Verwerkersovereenkomst — flydeal24.nl
Home Prijzen Hoe het werkt Contact
Inloggen
of ga verder met
Google Facebook

Verwerkersovereenkomst

Laatst bijgewerkt: 1 maart 2026

Deze Verwerkersovereenkomst ("DPA") wordt aangegaan door en tussen de gebruiker van de flydeal24.nl vliegticketdeal-alertservice ("Verwerkingsverantwoordelijke", "u" of "uw") en Back Hills Assets LLC, een bedrijf opgericht en geregistreerd in de staat Delaware, Verenigde Staten ("Verwerker", "flydeal24.nl", "wij", "ons" of "onze").

Deze DPA vormt een integraal onderdeel van de Servicevoorwaarden (de "Overeenkomst") tussen de Verwerkingsverantwoordelijke en de Verwerker en regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in verband met de levering van de flydeal24.nl vliegticketdeal-alertservice (de "Dienst").

Deze DPA is bedoeld om naleving te waarborgen van Artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en alle andere toepasselijke gegevensbeschermingswetten, en dient te worden geïnterpreteerd in overeenstemming met de AVG.

Door gebruik te maken van de Dienst stemt de Verwerkingsverantwoordelijke in met de voorwaarden van deze DPA. Als de Verwerkingsverantwoordelijke niet instemt met deze DPA, mag de Verwerkingsverantwoordelijke de Dienst niet gebruiken.

1. Definities

Voor de doeleinden van deze DPA hebben de volgende termen de hieronder uiteengezette betekenissen. Alle termen met een hoofdletter die hierin niet zijn gedefinieerd, hebben de betekenissen die eraan worden gegeven in de AVG of de Overeenkomst.

  • "Verwerkingsverantwoordelijke" betekent de natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, zoals gedefinieerd in Artikel 4(7) van de AVG. In het kader van deze DPA is de Verwerkingsverantwoordelijke de gebruiker van de Dienst.
  • "Verwerker" betekent een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zoals gedefinieerd in Artikel 4(8) van de AVG. In het kader van deze DPA is de Verwerker Back Hills Assets LLC.
  • "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("Betrokkene"), zoals gedefinieerd in Artikel 4(1) van de AVG. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • "Verwerking" betekent een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals gedefinieerd in Artikel 4(2) van de AVG.
  • "Betrokkene" betekent de geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
  • "Sub-verwerker" betekent elke derde partij die door de Verwerker (of door een volgende sub-verwerker) wordt ingeschakeld om persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.
  • "Inbreuk in verband met persoonsgegevens" betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, zoals gedefinieerd in Artikel 4(12) van de AVG.
  • "Toezichthoudende autoriteit" betekent een onafhankelijke overheidsinstantie die door een EU-lidstaat is ingesteld overeenkomstig Artikel 51 van de AVG. De bevoegde toezichthoudende autoriteit wordt bepaald door de EU-lidstaat van de gewone verblijfplaats, de werkplek of de plaats van de vermeende inbreuk van de Betrokkene.
  • "Standaardcontractbepalingen" (SCB's) betekent de contractuele bepalingen die door de Europese Commissie zijn goedgekeurd overeenkomstig Artikel 46(2)(c) van de AVG voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) die niet profiteren van een adequaatheidsbesluit.
  • "EER" betekent de Europese Economische Ruimte, bestaande uit de lidstaten van de Europese Unie plus IJsland, Liechtenstein en Noorwegen.

2. Reikwijdte en doel van de verwerking

2.1 Reikwijdte

Deze DPA is van toepassing op alle verwerking van persoonsgegevens die door de Verwerker namens de Verwerkingsverantwoordelijke wordt uitgevoerd in verband met de levering van de Dienst. De Verwerker verwerkt persoonsgegevens uitsluitend voor zover nodig om zijn verplichtingen uit hoofde van de Overeenkomst na te komen en in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke.

