Verwerkersovereenkomst (art. 28 AVG)
Stand: 5 mei 2026. Deze verwerkersovereenkomst („VWO") concretiseert de verplichtingen uit art. 28 AVG. Zij wordt gesloten tussen de zakelijke klant („verwerkingsverantwoordelijke") en Studio Apps Sp. z o.o. („verwerker") bij het sluiten van de overeenkomst over de hosting van een boekingswebsite of vergelijkbare diensten, voor zover daarbij persoonsgegevens van derden worden verwerkt.
§ 1 Voorwerp en duur
(1) Voorwerp van de VWO is de verwerking van persoonsgegevens die de verwerkingsverantwoordelijke aan de verwerker in het kader van de overeengekomen hostingdiensten ter verwerking toevertrouwt — in het bijzonder boekingsaanvragen die via het formulier van de klantenwebsite binnenkomen.
(2) De VWO loopt voor de duur van de hoofdovereenkomst. Zij eindigt automatisch met de beëindiging van de hostingdiensten.
§ 2 Aard en doel van de verwerking
Terbeschikkingstelling en exploitatie van de boekingswebsite, ontvangst en opslag van boekingsaanvragen, verzending van bevestigings- en kennisgevings-e-mails aan de verwerkingsverantwoordelijke en de eindgebruikers, beveiligingsmonitoring (spam-/botbestrijding).
§ 3 Gegevenscategorieën en betrokkenen
Categorieën persoonsgegevens: voor- en achternaam, e-mailadres, telefoonnummer (voor zover opgegeven), datum/periode van de gewenste boeking, aantal personen, bericht, technische metagegevens (IP-adres, user-agent, tijdstempel).
Categorieën betrokkenen: eindgebruikers (gasten/geïnteresseerden) van de boekingswebsite van de verwerkingsverantwoordelijke.
§ 4 Verplichtingen van de verwerker
(1) Verwerking uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke.
(2) Vertrouwelijkheid: personen die bij de verwerking betrokken zijn, zijn tot vertrouwelijkheid verplicht, voor zover zij niet reeds aan een passende wettelijke geheimhoudingsplicht onderworpen zijn.
(3) Passende technische en organisatorische maatregelen (TOM's) conform art. 32 AVG — zie bijlage 1.
(4) Ondersteuning van de verwerkingsverantwoordelijke bij de uitoefening van de rechten van betrokkenen (art. 12-22 AVG) alsmede bij gegevensbeschermingseffectbeoordelingen (art. 35 e.v. AVG).
(5) Onverwijlde melding van inbreuken in verband met persoonsgegevens aan de verwerkingsverantwoordelijke, uiterlijk binnen 48 uur na kennisname (opdat de verwerkingsverantwoordelijke de termijn van 72 uur van art. 33 AVG kan naleven).
(6) Naar keuze van de verwerkingsverantwoordelijke verwijdering of teruggave van alle persoonsgegevens na beëindiging van de verrichting van de verwerkingsdiensten, tenzij er een verplichting tot langere bewaring bestaat.
(7) Terbeschikkingstelling van alle informatie die nodig is om de naleving van de in art. 28 AVG neergelegde verplichtingen aan te tonen.
§ 5 Subverwerkers
(1) De verwerkingsverantwoordelijke stemt in met de inschakeling van de hieronder in bijlage 2 genoemde subverwerkers (algemene toestemming conform art. 28 lid 2 eerste zin AVG).
(2) Bij voorgenomen wijzigingen met betrekking tot het inschakelen of vervangen van subverwerkers wordt de verwerkingsverantwoordelijke ten minste 30 dagen van tevoren geïnformeerd (per e-mail aan het in de hoofdovereenkomst vastgelegde adres). De verwerkingsverantwoordelijke kan binnen 14 dagen na ontvangst van de mededeling op gerechtvaardigde gronden bezwaar maken tegen de wijziging. Bij gerechtvaardigd bezwaar zijn de partijen gerechtigd de overeenkomst met een redelijke termijn te beëindigen.
(3) De verwerker sluit met elke subverwerker een overeenkomst met hetzelfde gegevensbeschermingsniveau als deze VWO.
