Verwerkersovereenkomst
Data Processing Agreement (DPA) tussen Shadow Guard B.V. als Verwerker en de Klant als Verwerkingsverantwoordelijke.
Laatst bijgewerkt: 4 februari 2026
1. Partijen
Verwerker
Shadow Guard B.V.
Walstrope 34
4811 LN Breda
Nederland
E-mail: dpo@shadowguard.nl
Verwerkingsverantwoordelijke
De klant die gebruik maakt van de diensten van Shadow Guard en daarbij persoonsgegevens verstrekt of laat verwerken.
2. Definities
- AVG
- Algemene Verordening Gegevensbescherming (EU) 2016/679.
- Persoonsgegevens
- Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.
- Verwerking
- Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenvatten, combineren, beschermen, wissen of vernietigen.
- Verwerker
- De natuurlijke of rechtspersoon, overheidsinstantie, instantie of ander die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
- Verwerkingsverantwoordelijke
- De natuurlijke of rechtspersoon, overheidsinstantie, instantie of ander die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
- Sub-verwerker
- Een verwerker die door de Verwerker wordt ingeschakeld voor het verwerken van persoonsgegevens.
3. Onderwerp en duur
- Deze verwerkersovereenkomst (hierna: "DPA") maakt onlosmakelijk deel uit van de algemene voorwaarden en de dienstverleningsovereenkomst tussen Partijen.
- De DPA is van toepassing op alle verwerkingen van persoonsgegevens die de Verwerker uitvoert ten behoeve van de Verwerkingsverantwoordelijke in het kader van de diensten van Shadow Guard.
- De DPA treedt in werking op het moment dat de Verwerkingsverantwoordelijke gebruik gaat maken van de diensten en blijft van kracht voor de duur van de dienstverlening.
- Na beëindiging van de dienstverlening blijven de bepalingen van deze DPA van toepassing voor zover nodig voor de naleving van wettelijke verplichtingen.
4. Doeleinden van verwerking
De Verwerker mag persoonsgegevens uitsluitend verwerken voor de volgende doeleinden:
Levering van diensten
- Aanmaak en beheer van gebruikersaccounts
- Uptime en performance monitoring
- Security scanning en vulnerability detectie
- Alerting en notificaties
- Dashboard en rapportage functionaliteit
- Klantenondersteuning
Technische infrastructuur
- Hosting en opslag van gegevens
- Back-up en disaster recovery
- Beveiliging en fraudepreventie
- Performance monitoring van systemen
Administratie en compliance
- Facturatie en betalingsverwerking
- Naleving van wettelijke verplichtingen
- Audit en compliance controles
- Statistische analyse en verbetering van diensten
5. Categorieën van persoonsgegevens
In het kader van de dienstverlening kunnen de volgende categorieën persoonsgegevens worden verwerkt:
| Categorie | Voorbeelden | Verplicht |
|---|---|---|
| Identificatiegegevens | Naam, e-mailadres | Ja |
| Accountgegevens | Gebruikersnaam, profielinformatie | Nee |
| Contactgegevens | Telefoonnummer, bedrijfsnaam | Nee |
| Technische gegevens | IP-adres, browserinformatie, logs | Ja |
| Verkeersgegevens | Bezochte pagina's, sessieduur | Nee |
| Betaalgegevens | Factuuradres (geen creditcard) | Nee |
Let op: De Verwerker verwerkt geen bijzondere categorieën persoonsgegevens (art. 9 AVG) tenzij uitdrukkelijk overeengekomen en noodzakelijk voor de dienstverlening.
6. Rechten en plichten van de Verwerkingsverantwoordelijke
6.1 Algemene verplichtingen
- Zorgdragen voor een rechtmatige grondslag voor de verwerking
- Verstrekken van adequate informatie aan betrokkenen
- Uitoefenen van rechten van betrokkenen
- Melden van datalekken aan de Autoriteit Persoonsgegevens
- Voeren van een verwerkingsregister
6.2 Verstrekking van gegevens aan Verwerker
- De Verwerkingsverantwoordelijke is verantwoordelijk voor de kwaliteit en juistheid van verstrekte gegevens
- Geen gegevens verwerken die wettelijk niet verwerkt mogen worden
- Verwerker informeren over eventuele beperkingen op de verwerking
7. Verplichtingen van de Verwerker
Geheimhouding
De Verwerker en alle personen die onder diens gezag werken, zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis nemen. Deze geheimhoudingsplicht blijft van kracht na beëindiging van deze overeenkomst.