2.2 Doel van de verwerking

De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke voor de volgende specifieke doeleinden:

  • Het aanmaken, onderhouden en beheren van gebruikersaccounts, inclusief authenticatie, beveiliging en accountherstel.
  • Het opslaan en verwerken van reisvoorkeuren (vertrek­luchthavens, bestemmingsvoorkeuren, budgetbereiken, flexibiliteit van reisdata) om gepersonaliseerde vliegticketdeal-meldingen te genereren.
  • Het versturen van meldingen en vliegticketdeal-alerts via e-mail.
  • Verwerking van abonnementsbetalingen en factuurbeheer via geautoriseerde betalingsverwerkers.
  • Het bieden van klantenondersteuning en het beantwoorden van vragen met betrekking tot de Dienst.
  • Het genereren van geanonimiseerde en geaggregeerde analyses om de Dienst te monitoren, te onderhouden en te verbeteren.
  • Het waarborgen van de beveiliging, integriteit en beschikbaarheid van de Dienst en de onderliggende infrastructuur.
  • Het naleven van toepasselijke wettelijke verplichtingen, waaronder fiscale, boekhoudkundige en regelgevende vereisten.

2.3 Duur van de verwerking

De Verwerker verwerkt persoonsgegevens voor de duur van de Overeenkomst, tenzij schriftelijk anders is overeengekomen of vereist door toepasselijk recht. Bij beëindiging van de Overeenkomst zijn de bepalingen van Artikel 13 (Teruggave en verwijdering van gegevens) van toepassing.

3. Categorieën van betrokkenen

De persoonsgegevens die onder deze DPA worden verwerkt, hebben betrekking op de volgende categorieën Betrokkenen:

  • Geregistreerde gebruikers: Natuurlijke personen die een account hebben aangemaakt op het flydeal24.nl-platform, inclusief gebruikers van het Gratis-abonnement, Basic-abonnement, Pro-abonnement en Ultra-abonnement.
  • Websitebezoekers: Natuurlijke personen die de website van flydeal24.nl bezoeken en wier gegevens kunnen worden verzameld via cookies en vergelijkbare technologieën, zoals beschreven in ons Cookiebeleid.
  • Contactpersonen voor klantenondersteuning: Natuurlijke personen die contact opnemen met flydeal24.nl voor ondersteuning, vragen of feedback en wier persoonsgegevens worden verwerkt in verband met die communicatie.

4. Soorten persoonsgegevens

De volgende categorieën persoonsgegevens worden onder deze DPA verwerkt:

  • Identiteitsgegevens: E-mailadres (gebruikt als accountidentificatie).
  • Contactgegevens: E-mailadres.
  • Accountgegevens: Accountidentificatie, gehasht wachtwoord, aanmaakdatum van het account, abonnementstype en accountstatus.
  • Reisvoorkeurgegevens: Voorkeursluchthaven(s) van vertrek, bestemmingsvoorkeuren (regio's, landen of specifieke steden), budgetbereiken, flexibiliteit van reisdata, reisduurvoorkeuren, aangepaste routeconfiguraties (Pro-abonnement).
  • Communicatievoorkeurgegevens: Gekozen meldingskanalen (e-mail), instellingen voor meldingsfrequentie, opt-in-status voor promotionele communicatie.
  • Betalings- en abonnementsgegevens: Abonnementstype, start- en einddatums van het abonnement, facturatiecyclusdatums, transactie-identificatoren, laatste vier cijfers van de betaalkaart, kaartmerk, vervaldatum van de kaart, factuurland. Volledige betaalkaartgegevens worden uitsluitend door Stripe verwerkt en worden niet door de Verwerker opgeslagen.
  • Gebruiksgegevens: Bezochte pagina's, gebruikte functies, bekeken en geïnteracteerde deals, geopende en aangeklikte meldingen, sessieduur en interactietijdstempels.
  • Technische gegevens: IP-adres, browsertype en -versie, besturingssysteem, apparaattype, schermresolutie, taalinstellingen van het apparaat en unieke apparaatidentificatoren.
  • Ondersteuningsgegevens: Inhoud van ondersteuningsverzoeken, correspondentie en feedback verstrekt door de Betrokkene.

De Verwerker verwerkt geen bijzondere categorieën van persoonsgegevens (zoals gedefinieerd in Artikel 9 van de AVG) of persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (zoals gedefinieerd in Artikel 10 van de AVG) onder deze DPA.

