    • regelmatige en versleutelde back-ups;
    • scheiding van omgevingen (test, acceptatie, productie).
  3. Verwerker ziet erop toe dat medewerkers en ingeschakelde derden dezelfde verplichtingen naleven.

Artikel 4 - Subverwerkers

  1. Verwerkingsverantwoordelijke geeft hierbij toestemming voor het inschakelen van subverwerkers, uitsluitend ten behoeve van hosting, opslag en infrastructuur
  2. De huidige subverwerkers zijn:
    • Google Cloud
    • Amazon Web Services
    • DigitalOcean
  3. Verwerker informeert Verwerkingsverantwoordelijke bij wijzigingen in de subverwerkerslijst en geeft gelegenheid om bezwaar te maken.

Artikel 5 - Geheimhouding

  1. Verwerker houdt alle persoonsgegevens strikt geheim en verstrekt deze niet aan derden, tenzij dit noodzakelijk is voor uitvoering van de overeenkomst, of een wettelijke verplichting anders voorschrijft.
  2. Verwerker garandeert dat personen die namens hem persoonsgegevens verwerken, contractueel of wettelijk tot geheimhouding zijn verplicht.

Artikel 6 - Rechten van betrokkenen

  1. Verwerker ondersteunt Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen onder de AVG, waaronder het behandelen van verzoeken van betrokkenen om inzage, correctie, verwijdering of dataportabiliteit.
  2. Verwerker handelt dergelijke verzoeken nooit zelfstandig af, tenzij hiertoe uitdrukkelijk schriftelijk opdracht is gegeven.

Artikel 7 - Beveiligingsincidenten

  1. Verwerker meldt zonder onredelijke vertraging elk beveiligingsincident of datalek aan Verwerkingsverantwoordelijke zodra hij hiervan kennis neemt.
  2. De melding bevat zoveel mogelijk informatie om Verwerkingsverantwoordelijke in staat te stellen te voldoen aan de meldplicht datalekken onder de AVG, waaronder de aard van het incident, de getroffen gegevens en de getroffen of voorgenomen maatregelen.

Artikel 8 - Verantwoordelijkheden

  1. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor de rechtmatigheid van de verwerking van persoonsgegevens, inclusief het vaststellen van de doeleinden en middelen van de verwerking.
  2. Verwerker is uitsluitend verantwoordelijk voor de uitvoering van de verwerking zoals beschreven in deze Overeenkomst en de Hoofdovereenkomst.
  3. Verwerkingsverantwoordelijke staat ervoor in dat de gegevens die hij via de applicatie verwerkt, rechtmatig zijn verkregen en verwerkt.

Artikel 9 - Beëindiging en verwijdering van gegevens

  1. Na beëindiging van de Hoofdovereenkomst verwijdert of retourneert Verwerker, naar keuze van Verwerkingsverantwoordelijke, alle persoonsgegevens, tenzij wettelijke verplichtingen anders voorschrijven.
  2. Verwerker zal op verzoek schriftelijk bevestigen dat de vernietiging of teruggave volledig is uitgevoerd.

Artikel 10 - Toepasselijk recht en geschillen

  1. Op deze Overeenkomst is Nederlands recht van toepassing.
  2. Geschillen die voortvloeien uit of verband houden met deze Overeenkomst, worden voorgelegd aan de bevoegde rechter te Amsterdam.

Laatst gewijzigd: 24 augustus 2025