Verwerkersovereenkomst
Laatst bijgewerkt: 4 maart 2026
1. Partijen
Deze verwerkersovereenkomst ("Overeenkomst") is van toepassing tussen:
- Verwerker: Waypointer Digital BV, gevestigd in Nederland, KVK-nummer 99948710, handelend onder de naam Kanbino ("Verwerker")
- Verwerkingsverantwoordelijke: de organisatie of natuurlijke persoon die een Kanbino-workspace aanmaakt en beheert ("Verantwoordelijke")
Deze verwerkersovereenkomst is onderdeel van de Algemene Voorwaarden en het Privacybeleid.
2. Definities
Begrippen in deze overeenkomst hebben dezelfde betekenis als in de Algemene Verordening Gegevensbescherming (AVG/GDPR, Verordening (EU) 2016/679), tenzij hieronder anders gedefinieerd:
- Persoonsgegevens — alle gegevens die betrekking hebben op een geidentificeerde of identificeerbare natuurlijke persoon, verwerkt in het kader van het gebruik van Kanbino
- Verwerking — elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, waaronder verzamelen, opslaan, wijzigen, raadplegen, verstrekken en wissen
- Subverwerker — een derde partij die door de Verwerker wordt ingeschakeld voor een deel van de verwerking
- Datalek — een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens
3. Onderwerp en duur
De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de Kanbino-dienst aan de Verantwoordelijke. Deze overeenkomst is van kracht zolang de Verantwoordelijke gebruik maakt van Kanbino.
4. Categorieeen van betrokkenen en persoonsgegevens
Categorieeen van betrokkenen:
- Medewerkers en teamleden van de Verantwoordelijke
- Externe gebruikers (gasten) die door de Verantwoordelijke zijn uitgenodigd
- Contactpersonen en klanten die in de workspace worden beheerd
Categorieeen van persoonsgegevens:
- Naam, e-mailadres en profielgegevens
- Inhoudelijke gegevens: taken, opmerkingen, tijdregistraties, bestanden en overige content ingevoerd door gebruikers
- Technische gegevens: IP-adres, browserinformatie en inlogactiviteit
5. Verplichtingen van de Verwerker
De Verwerker verbindt zich tot het volgende:
- Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Verantwoordelijke, tenzij een wettelijke verplichting anders vereist
- Waarborgen dat personen die toegang hebben tot de persoonsgegevens gebonden zijn aan geheimhouding
- Passende technische en organisatorische beveiligingsmaatregelen treffen (zie artikel 8)
- De Verantwoordelijke bijstaan bij het nakomen van diens verplichtingen op grond van de artikelen 32 tot en met 36 AVG (beveiliging, datalekken, DPIA's)
- Na afloop van de verwerkingsdiensten, naar keuze van de Verantwoordelijke, alle persoonsgegevens wissen of retourneren, tenzij opslag wettelijk verplicht is
- Alle informatie beschikbaar stellen die nodig is om de naleving van deze overeenkomst aan te tonen, en audits en inspecties door of namens de Verantwoordelijke mogelijk maken
6. Subverwerkers
De Verwerker maakt gebruik van de volgende subverwerkers:
| Subverwerker | Doel | Locatie |
|---|---|---|
| Hetzner Online GmbH | Serverhosting en dataopslag | Falkenstein, Duitsland (EU) |
| Scaleway SAS | Bestandsopslag (S3 object storage) | Amsterdam, Nederland (EU) |
| BunnyWay d.o.o. (Bunny.net) | Content Delivery Network (CDN) | Ljubljana, Slovenie (EU) |
| Stripe Inc. | Betalingsverwerking | VS (EU Standard Contractual Clauses) |
De Verantwoordelijke geeft hierbij algemene schriftelijke toestemming voor het inschakelen van subverwerkers. De Verwerker informeert de Verantwoordelijke vooraf over voorgenomen wijzigingen in subverwerkers, zodat de Verantwoordelijke bezwaar kan maken. Met alle subverwerkers zijn verwerkersovereenkomsten gesloten.
7. Doorgifte buiten de EU/EER
De primaire verwerking vindt plaats binnen de Europese Unie (Hetzner, Duitsland). Voor subverwerkers buiten de EU/EER zijn passende waarborgen getroffen middels EU Standard Contractual Clauses (SCC's) conform artikel 46 lid 2 sub c AVG.
8. Beveiligingsmaatregelen
De Verwerker treft onder meer de volgende technische en organisatorische maatregelen:
- Versleuteling — alle verbindingen via TLS/HTTPS; wachtwoorden worden gehasht opgeslagen (bcrypt)
- Toegangsbeheer — rolgebaseerde toegangscontrole; medewerkers hebben uitsluitend toegang tot gegevens die noodzakelijk zijn voor hun functie
- Back-ups — dagelijkse geautomatiseerde back-ups, opgeslagen binnen de EU
- Monitoring — continue monitoring op beschikbaarheid en beveiligingsincidenten
- Updates — regelmatige beveiligingsupdates van besturingssysteem en applicatie
- Isolatie — strikte scheiding van tenantdata op applicatieniveau
9. Datalekken
Bij een datalek zal de Verwerker:
- De Verantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking informeren
- De aard van het datalek beschrijven, inclusief de categorieeen en het geschatte aantal betrokkenen
- De waarschijnlijke gevolgen beschrijven
- De genomen en voorgestelde maatregelen meedelen om het datalek aan te pakken en de nadelige gevolgen te beperken
- Alle medewerking verlenen die de Verantwoordelijke nodig heeft om aan diens meldplicht te voldoen (artikel 33 en 34 AVG)
10. Bijstand aan de Verantwoordelijke
De Verwerker staat de Verantwoordelijke bij met:
- Het beantwoorden van verzoeken van betrokkenen (inzage, correctie, verwijdering, overdraagbaarheid, bezwaar)
- Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA), indien van toepassing
- Het nakomen van de meldplicht bij de Autoriteit Persoonsgegevens
11. Audit
De Verantwoordelijke heeft het recht om, op eigen kosten en na redelijke voorafgaande kennisgeving, audits uit te voeren of te laten uitvoeren om de naleving van deze overeenkomst te controleren. De Verwerker verleent hieraan alle redelijke medewerking. Audits vinden maximaal eenmaal per jaar plaats, tenzij er aanleiding is voor een aanvullende audit (bijvoorbeeld na een datalek).
12. Bewaartermijn en verwijdering
Na beeindiging van de overeenkomst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij:
- De Verantwoordelijke verzoekt om retournering van de gegevens (in een gangbaar, machineleesbaar formaat)
- Bewaring wettelijk verplicht is (bijv. fiscale bewaarplicht)
De Verwerker bevestigt de verwijdering schriftelijk op verzoek.
13. Aansprakelijkheid
Op deze verwerkersovereenkomst zijn de Algemene Voorwaarden van toepassing. Bij tegenstrijdigheid prevaleert deze verwerkersovereenkomst.
14. Toepasselijk recht en geschillen
Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.
15. Contact
Voor vragen over deze verwerkersovereenkomst:
Waypointer Digital BV
E-mail: privacy@kanbino.com