5. Verplichtingen van de Verwerker

De Verwerker zal:

5.1 Verwerkingsinstructies

  • Persoonsgegevens uitsluitend verwerken op basis van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij dit wordt vereist door het Unierecht of het lidstatelijke recht dat op de Verwerker van toepassing is. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift, tenzij die wetgeving dergelijke kennisgeving verbiedt om gewichtige redenen van algemeen belang.
  • De Verwerkingsverantwoordelijke onmiddellijk informeren indien, naar het oordeel van de Verwerker, een instructie in strijd is met de AVG of andere gegevensbeschermingsbepalingen van de Unie of lidstaten.

5.2 Vertrouwelijkheid

  • Ervoor zorgen dat alle personen die gemachtigd zijn om persoonsgegevens te verwerken zich tot geheimhouding hebben verbonden of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
  • De toegang tot persoonsgegevens beperken tot die werknemers, opdrachtnemers en agenten die toegang nodig hebben om hun taken in verband met de Dienst uit te voeren en die zijn opgeleid inzake gegevensbeschermingsverplichtingen.

5.3 Beveiliging

  • Passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, overeenkomstig Artikel 32 van de AVG, zoals nader beschreven in Artikel 8 (Gegevensbeveiligingsmaatregelen) van deze DPA.

5.4 Sub-verwerking

  • Geen andere verwerker (sub-verwerker) in te schakelen zonder de voorafgaande algemene of specifieke schriftelijke toestemming van de Verwerkingsverantwoordelijke, zoals nader beschreven in Artikel 7 (Sub-verwerkers) van deze DPA.

5.5 Ondersteuning van de Verwerkingsverantwoordelijke

  • De Verwerkingsverantwoordelijke bijstaan door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, rekening houdend met de aard van de verwerking, bij de nakoming van de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene uit hoofde van Hoofdstuk III van de AVG (recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar).
  • De Verwerkingsverantwoordelijke bijstaan bij de naleving van de verplichtingen op grond van de Artikelen 32 tot en met 36 van de AVG (beveiliging van de verwerking, melding van inbreuken in verband met persoonsgegevens, mededeling van inbreuken aan betrokkenen en gegevensbeschermingseffectbeoordelingen), rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.

5.6 Aantonen van naleving

  • Alle informatie die nodig is om de naleving van de verplichtingen uit Artikel 28 van de AVG en deze DPA aan te tonen ter beschikking stellen van de Verwerkingsverantwoordelijke, en audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke aangewezen auditor mogelijk maken en hieraan bijdragen, zoals nader beschreven in Artikel 10 (Audits en inspecties) van deze DPA.

6. Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke zal:

  • Ervoor zorgen dat er een rechtmatige grondslag is voor de verwerking van persoonsgegevens en dat alle benodigde toestemmingen, autorisaties en kennisgevingen zijn verkregen of verstrekt in overeenstemming met de toepasselijke gegevensbeschermingswetten.
  • De Verwerker voorzien van gedocumenteerde instructies met betrekking tot de verwerking van persoonsgegevens en de Verwerker onverwijld informeren over eventuele wijzigingen in deze instructies.
  • Ervoor zorgen dat de aan de Verwerker verstrekte persoonsgegevens juist, volledig en actueel zijn.
  • Voldoen aan zijn verplichtingen als Verwerkingsverantwoordelijke op grond van de AVG en toepasselijke gegevensbeschermingswetten.
  • De Verwerker onverwijld op de hoogte stellen van elk verzoek van een Betrokkene dat rechtstreeks betrekking heeft op de verwerkingsactiviteiten van de Verwerker.

7. Sub-verwerkers

7.1 Algemene autorisatie

De Verwerkingsverantwoordelijke verleent hierbij een algemene schriftelijke toestemming aan de Verwerker om sub-verwerkers in te schakelen voor de verwerking van persoonsgegevens op grond van deze DPA, onder voorbehoud van de voorwaarden uiteengezet in dit Artikel 7.

