Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de dienstverleningsovereenkomst (de "Overeenkomst") tussen de klant (de "Verwerkingsverantwoordelijke") en Luniq (handelsnaam van Homiq BV), optredend als Verwerker.
Deze DPA is opgesteld om te voldoen aan Artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en is van toepassing op alle verwerking van persoonsgegevens die door de Verwerker namens de Verwerkingsverantwoordelijke wordt uitgevoerd in het kader van de diensten onder de Overeenkomst.
1. Definities
- "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon zoals gedefinieerd in Artikel 4(1) AVG.
- "Verwerking" betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals gedefinieerd in Artikel 4(2) AVG.
- "Verwerkingsverantwoordelijke" betekent de natuurlijke of rechtspersoon die het doel en de middelen voor de Verwerking van Persoonsgegevens vaststelt (de klant).
- "Verwerker" betekent de natuurlijke of rechtspersoon die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke (Luniq / Homiq BV).
- "Sub-verwerker" betekent elke derde partij die door de Verwerker wordt ingeschakeld om specifieke verwerkingsactiviteiten namens de Verwerkingsverantwoordelijke uit te voeren.
- "Betrokkene" betekent een geïdentificeerde of identificeerbare natuurlijke persoon wiens Persoonsgegevens worden verwerkt.
- "Datalek" betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Persoonsgegevens.
- "Toezichthoudende Autoriteit" betekent een onafhankelijke overheidsinstantie die door een EU-lidstaat is ingesteld op grond van Artikel 51 AVG. Voor België is dit de Gegevensbeschermingsautoriteit (GBA).
2. Toepassingsgebied en doel
Deze DPA is van toepassing op alle Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in het kader van de diensten onder de Overeenkomst.
De Verwerker verwerkt Persoonsgegevens uitsluitend voor zover dit noodzakelijk is voor de uitvoering van de diensten onder de Overeenkomst en in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
Details van de verwerking
| Onderwerp | Webdesign, webontwikkeling, hosting, onderhoud, AI-ondersteunde contentcreatie en -optimalisatie (Orbit) en gerelateerde digitale diensten zoals beschreven in de Overeenkomst. |
| Duur | Voor de duur van de Overeenkomst, plus eventuele periodes die nodig zijn voor het verwijderen of retourneren van gegevens. |
| Aard en doel | Verwerking van Persoonsgegevens voor zover noodzakelijk om de overeengekomen diensten te leveren, waaronder: websiteontwikkeling en deployment (Launched); AI-ondersteunde contentgeneratie, zoekprestatieanalyse, contentoptimalisatie, hosting en websiteonderhoud (Orbit); analytics-integratie; en e-mailverwerking. |
| Soorten Persoonsgegevens | Namen, e-mailadressen, telefoonnummers, IP-adressen, apparaat-/browsergegevens, gebruiksgegevens, zoekprestatiegegevens (zoekwoorden, impressies, klikken via Google Search Console) en alle andere persoonsgegevens die via formulieren worden ingediend of via de website van de Verwerkingsverantwoordelijke worden verzameld. |
| Categorieën Betrokkenen | Websitebezoekers, eindgebruikers, klanten, werknemers en andere personen wiens gegevens worden ingediend of verzameld via de digitale eigendommen van de Verwerkingsverantwoordelijke. |
3. Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke zal:
- Ervoor zorgen dat de Verwerking van Persoonsgegevens gebaseerd is op een geldige rechtsgrond onder Artikel 6 AVG (en, indien van toepassing, Artikel 9 AVG).
- De Verwerker voorzien van gedocumenteerde instructies met betrekking tot de Verwerking van Persoonsgegevens.
- Ervoor zorgen dat Betrokkenen zijn geïnformeerd over de Verwerking in overeenstemming met Artikelen 13 en 14 AVG.
- Verantwoordelijk zijn voor de juistheid, kwaliteit en rechtmatigheid van de Persoonsgegevens die aan de Verwerker worden verstrekt.
- Verzoeken van Betrokkenen beantwoorden en inwilligen, tenzij schriftelijk anders is overeengekomen.
- De Verwerker onverwijld op de hoogte stellen van wijzigingen in toepasselijke gegevensbeschermingswetgeving die van invloed kunnen zijn op de verplichtingen van de Verwerker onder deze DPA.
4. Verplichtingen van de Verwerker
De Verwerker zal:
- Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgiften van Persoonsgegevens aan een derde land, tenzij hij daartoe verplicht is op grond van Unierecht of lidstatelijk recht (Artikel 28(3)(a) AVG).
- Ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen (Artikel 28(3)(b) AVG).
- Passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, in overeenstemming met Artikel 32 AVG.
- De voorwaarden voor het inschakelen van sub-verwerkers naleven zoals uiteengezet in Sectie 5 van deze DPA en Artikel 28(2) en (4) AVG.
- De Verwerkingsverantwoordelijke bijstaan, rekening houdend met de aard van de Verwerking, door middel van passende technische en organisatorische maatregelen, bij het nakomen van de plicht om te reageren op verzoeken van Betrokkenen (Artikel 28(3)(e) AVG).
