Verwerkersovereenkomst
Laatst bijgewerkt: 1 juni 2026
Deze verwerkersovereenkomst (hierna: de “Overeenkomst” of “DPA”) legt de afspraken vast tussen de klant als verwerkingsverantwoordelijke en OXIAE als verwerker, voor de verwerking van persoonsgegevens die OXIAE namens de klant uitvoert in het kader van de OXIAE-dienst. De Overeenkomst maakt onlosmakelijk deel uit van de hoofdovereenkomst tussen partijen en is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).
1. Partijen & rollen
Deze Overeenkomst wordt gesloten tussen:
- De klant, de partij die in de hoofdovereenkomst als afnemer van de dienst is aangeduid, hierna te noemen de “Verwerkingsverantwoordelijke”. De Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking.
- OXIAE, een handelsnaam van VDS International S.A., een te Panama gevestigde vennootschap, ingeschreven in het Registro Público de Panamá onder folio 155777850, bereikbaar via privacy@oxiae.com en met domein oxiae.com, hierna te noemen de “Verwerker”. De Verwerker verwerkt persoonsgegevens uitsluitend namens en in opdracht van de Verwerkingsverantwoordelijke.
Partijen erkennen dat de Verwerkingsverantwoordelijke de AVG-eindverantwoordelijkheid draagt tegenover betrokkenen en de toezichthouder, en dat de Verwerker handelt binnen de grenzen van de in deze Overeenkomst vastgelegde instructies. Waar partijen voor een specifiek onderdeel sámen het doel en de middelen bepalen, kan gezamenlijke verwerkingsverantwoordelijkheid ontstaan; dat wordt dan afzonderlijk schriftelijk geregeld. Zie verwerkingsverantwoordelijke of verwerker voor een uitgebreide toelichting op deze rolverdeling.
2. Onderwerp & duur
Het onderwerp van deze Overeenkomst is de verwerking van persoonsgegevens door de Verwerker ten behoeve van de levering van de OXIAE-dienst, waaronder het ontvangen, verifiëren, routeren en doorleveren van aanvragen (leads) en het bijhouden van een audit trail.
Deze Overeenkomst treedt in werking op de datum waarop de hoofdovereenkomst van kracht wordt en blijft van kracht zolang de Verwerker namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Beëindiging van de hoofdovereenkomst beëindigt ook deze Overeenkomst, onverminderd de bepalingen die naar hun aard van kracht blijven, zoals geheimhouding en de verplichtingen rond teruggave en verwijdering (artikel 12).
3. Aard en doel van de verwerking
De Verwerker verwerkt persoonsgegevens uitsluitend voor de hieronder beschreven doeleinden en niet voor eigen doeleinden:
- het ontvangen en vastleggen van aanvragen via formulieren, landingspagina’s en API’s;
- het verifiëren van herkomst, toestemming en kwaliteit van de aanvragen;
- het matchen en routeren van aanvragen naar de juiste afnemer op basis van de door de Verwerkingsverantwoordelijke ingestelde regels;
- het doorleveren van aanvragen en het ondersteunen van uitbetalingen, acceptaties en disputes;
- het bijhouden van een audit trail, dashboards en rapportages ten behoeve van controleerbaarheid;
- het bieden van ondersteuning, beheer en onderhoud van de dienst.
De Verwerker verwerkt de gegevens op een wijze die in overeenstemming is met de beginselen van rechtmatigheid, doelbinding en dataminimalisatie.
4. Soorten persoonsgegevens & categorieën betrokkenen
4.1 Soorten persoonsgegevens
In het kader van de dienst kunnen onder meer de volgende categorieën persoonsgegevens worden verwerkt:
- contactgegevens (zoals naam, e-mailadres, telefoonnummer, adres);
- aanvraaggegevens (zoals de inhoud van de aanvraag, productinteresse en voorkeuren);
- herkomst- en consentgegevens (zoals bron, tijdstip, IP-adres en vastgelegde toestemming);
- technische en metadata (zoals tijdstempels, device- en sessiegegevens, status en routing-informatie).
De dienst is er niet op gericht bijzondere categorieën van persoonsgegevens te verwerken. De Verwerkingsverantwoordelijke draagt er zorg voor dat dergelijke gegevens niet via de dienst worden aangeleverd, tenzij partijen daarvoor afzonderlijke afspraken hebben vastgelegd.
4.2 Categorieën betrokkenen
De verwerking kan betrekking hebben op de volgende categorieën betrokkenen: aanvragers en consumenten die een aanvraag indienen, contactpersonen van afnemers en leveranciers, en gebruikers van het platform.