7.2 Huidige sub-verwerkers

De volgende sub-verwerkers worden momenteel ingeschakeld door de Verwerker:

  • Amazon Web Services, Inc. (AWS)
    Doel: Cloudinfrastructuur, hosting, gegevensopslag en computingdiensten.
    Verwerkte gegevens: Alle categorieën persoonsgegevens zoals vermeld in Artikel 4, opgeslagen en verwerkt op AWS-infrastructuur.
    Locatie: Europese Unie (EU-West regio, voornamelijk Ierland).
    Waarborgen: AWS AVG Gegevensverwerkingsaddendum; ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 certificeringen.
  • Stripe, Inc.
    Doel: Betalingsverwerking voor abonnementsfacturering (Basic-, Pro- en Ultra-abonnementen).
    Verwerkte gegevens: Betaalkaartgegevens (rechtstreeks verwerkt door Stripe), factuurgegevens, transactie-identificatoren, abonnementsmetadata.
    Locatie: Europese Unie en Verenigde Staten.
    Waarborgen: Stripe Gegevensverwerkingsovereenkomst; PCI DSS Level 1 certificering; EU-VS Data Privacy Framework; Standaardcontractbepalingen.
  • Postmark (ActiveCampaign, LLC)
    Doel: Verzending van transactionele en notificatie-e-mails, inclusief vluchtaanbiedingswaarschuwingen en servicegerelateerde e-mails.
    Verwerkte gegevens: E-mailadres, naam, e-mailinhoud (details van aanbiedingswaarschuwingen), leverings- en betrokkenheidsmetadata.
    Locatie: Verenigde Staten, met gegevensverwerkingsverplichtingen voor EU-gegevens.
    Waarborgen: Gegevensverwerkingsovereenkomst; Standaardcontractbepalingen; SOC 2 Type II certificering.

7.3 Kennisgeving van wijzigingen

De Verwerker zal de Verwerkingsverantwoordelijke schriftelijk (inclusief per e-mail) informeren over beoogde wijzigingen in de lijst van sub-verwerkers, waaronder het toevoegen of vervangen van sub-verwerkers, ten minste 14 kalenderdagen voordat de wijziging van kracht wordt. De kennisgeving omvat de naam van de sub-verwerker, de aard van de verwerking en de locatie van de gegevensverwerking.

7.4 Recht van bezwaar

De Verwerkingsverantwoordelijke kan bezwaar maken tegen het inschakelen van een nieuwe of vervangende sub-verwerker door de Verwerker schriftelijk op de hoogte te stellen binnen 14 kalenderdagen na ontvangst van de in Artikel 7.3 beschreven kennisgeving. Het bezwaar moet gebaseerd zijn op redelijke gronden met betrekking tot gegevensbescherming. Indien de Verwerkingsverantwoordelijke bezwaar maakt:

  • De Verwerker zal redelijke inspanningen leveren om de Verwerkingsverantwoordelijke een alternatieve oplossing te bieden die het gebruik van de betwiste sub-verwerker vermijdt.
  • Indien geen redelijk alternatief beschikbaar is en de Verwerker redelijkerwijs vaststelt dat de sub-verwerker noodzakelijk is voor de levering van de Dienst, kan elke partij de Overeenkomst beëindigen met een schriftelijke opzegtermijn van 30 dagen.

7.5 Verplichtingen van sub-verwerkers

Wanneer de Verwerker een sub-verwerker inschakelt, zal de Verwerker:

  • Adequate due diligence uitvoeren om ervoor te zorgen dat de sub-verwerker in staat is het niveau van gegevensbescherming te bieden dat vereist is door deze DPA en de AVG.
  • De sub-verwerker, door middel van een schriftelijk contract, dezelfde gegevensbeschermingsverplichtingen opleggen als uiteengezet in deze DPA, met name het bieden van voldoende waarborgen voor de implementatie van passende technische en organisatorische maatregelen.
  • Volledig aansprakelijk blijven jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de sub-verwerker uit hoofde van de sub-verwerkingsovereenkomst.

