cat verwerkersovereenkomst.txt

Verwerkersovereenkomst

Versie 1.0 — 13 juli 2026

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de Overeenkomst tussen de Klant en de eenmanszaak Steelooper Consulting, handelend onder de naam XOBIT IT Services (hierna: "XOBIT"), gevestigd te Schijndel, KvK-nummer 50503022, en is van toepassing voor zover XOBIT bij de uitvoering van de Diensten persoonsgegevens verwerkt ten behoeve van de Klant.

Artikel 1 — Definities

  1. Begrippen als "persoonsgegevens", "verwerken", "verwerkingsverantwoordelijke", "verwerker", "betrokkene" en "inbreuk in verband met persoonsgegevens" hebben de betekenis die daaraan in de Algemene Verordening Gegevensbescherming (AVG) wordt gegeven.
  2. Overige begrippen met een hoofdletter hebben de betekenis die daaraan in de algemene voorwaarden van XOBIT is gegeven.

Artikel 2 — Rolverdeling en voorwerp van de verwerking

  1. De Klant is verwerkingsverantwoordelijke; XOBIT is verwerker.
  2. XOBIT verwerkt persoonsgegevens uitsluitend in opdracht van en ten behoeve van de Klant, voor zover noodzakelijk voor het leveren van de Diensten (hosting, e-mail, domeinregistratie en aanverwante diensten), en uitsluitend op basis van schriftelijke instructies van de Klant. De Overeenkomst en deze verwerkersovereenkomst gelden als de volledige instructie, behoudens nadere schriftelijke instructies.
  3. XOBIT heeft geen zeggenschap over het doel van en de middelen voor de verwerking en neemt geen beslissingen over het gebruik van de persoonsgegevens, de bewaartermijn of de verstrekking aan derden, behoudens wettelijke verplichtingen.
  4. Indien XOBIT op grond van een wettelijke verplichting gehouden is persoonsgegevens te verwerken of te verstrekken, stelt XOBIT de Klant daarvan voorafgaand in kennis, tenzij die wetgeving dit verbiedt.

Artikel 3 — Aard, doel en categorieën van de verwerking

  1. Aard en doel: het opslaan, doorgeven en anderszins technisch verwerken van gegevens die de Klant via de Diensten opslaat of verspreidt (waaronder websitebestanden, databases en e-mailverkeer), alsmede het maken van backups ten behoeve van continuïteit.
  2. Categorieën betrokkenen: door de Klant te bepalen; doorgaans bezoekers van de website van de Klant, klanten en relaties van de Klant, en e-mailcorrespondenten.
  3. Categorieën persoonsgegevens: door de Klant te bepalen; doorgaans NAW-gegevens, contactgegevens, IP-adressen en inhoud van communicatie.
  4. Verbod op bijzondere categorieën: het is de Klant niet toegestaan via de Diensten medische gegevens of andere gegevens over gezondheid te (laten) verwerken. Overige bijzondere categorieën van persoonsgegevens (artikel 9 AVG), gegevens over strafrechtelijke veroordelingen (artikel 10 AVG) en nationale identificatienummers (zoals BSN) mogen uitsluitend worden verwerkt na voorafgaande schriftelijke toestemming van XOBIT. De Klant garandeert dat de door hem via de Diensten verwerkte gegevens binnen deze kaders blijven.
  5. Duur: de duur van de Overeenkomst.

Artikel 4 — Verplichtingen van XOBIT

  1. XOBIT verwerkt de persoonsgegevens behoorlijk, zorgvuldig en in overeenstemming met de AVG en deze verwerkersovereenkomst.
  2. XOBIT waarborgt dat personen die onder haar gezag persoonsgegevens verwerken zich hebben verbonden tot vertrouwelijkheid of aan een passende wettelijke geheimhoudingsplicht zijn onderworpen.
  3. XOBIT verleent de Klant, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerking, bijstand bij het vervullen van diens verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG (beveiliging, meldplicht datalekken, DPIA's en voorafgaande raadpleging).
  4. XOBIT kan voor bijstand die verder gaat dan hetgeen redelijkerwijs tot de normale dienstverlening behoort een redelijke vergoeding in rekening brengen.

Artikel 5 — Beveiliging

  1. XOBIT treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard van de verwerking. Deze maatregelen omvatten onder meer: - versleutelde verbindingen (TLS) voor beheer- en dataverkeer; - toegangsbeveiliging en autorisatiebeheer op systemen; - het tijdig installeren van beveiligingsupdates op door XOBIT beheerde systemen; - periodieke backups met gescheiden opslag; - fysieke beveiliging via de datacenters van de infrastructuurleverancier.
  2. De Klant is zelf verantwoordelijk voor de beveiliging van de door hem beheerde onderdelen, waaronder eigen software-installaties, wachtwoorden en accountbeheer.
  3. XOBIT garandeert niet dat de beveiliging onder alle omstandigheden doeltreffend is, maar spant zich in de beveiliging op een passend niveau te houden.