- De Verwerkingsverantwoordelijke bijstaan bij het waarborgen van de naleving van Artikelen 32 tot en met 36 AVG (beveiliging, melding van datalekken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging), rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker beschikt.
- Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens wissen of terugbezorgen na afloop van de dienstverlening, en bestaande kopieën wissen, tenzij opslag vereist is op grond van Unierecht of lidstatelijk recht (Artikel 28(3)(g) AVG).
- De Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving van de in Artikel 28 AVG neergelegde verplichtingen aan te tonen, en audits en inspecties mogelijk maken en daaraan bijdragen (Artikel 28(3)(h) AVG).
- De Verwerkingsverantwoordelijke onmiddellijk informeren indien naar zijn mening een instructie in strijd is met de AVG of andere gegevensbeschermingsbepalingen van de Unie of de lidstaten (Artikel 28(3) AVG).
5. Sub-verwerkers
De Verwerkingsverantwoordelijke verleent een algemene schriftelijke toestemming aan de Verwerker om sub-verwerkers in te schakelen, onder de hieronder vermelde voorwaarden.
De Verwerker zal de Verwerkingsverantwoordelijke informeren over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van sub-verwerkers, waardoor de Verwerkingsverantwoordelijke de mogelijkheid krijgt om bezwaar te maken tegen dergelijke wijzigingen. De Verwerkingsverantwoordelijke kan binnen 14 dagen na kennisgeving bezwaar maken. Indien geen bezwaar wordt gemaakt, wordt de wijziging geacht te zijn aanvaard.
De Verwerker zal dezelfde gegevensbeschermingsverplichtingen als uiteengezet in deze DPA opleggen aan elke sub-verwerker door middel van een overeenkomst, in overeenstemming met Artikel 28(4) AVG. De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de sub-verwerker.
Huidige sub-verwerkers
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Google Analytics | Website-analyse en -meting | Verenigde Staten (EU SCC's) |
| Resend | Transactionele en operationele e-mailbezorging | Verenigde Staten (EU SCC's) |
| ClickUp | CRM en projectbeheer | Verenigde Staten (EU SCC's) |
| Notion | Interne documentatie en bedrijfsvoering | Verenigde Staten (EU SCC's) |
| Railway | Hosting-infrastructuur | Verenigde Staten (EU SCC's) |
| Vercel | Frontend hosting en deployment | Verenigde Staten (EU SCC's) |
| Supabase | Database- en backenddiensten | EU (Frankfurt) |
Deze lijst kan van tijd tot tijd worden bijgewerkt. De Verwerkingsverantwoordelijke wordt op de hoogte gesteld van eventuele wijzigingen overeenkomstig de hierboven beschreven procedure.
6. Rechten van betrokkenen
De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij het nakomen van zijn verplichtingen om te reageren op verzoeken van Betrokkenen om hun rechten uit te oefenen onder Hoofdstuk III van de AVG, waaronder het recht op inzage, rectificatie, wissing, beperking, gegevensoverdraagbaarheid en bezwaar.
Indien een Betrokkene rechtstreeks contact opneemt met de Verwerker met een verzoek, zal de Verwerker het verzoek onverwijld doorsturen naar de Verwerkingsverantwoordelijke en niet reageren op de Betrokkene zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij wettelijk vereist.
De Verwerker zal passende technische en organisatorische maatregelen treffen om de Verwerkingsverantwoordelijke bij te staan bij het reageren op dergelijke verzoeken, rekening houdend met de aard van de Verwerking.
7. Beveiligingsmaatregelen
In overeenstemming met Artikel 32 AVG zal de Verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder in voorkomend geval:
- Versleuteling van Persoonsgegevens tijdens overdracht (TLS/SSL) en in rust waar van toepassing.
- Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen.
- Het vermogen om de beschikbaarheid van en de toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident.
- Toegangscontroles die de toegang tot Persoonsgegevens beperken tot geautoriseerd personeel op basis van need-to-know.
- Regelmatige evaluatie en beoordeling van de doeltreffendheid van technische en organisatorische maatregelen ter beveiliging van de Verwerking.
- Veilige ontwikkelingspraktijken, waaronder codebeoordelingen, afhankelijkheidsbeheer en veilige deployment-pipelines.
- Gebruik van actuele software, frameworks en beveiligingspatches.
De Verwerker zal deze maatregelen regelmatig evalueren en waar nodig bijwerken om de voortdurende geschiktheid te waarborgen in het licht van de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de Verwerking.
8. Melding van datalekken
De Verwerker zal de Verwerkingsverantwoordelijke onverwijld op de hoogte stellen nadat hij kennis heeft genomen van een Datalek dat betrekking heeft op Persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt. Deze melding vindt uiterlijk binnen 48 uur plaats.
De melding omvat, voor zover mogelijk:
- Een beschrijving van de aard van het Datalek, met inbegrip van, waar mogelijk, de categorieën en het geschatte aantal Betrokkenen en Persoonsgegevensrecords.
