Bolbaas Logo
Terug naar home

02Verwerkersovereenkomst

Dit is de verwerkersovereenkomst (Data Processing Agreement) tussen jou als verwerkingsverantwoordelijke en Bolbaas als verwerker. Zij vult onze algemene voorwaarden aan en gaat voor waar nodig.

1. Partijen

1. Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon die persoonsgegevens via Bolbaas laat verwerken in het kader van de geleverde diensten.

2. Verwerker: Bolbaas, KvK 89112393, BTW NL004693041B93, bereikbaar via info@bolbaas.nl en +31 6 13665348.

2. Onderwerp, aard, doel en duur

Verwerker verwerkt in opdracht en op schriftelijke (waaronder elektronische) instructies van verwerkingsverantwoordelijke persoonsgegevens die noodzakelijk zijn voor het leveren van de overeengekomen diensten. De verwerking vangt aan na akkoord op deze overeenkomst en duurt zolang de diensten worden afgenomen.

Verwerker gebruikt persoonsgegevens uitsluitend voor het leveren van de dienst en niet voor eigen (product)analyses, marketing, advertenties, verkoop aan derden of modeltraining. Wij verkopen jouw data nooit.

3. Soorten persoonsgegevens en betrokkenen

Het kan gaan om identificatie- en contactgegevens, bestel- en transactiedata, en andere gegevens die door verwerkingsverantwoordelijke of diens gebruikers worden ingevoerd. Betrokkenen kunnen onder meer klanten, leveranciers en medewerkers van verwerkingsverantwoordelijke zijn.

4. Verplichtingen verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke staat in voor een geldige rechtsgrond voor de verwerking, correcte en actuele persoonsgegevens, en het verstrekken van passende en rechtmatige instructies aan verwerker.

5. Verplichtingen verwerker

  • Verwerkt uitsluitend op gedocumenteerde instructies van verwerkingsverantwoordelijke en uitsluitend voor de overeengekomen doeleinden.
  • Gebruikt persoonsgegevens niet voor eigen doeleinden; geen verkoop van data; geen gebruik voor marketing, advertentieprofilering of productbrede analyses.
  • Waarborgt passende technische en organisatorische maatregelen (o.a. TLS/SSL in transit, encryptie at rest, least-privilege-toegang, MFA, logging/monitoring, back-ups).
  • Waarborgt geheimhouding door personeel en hulppersonen en zorgt voor passende autorisaties en instructies.
  • Assisteert verwerkingsverantwoordelijke, waar mogelijk, bij verzoeken van betrokkenen, DPIA’s en contacten met de AP.

6. Locatie, doorgifte en subverwerkers

  • Verwerking vindt primair plaats binnen de Europese Economische Ruimte. Indien doorgifte buiten de EER noodzakelijk is, treft verwerker passende waarborgen (waaronder EU-standaardcontractbepalingen) en informeert verwerkingsverantwoordelijke.
  • Verwerker mag subverwerkers inschakelen indien zij minimaal gelijkwaardige verplichtingen krijgen opgelegd. Een actueel overzicht is op verzoek beschikbaar. Verwerker zal verwerkingsverantwoordelijke vooraf informeren over wijzigingen in subverwerkers; verwerkingsverantwoordelijke kan binnen 30 dagen gemotiveerd bezwaar maken. Bij onopgelost bezwaar mag verwerkingsverantwoordelijke de overeenkomst beëindigen voor de betreffende dienst.

7. Beveiliging en datalekken

Verwerker onderhoudt een passend informatiebeveiligingsniveau dat rekening houdt met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking. Verwerker meldt zonder onredelijke vertraging en in ieder geval zo spoedig mogelijk (streeftermijn: binnen 48 uur) elke inbreuk in verband met persoonsgegevens aan verwerkingsverantwoordelijke, met relevante informatie voor beoordeling en eventuele melding aan de toezichthouder en betrokkenen.

8. Rechten van betrokkenen

Verwerker zal verwerkingsverantwoordelijke, waar mogelijk, bijstaan in het vervullen van diens plichten bij verzoeken betreffende inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar.

9. Audit en informatie

Verwerker stelt alle informatie ter beschikking die nodig is om naleving van deze overeenkomst aan te tonen en staat audits toe door verwerkingsverantwoordelijke of een door deze gemachtigde auditor, eens per 12 maanden of vaker indien objectief noodzakelijk (bijv. na een datalek), binnen redelijke grenzen en met inachtneming van vertrouwelijkheid. Kosten zijn voor de partij die ze maakt, tenzij non-conformiteit wordt vastgesteld.

10. Einde van de overeenkomst

Na beëindiging van de dienstverlening of op eerste verzoek van verwerkingsverantwoordelijke verwijdert of retourneert verwerker alle persoonsgegevens binnen 24 uur, tenzij opslag verplicht is op grond van Unierecht of lidstatelijk recht. Eventuele back-ups worden in de reguliere rotatie automatisch overschreven en daarmee onomkeerbaar verwijderd binnen de gebruikelijke retentietermijn. Op verzoek verstrekt verwerker een verwijderbevestiging. Wij verstaan onder beëindiging van de dienstverlening de verwijdering van het account van de gebruiker. Verwijdering gebeurt op verzoek van de eigenaar van het account, en wordt binnen 24 uur gehonoreerd.

11. Geheimhouding en non-disclosure

Verwerker en haar medewerkers houden alle persoonsgegevens en daarmee samenhangende informatie strikt vertrouwelijk en delen deze niet met derden, behalve subverwerkers onder dezelfde verplichtingen of wanneer dit wettelijk verplicht is.

12. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

Privacybelofte: we verkopen je data nooit, we gebruiken je data niet voor marketing of advertentieprofilering en we verwerken uitsluitend wat noodzakelijk is om de dienst te leveren. Vragen? Neem contact op via info@bolbaas.nl.