Verwerkersovereenkomst

Verwerkersovereenkomst voor webhostingklanten

Laatst bijgewerkt: 19 november 2025

Deze Verwerkersovereenkomst ("Overeenkomst") maakt deel uit van de dienstverleningsovereenkomst tussen Grabs Software ("Verwerker") en de klant ("Verwantwoordelijke") voor webhostingdiensten. Deze overeenkomst waarborgt naleving van de Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse wetgeving inzake gegevensbescherming.

1. Definities

  • "Verwantwoordelijke": De klant die het doel en de middelen van de verwerking van persoonsgegevens bepaalt
  • "Verwerker": Grabs Software, die persoonsgegevens verwerkt namens de Verwantwoordelijke
  • "Persoonsgegevens": Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
  • "Verwerking": Elke bewerking die wordt uitgevoerd met persoonsgegevens, inclusief verzameling, opslag en overdracht
  • "AVG": Algemene Verordening Gegevensbescherming (EU) 2016/679
  • "Betrokkene": Een persoon wiens persoonsgegevens worden verwerkt

2. Reikwijdte en Doel

Deze Overeenkomst is van toepassing op de verwerking van persoonsgegevens door de Verwerker namens de Verwantwoordelijke via webhostingdiensten. De Verwerker verwerkt persoonsgegevens alleen:

  • Met het doel webhostingdiensten te leveren
  • In overeenstemming met gedocumenteerde instructies van de Verwantwoordelijke
  • Om te voldoen aan toepasselijke wettelijke verplichtingen

3. Aard en Doel van de Verwerking

De Verwerker zal persoonsgegevens verwerken voor de volgende doeleinden:

  • Hosten en opslaan van website-inhoud en databases
  • Waarborgen van technische functionaliteit en prestaties
  • Bieden van technische ondersteuning en onderhoud
  • Maken en onderhouden van back-ups
  • Monitoren van beveiliging en voorkomen van ongeautoriseerde toegang

4. Soorten Persoonsgegevens

De Verwerker kan de volgende categorieën persoonsgegevens verwerken:

  • Website-bezoekersgegevens (IP-adressen, browserinformatie)
  • Gebruikersaccountinformatie (namen, e-mailadressen, inloggegevens)
  • Inhoud ingediend via formulieren of gebruikersinterfaces
  • Transactiegegevens en communicatierecords
  • Alle andere gegevens geüpload door de Verwantwoordelijke naar de hostingomgeving

De specifieke verwerkte gegevens zijn afhankelijk van de functionaliteit en inhoud van de website van de Verwantwoordelijke.

5. Categorieën van Betrokkenen

  • Website-bezoekers en gebruikers
  • Klanten van de Verwantwoordelijke
  • Werknemers en aannemers van de Verwantwoordelijke
  • Alle andere personen wiens gegevens worden verwerkt via de gehoste website

6. Verplichtingen Verwerker

De Verwerker zal:

  • Persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Verwantwoordelijke
  • Ervoor zorgen dat personen die gegevens verwerken zich tot vertrouwelijkheid hebben verplicht
  • Passende technische en organisatorische beveiligingsmaatregelen implementeren
  • Subverwerkers alleen inschakelen met voorafgaande schriftelijke toestemming van de Verwantwoordelijke
  • De Verwantwoordelijke bijstaan bij het reageren op verzoeken van betrokkenen
  • De Verwantwoordelijke bijstaan bij het naleven van AVG-verplichtingen
  • Alle persoonsgegevens verwijderen of retourneren bij beëindiging van diensten
  • Alle informatie beschikbaar stellen die nodig is om naleving aan te tonen
  • De Verwantwoordelijke onverwijld op de hoogte stellen van inbreuken op persoonsgegevens

7. Beveiligingsmaatregelen

De Verwerker implementeert de volgende beveiligingsmaatregelen:

Technische Maatregelen

  • SSL/TLS-versleuteling voor gegevensoverdracht
  • Beveiligde serverinfrastructuur met firewallbescherming
  • Regelmatige beveiligingsupdates en patches
  • Toegangscontroles en authenticatiemechanismen
  • Versleutelde back-ups veilig opgeslagen
  • Monitoring en logging van systeemtoegang

Organisatorische Maatregelen

  • Beleid en procedures voor gegevensbescherming
  • Geheimhoudingsovereenkomsten met werknemers
  • Regelmatige beveiligingsbeoordelingen en audits
  • Procedures voor incidentrespons
  • Beleid voor gegevensminimalisatie en -bewaring
  • Procedures voor veilige gegevensverwijdering

8. Subverwerkers

De Verwantwoordelijke verleent algemene toestemming aan de Verwerker om subverwerkers in te schakelen. Huidige subverwerkers zijn:

  • Back-upopslagproviders
  • Technische ondersteuningsserviceproviders (indien van toepassing)

De Verwerker zal de Verwantwoordelijke informeren over voorgenomen wijzigingen met betrekking tot toevoeging of vervanging van subverwerkers, waardoor de Verwantwoordelijke de mogelijkheid krijgt bezwaar te maken tegen dergelijke wijzigingen.