Beveiliging
- Toepassing van passende technische en organisatorische maatregelen
- Beveiliging van persoonsgegevens tegen ongeautoriseerde toegang
- Versleuteling van gegevens in transit en at rest
- Regelmatige security audits en penetratietests
- Incident response procedures
Sub-verwerkers
- Uitsluitend sub-verwerkers inschakelen met voorafgaande schriftelijke toestemming
- Minstens dezelfde verplichtingen opleggen aan sub-verwerkers
- Sub-verwerkerslijst is beschikbaar op verzoek
- Lijst van goedgekeurde sub-verwerkers:
Rechten van betrokkenen
De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het reageren op verzoeken van betrokkenen betreffende:
- Inzage (art. 15 AVG)
- Rectificatie (art. 16 AVG)
- Wissing (art. 17 AVG)
- Beperking (art. 18 AVG)
- Dataportabiliteit (art. 20 AVG)
- Bezwaar (art. 21 AVG)
8. Datalekken
8.1 Melding aan Verwerkingsverantwoordelijke
- De Verwerker zal de Verwerkingsverantwoordelijke zonder onredelijke vertraging, uiterlijk binnen 24 uur na ontdekking, informeren over een datalek dat betrekking heeft op persoonsgegevens van de Verwerkingsverantwoordelijke.
- De melding bevat minimaal:
- Een beschrijving van de aard van het datalek
- De categorieën en geschatte aantallen betrokkenen
- De waarschijnlijke gevolgen van het datalek
- De genomen maatregelen om het datalek te verhelpen
- De Verwerker houdt een register bij van alle datalekken.
8.2 Melding aan autoriteit
De Verwerkingsverantwoordelijke is verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens. De Verwerker zal de Verwerkingsverantwoordelijke hierbij ondersteunen met alle benodigde informatie.
9. Sub-verwerkers
De Verwerker maakt gebruik van de volgende categorieën sub-verwerkers voor de verwerking van persoonsgegevens:
| Sub-verwerker | Dienst | Locatie | Verwerking |
|---|---|---|---|
| Vercel Inc. | Hosting en platform | VS / EU | Hosting |
| AWS (Amazon) | Cloud infrastructuur | EU (Frankfurt) | Opslag, backup |
| Stripe | Betalingen | VS / EU | Facturatie |
| Eigen mailserver (Postfix) | E-mail service | EU (Nederland) | Transactie-e-mails |
| PostHog | Analytics | EU | Analytics (opt-in) |
De Verwerker zal de Verwerkingsverantwoordelijke tijdig informeren over wijzigingen in de lijst van sub-verwerkers. De meest actuele lijst is op verzoek beschikbaar.
10. Gegevensuitvoer
- De Verwerker mag persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte (EER), tenzij uitdrukkelijk anders overeengekomen.
- Wanneer persoonsgegevens worden overgedragen naar landen buiten de EER, zorgt de Verwerker voor adequate bescherming door:
- Standard Contractual Clauses (SCC's) van de Europese Commissie
- Binding Corporate Rules (indien van toepassing)
- Derdenland met adequaatheidsbesluit van de EU
- Een kopie van de toegepaste SCC's is op verzoek beschikbaar.
11. Audit en controles
11.1 Recht op audit
De Verwerkingsverantwoordelijke heeft het recht om periodiek, maximaal één keer per kalenderjaar, de naleving van deze DPA te controleren door middel van een audit.
11.2 Auditprocedure
- De Verwerkingsverantwoordelijke dient minimaal 30 dagen van tevoren een audit aan te kondigen
- De audit wordt uitgevoerd tijdens kantooruren en mag maximaal 2 werkdagen duren
- De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke
- De Verwerker is verplicht medewerking te verlenen aan de audit
11.3 Alternatieven
In plaats van een eigen audit kan de Verwerkingsverantwoordelijke verzoeken om:
- Een onafhankelijk auditrapport (maximaal 1 jaar oud)
- Certificeringen (bijv. ISO 27001, SOC 2)
- Antwoorden op een schriftelijke vragenlijst
12. Beëindiging en teruglevering
12.1 Beëindiging
- Bij beëindiging van de dienstverlening stopt de verwerking van persoonsgegevens
- Partijen kunnen overeenkomen dat de Verwerker gegevens langer bewaart voor archiefdoeleinden
- Na beëindiging worden gegevens verwijderd of teruggeleverd zoals overeengekomen
12.2 Teruglevering gegevens
Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker alle persoonsgegevens in een gangbaar formaat (JSON, CSV) terugleveren binnen 30 dagen na beëindiging.
12.3 Bewaartermijn na beëindiging
Na beëindiging mag de Verwerker persoonsgegevens bewaren voor zover wettelijk vereist (fiscale bewaarplicht van 7 jaar), waarna deze worden verwijderd.
13. Aansprakelijkheid
- De aansprakelijkheid van de Verwerker voor schade voortvloeiend uit de uitvoering van deze DPA is beperkt tot directe schade en maximaal het bedrag dat de Verwerkingsverantwoordelijke in de 12 maanden voor het schadevoorval heeft betaald.
- Deze beperking geldt niet voor schade veroorzaakt door opzet of grove schuld van de Verwerker.
- De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor aanspraken van derden die voortvloeien uit handelingen of nalatigheden van de Verwerkingsverantwoordelijke.
14. Contact
Voor vragen over deze verwerkersovereenkomst kunt u contact met ons opnemen:
- E-mail (DPO): dpo@shadowguard.nl
- Algemene vragen: privacy@shadowguard.nl
- Post: Shadow Guard B.V., Walstrope 34, 4811 LN Breda, Nederland