Artikel 6 — Subverwerkers

  1. De Klant verleent XOBIT hierbij een algemene schriftelijke toestemming om subverwerkers in te schakelen bij de verwerking.
  2. XOBIT maakt op dit moment gebruik van de volgende subverwerkers: - DirectVPS — levering van virtuele serverinfrastructuur; verwerking vindt plaats in datacenters in Nederland; - [eventuele overige subverwerkers invullen, bijv. backup- of e-mailfilterdiensten].
  3. XOBIT informeert de Klant over voorgenomen wijzigingen in de ingeschakelde subverwerkers (toevoeging of vervanging) ten minste 30 dagen voor de wijziging. De Klant kan binnen die termijn schriftelijk en gemotiveerd bezwaar maken. Indien het bezwaar redelijkerwijs niet kan worden weggenomen, heeft de Klant het recht de Overeenkomst op te zeggen tegen de datum waarop de wijziging ingaat.
  4. XOBIT legt aan iedere subverwerker verplichtingen op die ten minste gelijkwaardig zijn aan de verplichtingen uit deze verwerkersovereenkomst en blijft jegens de Klant verantwoordelijk voor de nakoming daarvan door de subverwerker.

Artikel 7 — Doorgifte buiten de EER

  1. XOBIT verwerkt en laat persoonsgegevens verwerken binnen de Europese Economische Ruimte (EER).
  2. Doorgifte naar landen buiten de EER vindt uitsluitend plaats met voorafgaande schriftelijke toestemming van de Klant en met inachtneming van hoofdstuk V van de AVG (zoals een adequaatheidsbesluit of standaardcontractsbepalingen).

Artikel 8 — Inbreuken in verband met persoonsgegevens (datalekken)

  1. XOBIT informeert de Klant zonder onredelijke vertraging, doch uiterlijk binnen 48 uur na ontdekking, over een inbreuk in verband met persoonsgegevens die betrekking heeft op de gegevens van de Klant.
  2. XOBIT verstrekt daarbij, voor zover bekend, informatie over de aard van de inbreuk, de (vermoedelijk) getroffen gegevens en betrokkenen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.
  3. De beoordeling of een inbreuk moet worden gemeld aan de Autoriteit Persoonsgegevens en/of aan betrokkenen ligt bij de Klant als verwerkingsverantwoordelijke. XOBIT zal een inbreuk niet zelfstandig aan de toezichthouder of betrokkenen melden, tenzij XOBIT daartoe wettelijk verplicht is.
  4. XOBIT houdt de Klant op de hoogte van relevante ontwikkelingen en verleent redelijke medewerking aan het onderzoek en de afhandeling.

Artikel 9 — Rechten van betrokkenen

  1. Indien XOBIT een verzoek van een betrokkene ontvangt (zoals inzage, rectificatie of verwijdering), stuurt XOBIT dit verzoek onverwijld door aan de Klant en handelt XOBIT het verzoek niet zelfstandig af.
  2. XOBIT verleent de Klant, rekening houdend met de aard van de verwerking en voor zover redelijkerwijs mogelijk, bijstand bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden.

Artikel 10 — Audit en verantwoording

  1. XOBIT stelt de Klant op verzoek alle informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen uit artikel 28 AVG wordt voldaan.
  2. De Klant is gerechtigd maximaal eenmaal per jaar, dan wel na een concreet en gemotiveerd vermoeden van niet-naleving, een audit te (laten) uitvoeren door een onafhankelijke, aan geheimhouding gebonden deskundige.
  3. Een audit wordt ten minste 30 dagen vooraf aangekondigd, vindt plaats tijdens kantooruren, verstoort de bedrijfsvoering van XOBIT zo min mogelijk en strekt zich niet uit tot gegevens van andere klanten van XOBIT.
  4. De kosten van de audit komen voor rekening van de Klant, tenzij uit de audit wezenlijke tekortkomingen aan de zijde van XOBIT blijken.
  5. Voor de infrastructuur van subverwerkers kan XOBIT volstaan met het ter beschikking stellen van beschikbare certificeringen of auditverklaringen van die subverwerkers.

Artikel 11 — Aansprakelijkheid

De aansprakelijkheid van partijen onder deze verwerkersovereenkomst is onderworpen aan de beperkingen zoals opgenomen in de algemene voorwaarden van XOBIT, onverminderd dwingendrechtelijke bepalingen, waaronder artikel 82 AVG.

Artikel 12 — Duur, einde en verwijdering van gegevens

  1. Deze verwerkersovereenkomst geldt voor de duur van de Overeenkomst en eindigt van rechtswege bij het einde daarvan.
  2. Na het einde van de Overeenkomst verwijdert XOBIT alle persoonsgegevens van de Klant, tenzij de Klant vóór de einddatum verzoekt om teruglevering conform artikel 13 van de algemene voorwaarden, of tenzij XOBIT wettelijk verplicht is gegevens te bewaren.
  3. XOBIT maakt backups op serverniveau met een rotatiecyclus van 7 dagen; gegevens in deze backups zijn uiterlijk 7 dagen na het einde van de Overeenkomst verwijderd. Uit serverbackups kunnen geen individuele websites of mailboxen worden teruggezet. Indien voor de Klant een aparte backup-dienst per website of mailbox is geconfigureerd (dagelijks, wekelijks of maandelijks, met maximaal 10 historische versies), worden ook die backups na het einde van de Overeenkomst verwijderd conform de daarvoor geconfigureerde cyclus.

Artikel 13 — Slotbepalingen

  1. Bij strijdigheid tussen deze verwerkersovereenkomst en de algemene voorwaarden prevaleert deze verwerkersovereenkomst voor zover het de verwerking van persoonsgegevens betreft.
  2. Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd conform de geschillenregeling in de algemene voorwaarden.