8. Gegevensbeveiligingsmaatregelen

De Verwerker zal de volgende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven, overeenkomstig Artikel 32 van de AVG, om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang:

8.1 Technische maatregelen

  • Versleuteling tijdens overdracht: Alle gegevens die tussen gebruikers en de Dienst worden verzonden, worden versleuteld met Transport Layer Security (TLS) 1.3.
  • Versleuteling in rust: Alle persoonsgegevens die op servers en in databases zijn opgeslagen, zijn in rust versleuteld met AES-256-versleuteling.
  • Wachtwoord-hashing: Gebruikerswachtwoorden worden opgeslagen met bcrypt cryptografische hashing met een hoge kostenfactor, waardoor wachtwoorden niet in platte tekst kunnen worden hersteld.
  • Firewall en netwerkbeveiliging: Productiesystemen worden beschermd door firewalls en netwerksegmentatie. Toegang tot interne netwerken is beperkt tot geautoriseerd personeel via VPN met multi-factor authenticatie.
  • Inbraakdetectie en monitoring: Continue monitoring- en inbraakdetectiesystemen zijn geïmplementeerd om potentiële beveiligingsbedreigingen in realtime te identificeren en erop te reageren.
  • Kwetsbaarheidsbeheer: Regelmatig worden kwetsbaarheidsscans en penetratietests uitgevoerd. Beveiligingspatches worden onmiddellijk op alle systemen en software toegepast.
  • Geautomatiseerde back-ups: Geautomatiseerde, versleutelde back-ups worden regelmatig uitgevoerd. Back-ups worden redundant opgeslagen binnen de EU en periodiek getest om te garanderen dat gegevens kunnen worden hersteld.
  • Logging en audit trails: Toegang tot persoonsgegevens wordt gelogd en audit trails worden bijgehouden om ongeoorloofde toegang of afwijkende activiteiten te detecteren.
  • Veilige ontwikkeling: De Dienst wordt ontwikkeld volgens veilige softwareontwikkelingspraktijken, waaronder code reviews, statische analyse, afhankelijkheidsscanning en beveiligingstests.

8.2 Organisatorische maatregelen

  • Toegangscontroles: Op rollen gebaseerde toegangscontrole (RBAC) is geïmplementeerd volgens het principe van minimale rechten. Toegang tot persoonsgegevens wordt alleen verleend aan personeel dat deze nodig heeft voor hun aangewezen functies.
  • Vertrouwelijkheidsovereenkomsten: Alle medewerkers en contractors met toegang tot persoonsgegevens zijn gebonden aan schriftelijke vertrouwelijkheidsverplichtingen.
  • Opleidingen gegevensbescherming: Personeel dat betrokken is bij de verwerking van persoonsgegevens ontvangt regelmatig training over gegevensbeschermingsprincipes, de AVG en het interne gegevensbeschermingsbeleid van de Verwerker.
  • Incidentresponsplan: Een gedocumenteerd incidentresponsplan wordt onderhouden en getest om een snelle en effectieve reactie op inbreuken op persoonsgegevens en andere beveiligingsincidenten te waarborgen.
  • Bedrijfscontinuïteit en noodherstel: Bedrijfscontinuïteits- en noodherstelplannen worden onderhouden en periodiek getest om de beschikbaarheid en veerkracht van verwerkingssystemen te waarborgen.
  • Leveranciersrisicobeheer: Sub-verwerkers zijn onderworpen aan due diligence-beoordelingen en doorlopende monitoring om ervoor te zorgen dat zij adequate normen voor gegevensbescherming en beveiliging handhaven.

9. Melding van datalekken

9.1 Melding aan de Verwerkingsverantwoordelijke

In het geval van een Inbreuk in Verband met Persoonsgegevens zal de Verwerker de Verwerkingsverantwoordelijke onverwijld en in elk geval uiterlijk 48 uur na kennisname van de inbreuk op de hoogte stellen. De melding wordt per e-mail verzonden naar het geregistreerde e-mailadres van de Verwerkingsverantwoordelijke en omvat:

  • Een beschrijving van de aard van de Inbreuk, waaronder, indien mogelijk, de categorieën en het geschatte aantal betrokken Betrokkenen en de categorieën en het geschatte aantal betrokken persoonsgegevensrecords.
  • De naam en contactgegevens van het aanspreekpunt voor gegevensbescherming van de Verwerker bij wie meer informatie kan worden verkregen.
  • Een beschrijving van de waarschijnlijke gevolgen van de Inbreuk.
  • Een beschrijving van de maatregelen die de Verwerker heeft genomen of voorstelt te nemen om de Inbreuk aan te pakken, waaronder, indien van toepassing, maatregelen om de mogelijke nadelige gevolgen te beperken.