5. Instructies van de verwerkingsverantwoordelijke
De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, waaronder met betrekking tot doorgifte van persoonsgegevens naar een derde land of een internationale organisatie, tenzij een op de Verwerker van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking in kennis van dat wettelijke voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Deze Overeenkomst en de configuratie die de Verwerkingsverantwoordelijke binnen het platform vastlegt (zoals routing-regels en bewaartermijnen) gelden als de gedocumenteerde instructies. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op andere toepasselijke gegevensbeschermingsbepalingen.
6. Vertrouwelijkheid
De Verwerker waarborgt dat de personen die gemachtigd zijn om persoonsgegevens te verwerken zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, dan wel door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. Toegang tot persoonsgegevens wordt beperkt tot medewerkers voor wie die toegang noodzakelijk is voor de uitvoering van hun taken.
Deze geheimhoudingsverplichting blijft van kracht na beëindiging van deze Overeenkomst.
7. Beveiligingsmaatregelen
Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, treft de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen omvatten onder meer encryptie in transport en opslag, toegangscontrole op basis van rol en context, logging en monitoring, en geteste back-up- en herstelprocedures.
Een concrete beschrijving van de beveiligingsmaatregelen is opgenomen in de bijlage Beveiligingsmaatregelen en op de pagina Beveiliging & encryptie. De Verwerker evalueert en actualiseert de maatregelen periodiek.
8. Sub-verwerkers
De Verwerkingsverantwoordelijke verleent de Verwerker een algemene schriftelijke toestemming om sub-verwerkers in te schakelen voor onderdelen van de verwerking, zoals hosting, e-mail en monitoring. De Verwerker legt aan elke sub-verwerker dezelfde verplichtingen op het gebied van gegevensbescherming op als die in deze Overeenkomst zijn opgenomen.
De Verwerker informeert de Verwerkingsverantwoordelijke vooraf over voorgenomen wijzigingen in de lijst van sub-verwerkers (toevoeging of vervanging). De Verwerkingsverantwoordelijke heeft vanaf de melding een bezwaartermijn van 30 dagen om gemotiveerd bezwaar te maken tegen een nieuwe sub-verwerker. Maken partijen geen overeenstemming, dan heeft de Verwerkingsverantwoordelijke het recht het betreffende onderdeel van de dienst op te zeggen. De Verwerker blijft tegenover de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen door de sub-verwerker.
De actuele lijst van sub-verwerkers is opgenomen in de bijlage Sub-verwerkers en is op verzoek opvraagbaar.
9. Bijstand bij rechten van betrokkenen
Rekening houdend met de aard van de verwerking, verleent de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van de plicht om verzoeken van betrokkenen te beantwoorden. Het gaat daarbij om de uitoefening van rechten als inzage, rectificatie, wissing, beperking, bezwaar en overdraagbaarheid van gegevens.
Ontvangt de Verwerker rechtstreeks een verzoek van een betrokkene, dan verwijst hij de betrokkene door naar de Verwerkingsverantwoordelijke en informeert hij de Verwerkingsverantwoordelijke zonder onredelijke vertraging. De Verwerker beantwoordt dergelijke verzoeken niet zelfstandig, tenzij hiertoe wettelijk verplicht.
10. Datalekken
De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging in kennis nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (datalek). De Verwerkingsverantwoordelijke is op grond van de AVG gehouden een meldplichtig datalek in beginsel binnen 72 uur na bekendwording te melden aan de Autoriteit Persoonsgegevens; de Verwerker richt zijn melding zó in dat de Verwerkingsverantwoordelijke aan die termijn kan voldoen.
De melding van de Verwerker bevat ten minste een omschrijving van de aard van de inbreuk, de betrokken categorieën en aantallen, de waarschijnlijke gevolgen en de getroffen of voorgestelde maatregelen. De Verwerker verleent redelijke bijstand bij onderzoek, indamming, herstel en het voorkomen van herhaling, en documenteert het incident in de audit trail.
11. Audits & inspecties
De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in artikel 28 AVG neergelegde verplichtingen aan te tonen, en maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door deze gemachtigde controleur mogelijk en draagt eraan bij.
Een audit vindt plaats na redelijke voorafgaande aankondiging, ten hoogste eenmaal per jaar (behoudens een concrete aanleiding of een verzoek van de toezichthouder), tijdens kantooruren en op een wijze die de bedrijfsvoering van de Verwerker zo min mogelijk verstoort. De Verwerker kan eerst voldoen aan een redelijk informatieverzoek door middel van bestaande rapportages, certificeringen of overzichten uit de audit trail. De kosten van een audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit een wezenlijke tekortkoming van de Verwerker blijkt.
12. Teruggave en verwijdering bij einde
Na beëindiging van de dienstverlening verwijdert de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens of geeft hij deze terug, en verwijdert hij bestaande kopieën, tenzij opslag van de persoonsgegevens op grond van Unierechtelijke of nationale wetgeving is vereist.