§ 6 Internationale doorgiften
Doorgiften naar derde landen (in het bijzonder de VS) vinden uitsluitend plaats op basis van de EU-modelcontractbepalingen conform uitvoeringsbesluit 2021/914 (module 3 — verwerker naar subverwerker) en aanvullende technische en organisatorische maatregelen alsmede — voor zover van toepassing — het adequaatheidsbesluit 2023/1795 (EU-US Data Privacy Framework).
§ 7 Auditrechten
(1) De verwerker toont de naleving van deze VWO regelmatig aan door middel van actuele certificeringen (bijv. ISO 27001 van de subverwerkers) en schriftelijke TOM-beschrijvingen. Deze worden de verwerkingsverantwoordelijke op verzoek ter beschikking gesteld.
(2) Controles ter plaatse zijn toegestaan na voorafgaande aankondiging met een redelijke termijn (ten minste 30 dagen) en tijdens de gebruikelijke kantooruren. Zij mogen de lopende bedrijfsvoering niet onevenredig belemmeren. Voor elke controle brengt de verwerker de verwerkingsverantwoordelijke een forfaitaire vergoeding voor de kosten in rekening; uitgezonderd zijn controles op grond van concrete aanwijzingen voor inbreuken in verband met persoonsgegevens.
§ 8 Aansprakelijkheid
De aansprakelijkheidsregelingen uit de hoofdovereenkomst zijn van toepassing (§ 15 AGB). In de externe verhouding zijn de partijen jegens betrokkenen aansprakelijk overeenkomstig art. 82 AVG.
§ 9 Slotbepalingen
(1) Bij tegenstrijdigheden tussen deze VWO en de hoofdovereenkomst hebben de bepalingen van deze VWO voorrang in zaken van gegevensbescherming.
(2) Mochten afzonderlijke bepalingen van deze VWO ongeldig zijn, dan blijft de geldigheid van de overige bepalingen onverlet.
Bijlage 1 — Technische en organisatorische maatregelen (TOM's)
- Vertrouwelijkheid (art. 32 lid 1 onder b AVG): toegangscontrole op databaseniveau via Row-Level-Security (Supabase RLS). Authenticatie met sterke wachtwoorden en multifactor waar beschikbaar. Toegangsrechten volgens het need-to-know-principe. Audit-logs voor administratieve handelingen.
- Integriteit (art. 32 lid 1 onder b AVG): TLS 1.2+ op alle openbare eindpunten; versleutelde databaseverbindingen (TLS); controlegetallen bij het terugzetten van back-ups.
- Beschikbaarheid (art. 32 lid 1 onder b AVG): dagelijkse automatische back-ups met een bewaring van 7 dagen (Point-in-Time-Recovery). Hosting bij aanbieders met gedocumenteerde hoge beschikbaarheid (Vercel, Supabase). Beschikbaarheidsdoel: 99,5 % per jaar.
- Veerkracht: Edge-CDN (Cloudflare) ter afweer van DDoS; rate-limiting op API-eindpunten; web-application-firewall.
- Versleuteling: gegevens in rust in de database — versleuteld (storage-encryptie Supabase). Gegevens in doorgifte — TLS.
- Pseudonimisering: waar mogelijk gebruik van UUID's in plaats van sprekende kenmerken; gescheiden opslag van administratieve identiteiten.
- Procedure voor regelmatige toetsing (art. 32 lid 1 onder d AVG): kwartaalsgewijze beveiligingsreviews; jaarlijkse update van de TOM's; automatische beveiligingsupdates van de afhankelijkheden.
- Scheiding: logische mandantenscheiding in de database; gescheiden omgevingen voor productie en ontwikkeling.
Bijlage 2 — Goedgekeurde subverwerkers
| Subverwerker | Vestiging / locatie van de gegevens | Doel | Doorgifte-instrument |
|---|---|---|---|
| Vercel Inc. | VS / EU-edge | Hosting, edge-computing | EU-SCC + DPF |
| Supabase Inc. | EU (Frankfurt) | Database, auth, opslag | EU-SCC voor Amerikaans moederbedrijf |
| Resend Inc. | VS | Transactionele e-mails | EU-SCC + DPF |
| Cloudflare Inc. | VS / EU-edge | DNS, CDN, DDoS-bescherming | EU-SCC |
De telkens actuele DPA's van de subverwerkers worden door Studio Apps onderhouden en zijn op verzoek in te zien.