9.2 Voortdurende samenwerking

Wanneer het niet mogelijk is alle informatie gelijktijdig te verstrekken, zal de Verwerker de informatie in fasen verstrekken zonder verdere onnodige vertraging. De Verwerker zal:

  • Samenwerken met de Verwerkingsverantwoordelijke en alle redelijke stappen ondernemen om bij te dragen aan het onderzoek, de beperking en het herstel van de inbreuk.
  • Onmiddellijke stappen ondernemen om de inbreuk in te perken en de impact te minimaliseren.
  • Bewijs met betrekking tot de inbreuk bewaren voor forensisch onderzoek.
  • De Verwerkingsverantwoordelijke bijstaan bij de nakoming van diens meldingsverplichtingen aan de Toezichthoudende Autoriteit op grond van Artikel 33 van de AVG en aan Betrokkenen op grond van Artikel 34 van de AVG, indien van toepassing.
  • Geen openbare verklaringen of mededelingen over de inbreuk doen zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij dit wettelijk vereist is.

9.3 Administratie

De Verwerker houdt een register bij van alle Inbreuken, inclusief de feiten met betrekking tot de inbreuk, de gevolgen ervan en de genomen corrigerende maatregelen, overeenkomstig Artikel 33, lid 5, van de AVG.

10. Verzoeken van Betrokkenen

10.1 Bijstand

De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij de nakoming van diens verplichting om te reageren op verzoeken van Betrokkenen tot uitoefening van hun rechten op grond van Hoofdstuk III van de AVG, waaronder het recht op inzage, rectificatie, wissing, beperking van verwerking, overdraagbaarheid en bezwaar.

10.2 Kennisgeving

Indien de Verwerker een verzoek ontvangt van een Betrokkene met betrekking tot persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt, zal de Verwerker de Verwerkingsverantwoordelijke onverwijld (en in elk geval binnen 5 werkdagen) op de hoogte stellen en niet rechtstreeks op het verzoek reageren, tenzij geautoriseerd door de Verwerkingsverantwoordelijke of wettelijk verplicht.

10.3 Technische maatregelen

De Verwerker zal passende technische en organisatorische maatregelen implementeren om de Verwerkingsverantwoordelijke in staat te stellen efficiënt te reageren op verzoeken van Betrokkenen, waaronder de mogelijkheid om persoonsgegevens te zoeken, op te halen, te exporteren, te corrigeren en te verwijderen op instructie van de Verwerkingsverantwoordelijke.

11. Audits en Inspecties

11.1 Recht op audit

De Verwerker stelt alle informatie ter beschikking aan de Verwerkingsverantwoordelijke die nodig is om naleving van de verplichtingen uit Artikel 28 van de AVG en deze DPA aan te tonen, en staat audits, inclusief inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke aangewezen onafhankelijke auditor toe en werkt daaraan mee.

11.2 Auditprocedures

Audits worden uitgevoerd onder de volgende voorwaarden:

  • De Verwerkingsverantwoordelijke stelt de Verwerker ten minste 30 kalenderdagen van tevoren schriftelijk op de hoogte van elke voorgenomen audit.
  • Audits worden uitgevoerd tijdens normale kantooruren en op een wijze die verstoring van de activiteiten van de Verwerker minimaliseert.
  • De Verwerkingsverantwoordelijke (of diens auditor) zal voldoen aan de redelijke beveiligings- en vertrouwelijkheidseisen van de Verwerker.
  • Audits worden beperkt tot maximaal één per kalenderjaar, tenzij er redelijke gronden zijn om een materiële schending van deze DPA of de AVG te vermoeden, of als een audit wordt vereist door een Toezichthoudende Autoriteit.
  • De Verwerkingsverantwoordelijke draagt de kosten van de audit, tenzij de audit een materiële niet-naleving door de Verwerker aan het licht brengt, in welk geval de Verwerker de redelijke kosten draagt.