9. Gegevenslocatie en Overdrachten

Alle persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Unie (Nederland).

De Verwerker zal geen persoonsgegevens buiten de EU/EER overdragen zonder:

  • Voorafgaande schriftelijke toestemming van de Verwantwoordelijke
  • Passende waarborgen (Standaard Contractbepalingen of adequaatheidsbesluit)
  • Naleving van AVG Hoofdstuk V-vereisten

10. Rechten van Betrokkenen

De Verwerker zal, voor zover mogelijk, de Verwantwoordelijke bijstaan bij het reageren op verzoeken van betrokkenen die hun rechten uitoefenen onder de AVG:

  • Recht op inzage (Artikel 15)
  • Recht op rectificatie (Artikel 16)
  • Recht op verwijdering (Artikel 17)
  • Recht op beperking van verwerking (Artikel 18)
  • Recht op gegevensoverdraagbaarheid (Artikel 20)
  • Recht van bezwaar (Artikel 21)

De Verwerker zal verzoeken van betrokkenen die rechtstreeks worden ontvangen binnen 48 uur doorsturen naar de Verwantwoordelijke.

11. Melding van Inbreuken op Persoonsgegevens

In geval van een inbreuk op persoonsgegevens zal de Verwerker:

  • De Verwantwoordelijke onverwijld en uiterlijk binnen 48 uur na kennisneming op de hoogte stellen
  • Voldoende informatie verstrekken om de Verwantwoordelijke in staat te stellen verplichtingen tot melding aan toezichthoudende autoriteiten na te komen
  • Details verstrekken inclusief aard van de inbreuk, categorieën en aantal getroffen betrokkenen, waarschijnlijke gevolgen en genomen of voorgestelde maatregelen
  • Alle inbreuken op persoonsgegevens documenteren en registraties beschikbaar maken voor de Verwantwoordelijke

12. Audit- en Inspectierechten

De Verwerker zal alle informatie beschikbaar stellen die nodig is om naleving van deze Overeenkomst aan te tonen. De Verwantwoordelijke heeft het recht om:

  • Informatie op te vragen over verwerkingsactiviteiten
  • Audits en inspecties uit te voeren met redelijke kennisgeving (minimaal 14 dagen)
  • Externe auditors in te schakelen (onder voorbehoud van geheimhoudingsovereenkomsten)
  • Beveiligingsmaatregelen en certificeringen te beoordelen

13. Gegevensbewaring en Verwijdering

Bij beëindiging van hostingdiensten zal de Verwerker:

  • De Verwantwoordelijke 30 dagen geven om alle gegevens op te halen
  • Alle persoonsgegevens verwijderen of retourneren zoals geïnstrueerd door de Verwantwoordelijke
  • Alle bestaande kopieën verwijderen, tenzij opslag vereist is door EU- of lidstaatrecht
  • Schriftelijk certificeren dat alle gegevens zijn verwijderd
  • Back-ups worden veilig verwijderd volgens het back-upbewaringschema (7 dagen)

14. Aansprakelijkheid en Vrijwaring

De aansprakelijkheid van elke partij onder deze Overeenkomst is onderworpen aan de aansprakelijkheidsbeperkingen in de hoofddienstverleningsovereenkomst. De Verwerker zal de Verwantwoordelijke vrijwaren tegen claims voortvloeiend uit schending door de Verwerker van deze Overeenkomst of AVG-verplichtingen.

15. Duur en Beëindiging

Deze Overeenkomst blijft van kracht voor de duur van de hostingdienstverleningsovereenkomst. Bij beëindiging:

  • Blijven alle gegevensverwerkingsverplichtingen van kracht tot de gegevensverwijdering is voltooid
  • Blijven vertrouwelijkheids- en beveiligingsverplichtingen bestaan na beëindiging
  • Moet de Verwantwoordelijke gegevens binnen 30 dagen ophalen
  • Zal de Verwerker alle resterende gegevens veilig verwijderen

16. Wijzigingen

Deze Overeenkomst kan worden gewijzigd om naleving van toepasselijke gegevensbeschermingswetten te waarborgen. De Verwerker zal de Verwantwoordelijke minimaal 30 dagen van tevoren op de hoogte stellen van materiële wijzigingen.

17. Contactgegevens

Contact Verwerker

Grabs Software

Thian Gräber

[email protected]

Coulissen 126, 3826 PG Amersfoort, Nederland

Voor vragen over deze Overeenkomst of gegevensverwerkingspraktijken, neem contact op met de Verwerker via bovenstaande gegevens.