De Verwerkingsverantwoordelijke kan binnen een redelijke termijn na beëindiging een export van de gegevens opvragen. Daarna worden de persoonsgegevens aantoonbaar verwijderd of geanonimiseerd, inclusief uit back-ups conform de reguliere back-upcyclus. De verwijdering is op verzoek herleidbaar in de audit trail.
13. Aansprakelijkheid
De aansprakelijkheid van partijen onder deze Overeenkomst wordt beheerst door de aansprakelijkheidsbepalingen uit de hoofdovereenkomst, met inachtneming van het dwingendrechtelijke kader van de AVG. Iedere partij is aansprakelijk voor schade die voortvloeit uit haar eigen tekortkoming in de nakoming van haar verplichtingen onder de AVG en deze Overeenkomst.
De in de hoofdovereenkomst opgenomen beperkingen en uitsluitingen van aansprakelijkheid zijn van overeenkomstige toepassing op deze Overeenkomst, voor zover dat wettelijk is toegestaan. Niets in deze Overeenkomst beperkt de rechten van betrokkenen op grond van de AVG.
14. Toepasselijk recht
Op deze Overeenkomst is [toepasselijk recht, nader te bepalen] van toepassing, met inachtneming van de AVG/GDPR voor de verwerking van persoonsgegevens van EU-betrokkenen. Geschillen die voortvloeien uit of verband houden met deze Overeenkomst worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerker is gevestigd, tenzij partijen schriftelijk anders overeenkomen of dwingend recht anders bepaalt.
Bij strijdigheid tussen deze Overeenkomst en de hoofdovereenkomst prevaleert, voor zover het de verwerking van persoonsgegevens betreft, deze Overeenkomst.
Bijlage: beveiligingsmaatregelen
Hieronder staan de technische en organisatorische maatregelen die de Verwerker treft, zoals bedoeld in artikel 7. De maatregelen worden periodiek geëvalueerd en kunnen worden aangevuld naar aanleiding van nieuwe inzichten of risico’s. Een uitgebreidere beschrijving staat op de pagina Beveiliging & encryptie.
| Categorie | Maatregel |
|---|---|
| Toegangsbeheer | Toegang op basis van rol en context (least privilege), met meervoudige authenticatie voor beheerderstoegang en periodieke herziening van rechten. |
| Encryptie in transport | Versleuteling van al het dataverkeer via actuele TLS-protocollen tussen gebruikers, systemen en sub-verwerkers. |
| Encryptie in opslag | Versleuteling van persoonsgegevens in de database en back-ups met sterke, beheerde sleutels. |
| Logging & monitoring | Volledige audit trail van verwerkingen, plus beveiligings- en stabiliteitsmonitoring met alarmering op afwijkingen. |
| Scheiding van omgevingen | Strikte scheiding tussen ontwikkel-, test- en productieomgevingen; productiegegevens worden niet in test gebruikt. |
| Back-up & herstel | Regelmatige, versleutelde back-ups met geteste herstelprocedures en gedefinieerde hersteldoelen. |
| Pseudonimisering & minimalisatie | Dataminimalisatie bij ontwerp en pseudonimisering waar dat het doel niet in de weg staat. |
| Personeel & geheimhouding | Geheimhoudingsplicht voor medewerkers, bewustwordingstraining en gedocumenteerde toegangsprocedures. |
Bijlage: sub-verwerkers
Onderstaande sub-verwerkers worden ingeschakeld voor onderdelen van de verwerking, zoals bedoeld in artikel 8. Allen zijn gebonden aan dezelfde beveiligings- en bewaarafspraken. De lijst is indicatief; de actuele versie is op verzoek opvraagbaar.
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Cloud-hosting (EU-regio) | Opslag en hosting van de applicatie en database | EU |
| E-maildienst | Transactionele berichten en notificaties | EU |
| Foutmonitoring & logging | Beveiligings- en stabiliteitsmonitoring | EU |
| [Naam sub-verwerker] | [Doel van de verwerking] | [Locatie] |
Bracketed velden zijn placeholders die per concrete inschakeling worden ingevuld.
Contact
Vragen over deze verwerkersovereenkomst, een verzoek om het ondertekende model of het inzien van de actuele sub-verwerkerslijst? Neem contact op via privacy@oxiae.com. De gegevens van de functionaris voor gegevensbescherming zijn op te vragen: [naam functionaris].
Lees ook
- Rollen & verwerkersWie is verwerkingsverantwoordelijke, wie verwerker en hoe leggen we dat vast.
- Beveiliging & encryptieDe technische en organisatorische maatregelen achter de bijlage.
- AVG / GDPRPrivacy by design, dataminimalisatie en bewaartermijnen.
- Plan een demoZie hoe rollen, consent en audit trail aantoonbaar samenkomen.
Een verwerkersovereenkomst nodig?
Plan een demo of vraag het standaardmodel op, en zie hoe OXIAE rollen, beveiliging en bewaartermijnen aantoonbaar vastlegt.