11.3 Certificeringen en Rapporten

In plaats van een audit ter plaatse kan de Verwerker, naar eigen goeddunken, de Verwerkingsverantwoordelijke relevante auditrapporten van derden, certificeringen (zoals ISO 27001 of SOC 2) of andere documentatie verstrekken die naleving van de gegevensbeschermingsvereisten van deze DPA aantoont.

12. Internationale gegevensoverdrachten

12.1 Algemeen beginsel

De Verwerker zal persoonsgegevens primair opslaan en verwerken binnen de Europese Economische Ruimte (EER). De Verwerker zal persoonsgegevens niet overdragen aan een land buiten de EER of aan een internationale organisatie, tenzij passende waarborgen zijn geïmplementeerd overeenkomstig Hoofdstuk V van de AVG.

12.2 Overdrachtsmechanismen

Wanneer persoonsgegevens buiten de EER worden doorgegeven (bijvoorbeeld aan sub-verwerkers in de Verenigde Staten), zal de Verwerker ervoor zorgen dat een of meer van de volgende waarborgen van kracht zijn:

  • Adequaatheidsbesluit: De Europese Commissie heeft vastgesteld dat het derde land of de internationale organisatie een passend beschermingsniveau biedt overeenkomstig Artikel 45 van de AVG.
  • Standaardcontractbepalingen: De overdracht is onderworpen aan de Standaardcontractbepalingen die zijn vastgesteld door de Europese Commissie overeenkomstig Artikel 46, lid 2, onder c), van de AVG, in de meest recente versie.
  • EU-VS-gegevensbeschermingskader: Waar van toepassing heeft de ontvanger zijn deelname aan het EU-VS-gegevensbeschermingskader gecertificeerd, dat door de Europese Commissie is erkend als een adequaat beschermingsniveau biedend.
  • Aanvullende maatregelen: Waar vereist door de beoordeling van het beschermingsniveau in het ontvangende land, zal de Verwerker aanvullende technische maatregelen (zoals versleuteling en pseudonimisering) en organisatorische maatregelen implementeren om ervoor te zorgen dat de overgedragen gegevens een beschermingsniveau ontvangen dat in essentie gelijkwaardig is aan dat binnen de EER.

12.3 Overdrachtsimpactbeoordeling

De Verwerker zal voor elke internationale overdracht een overdrachtsimpactbeoordeling uitvoeren en documenteren, waarbij de wetten en praktijken van het ontvangende land worden beoordeeld om te bepalen of aanvullende maatregelen nodig zijn om een in essentie gelijkwaardig niveau van gegevensbescherming te waarborgen.

13. Duur en Beëindiging

13.1 Duur

Deze DPA treedt in werking bij aanvaarding van de Overeenkomst door de Verwerkingsverantwoordelijke en blijft van kracht gedurende de periode dat de Verwerker persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

13.2 Voortbestaan

De verplichtingen van de Verwerker onder deze DPA blijven na beëindiging van de Overeenkomst van kracht voor zover nodig om de teruggave of verwijdering van persoonsgegevens te voltooien en om te voldoen aan toepasselijk recht.

14. Teruggave en Verwijdering van Gegevens

14.1 Keuze van de Verwerkingsverantwoordelijke

Na beëindiging van de Overeenkomst of op schriftelijk verzoek van de Verwerkingsverantwoordelijke zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:

  • Alle persoonsgegevens teruggeven aan de Verwerkingsverantwoordelijke in een gestructureerd, gangbaar en machineleesbaar formaat (zoals JSON of CSV); of
  • Alle persoonsgegevens en alle bestaande kopieën verwijderen, tenzij het Unierecht of het recht van de lidstaten bewaring van de persoonsgegevens vereist.

14.2 Termijn

De Verwerker voltooit de teruggave of verwijdering van persoonsgegevens binnen 30 kalenderdagen na ontvangst van de instructie van de Verwerkingsverantwoordelijke of, bij het ontbreken van specifieke instructies, binnen 30 kalenderdagen na beëindiging van de Overeenkomst.