- De naam en contactgegevens van het contactpunt van de Verwerker voor nadere informatie.
- Een beschrijving van de waarschijnlijke gevolgen van het Datalek.
- Een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om het Datalek aan te pakken, met inbegrip van maatregelen om de mogelijke nadelige gevolgen te beperken.
De Verwerker zal samenwerken met de Verwerkingsverantwoordelijke en redelijke stappen ondernemen om te helpen bij het onderzoek, de beperking en het herstel van elk Datalek. De Verwerker zal de Verwerkingsverantwoordelijke ook bijstaan bij het nakomen van zijn verplichtingen onder Artikelen 33 en 34 AVG (melding aan de toezichthoudende autoriteit en communicatie aan betrokkenen).
9. Internationale gegevensoverdracht
De Verwerker zal geen Persoonsgegevens doorgeven aan een land buiten de Europese Economische Ruimte (EER), tenzij passende waarborgen zijn getroffen in overeenstemming met Hoofdstuk V van de AVG.
Wanneer doorgiften naar derde landen noodzakelijk zijn (bijv. naar sub-verwerkers in de Verenigde Staten), zal de Verwerker ervoor zorgen dat een van de volgende doorgifte-mechanismen van toepassing is:
- Een adequaatheidsbesluit van de Europese Commissie (Artikel 45 AVG).
- Standaard contractbepalingen (SCC's) vastgesteld door de Europese Commissie (Artikel 46(2)(c) AVG).
- Bindende bedrijfsvoorschriften (Artikel 47 AVG).
- Andere goedgekeurde waarborgen of afwijkingen op grond van Artikelen 46 of 49 AVG.
Wanneer wordt vertrouwd op Standaard contractbepalingen, zal de Verwerker waar nodig een doorgifte-effectbeoordeling uitvoeren en aanvullende maatregelen treffen om een in wezen gelijkwaardig beschermingsniveau te waarborgen.
10. Auditrechten
De Verwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving van de in Artikel 28 AVG neergelegde verplichtingen aan te tonen.
De Verwerker zal audits, inclusief inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemandateerde auditor mogelijk maken en daaraan bijdragen. De Verwerkingsverantwoordelijke stelt de Verwerker redelijk vooraf (ten minste 14 werkdagen) op de hoogte en zorgt ervoor dat audits tijdens normale kantooruren worden uitgevoerd met minimale verstoring van de bedrijfsvoering van de Verwerker.
De kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit materiële niet-naleving door de Verwerker aan het licht brengt, in welk geval de Verwerker redelijke auditkosten draagt.
De Verwerker kan aan auditverzoeken voldoen door relevante certificeringen, auditrapporten of samenvattingen van onafhankelijke externe auditors ter beschikking te stellen, indien beschikbaar.
11. Duur en beëindiging
Deze DPA blijft van kracht gedurende de looptijd van de Overeenkomst en eindigt automatisch bij het verstrijken of de beëindiging van de Overeenkomst.
Bij beëindiging van deze DPA of de Overeenkomst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle namens de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens wissen of retourneren, en bestaande kopieën wissen, tenzij opslag op grond van Unierecht of lidstatelijk recht vereist is.
De Verwerker zal op verzoek van de Verwerkingsverantwoordelijke schriftelijk bevestigen dat hij de in dit artikel uiteengezette verplichtingen is nagekomen.
Verplichtingen met betrekking tot vertrouwelijkheid, melding van datalekken en andere bepalingen die naar hun aard de beëindiging dienen te overleven, blijven van kracht na beëindiging van deze DPA.
12. Aansprakelijkheid
Elke partij is aansprakelijk voor schade veroorzaakt door Verwerking die inbreuk maakt op de AVG, overeenkomstig Artikel 82 AVG.
De Verwerker is alleen aansprakelijk voor schade veroorzaakt door Verwerking wanneer hij niet heeft voldaan aan verplichtingen van de AVG die specifiek op verwerkers zijn gericht, of wanneer hij buiten of in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke heeft gehandeld.
Eventuele aansprakelijkheidsbeperkingen die in de Overeenkomst zijn overeengekomen, zijn ook van toepassing op deze DPA, voor zover het toepasselijke recht dit toelaat.
13. Toepasselijk recht
Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met het Belgisch recht, zonder rekening te houden met de beginselen van internationaal privaatrecht.
Geschillen die voortvloeien uit of verband houden met deze DPA worden voorgelegd aan de exclusieve bevoegdheid van de rechtbanken van Brugge, België.
Bij tegenstrijdigheid tussen deze DPA en de Overeenkomst prevaleert deze DPA met betrekking tot gegevensbeschermingskwesties.
14. Contact
Voor vragen of verzoeken met betrekking tot deze Verwerkersovereenkomst kunt u contact opnemen met:
Luniq (Homiq BV)Kruisvest 5B, 8000 Brugge, België
BTW: BE1020.314.690
Email: legal@luniq.io