14.3 Certificering van Verwijdering

Na voltooiing van de verwijdering zal de Verwerker de Verwerkingsverantwoordelijke een schriftelijke certificering verstrekken dat alle persoonsgegevens veilig zijn verwijderd, inclusief uit back-ups en gearchiveerde systemen, behalve waar bewaring wettelijk vereist is. Waar wettelijke bewaarverplichtingen gelden, zal de Verwerker de Verwerkingsverantwoordelijke informeren over de specifieke bewaarde gegevens, de rechtsgrondslag voor bewaring en de verwachte bewaartermijn.

14.4 Verwijdering van back-ups

Persoonsgegevens in routinematige back-upsystemen worden verwijderd overeenkomstig het standaard back-uprotatieschema van de Verwerker, dat niet langer dan 90 kalenderdagen zal duren. Gedurende de bewaartermijn blijven dergelijke back-upgegevens beschermd overeenkomstig deze DPA en worden niet actief verwerkt.

15. Aansprakelijkheid

15.1 Aansprakelijkheid van de Verwerker

De Verwerker is aansprakelijk voor schade veroorzaakt door verwerking die niet voldoet aan de specifiek aan verwerkers gerichte verplichtingen van de AVG, of wanneer de Verwerker buiten of in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke heeft gehandeld, overeenkomstig Artikel 82 van de AVG.

15.2 Beperking

De aansprakelijkheidsbepalingen van deze DPA zijn onderworpen aan de beperkingen uiteengezet in de Overeenkomst, behalve voor zover het toepasselijke recht (waaronder de AVG) een dergelijke beperking niet toestaat.

15.3 Schadeloosstelling

Elke partij vrijwaart de andere partij tegen alle kosten, vorderingen, schade of uitgaven die door de andere partij zijn gemaakt of waarvoor de andere partij aansprakelijk kan worden als gevolg van het niet-nakomen door de eerste partij of haar werknemers, agenten of sub-verwerkers van enige verplichting uit deze DPA of de AVG.

16. Wijzigingen

Deze DPA kan van tijd tot tijd door de Verwerker worden gewijzigd om veranderingen in gegevensverwerkingspraktijken, sub-verwerkers, wettelijke vereisten of beveiligingsmaatregelen weer te geven. De Verwerker stelt de Verwerkingsverantwoordelijke ten minste 30 kalenderdagen voor inwerkingtreding op de hoogte van materiële wijzigingen. Als de Verwerkingsverantwoordelijke niet instemt met de wijzigingen, kan de Verwerkingsverantwoordelijke de Overeenkomst beëindigen overeenkomstig de voorwaarden ervan. Het voortgezette gebruik van de Dienst door de Verwerkingsverantwoordelijke na de ingangsdatum van de wijzigingen geldt als aanvaarding van de herziene DPA.

17. Verhouding tot de Overeenkomst

In geval van een conflict of inconsistentie tussen de bepalingen van deze DPA en de Overeenkomst, prevaleren de bepalingen van deze DPA met betrekking tot gegevensbescherming. In alle andere opzichten blijven de voorwaarden van de Overeenkomst van toepassing.

18. Toepasselijk recht

Deze DPA wordt beheerst door en uitgelegd overeenkomstig het recht van de staat Delaware, Verenigde Staten, zonder inachtneming van de beginselen van het conflictenrecht, en onder voorbehoud van de dwingende bepalingen van de AVG en andere toepasselijke EU-wetgeving inzake gegevensbescherming. Geschillen die voortvloeien uit of verband houden met deze DPA vallen onder de exclusieve bevoegdheid van de bevoegde rechtbanken van Delaware, Verenigde Staten, onder voorbehoud van dwingende consumentenbeschermingsbepalingen krachtens EU-recht.

19. Contact

Voor vragen, verzoeken of mededelingen over deze Gegevensverwerkingsovereenkomst kunt u contact opnemen met:

U kunt ook contact opnemen met uw lokale Gegevensbeschermingsautoriteit voor eventuele zorgen over gegevensbescherming. U vindt uw lokale autoriteit op de website van het Europees Comité voor gegevensbescherming.