Verwerkersovereenkomst
Laatst bijgewerkt: maart 2026
1. Inleiding
Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de Algemene Voorwaarden tussen Vysion BV ("Verwerker") en u, de klant ("Verwerkingsverantwoordelijke"), en regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in het kader van de Vysion e-mail beveiligingsdienst ("Dienst").
Deze DPA is opgesteld in overeenstemming met artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG").
2. Definities
- "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4(1) AVG.
- "Verwerking" betekent elke bewerking van Persoonsgegevens, zoals gedefinieerd in artikel 4(2) AVG.
- "Verwerkingsverantwoordelijke" betekent de klant die het doel en de middelen van de verwerking van Persoonsgegevens vaststelt.
- "Verwerker" betekent Vysion BV, die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
- "Subverwerker" betekent elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens te verwerken.
3. Omvang van de verwerking
3.1 Onderwerp
De Verwerker verwerkt Persoonsgegevens om de e-mail beveiligingsdienst te leveren, inclusief dreigingsdetectie, IBAN-fraude baselinetracking en monitoring van datalekken.
3.2 Categorieën van betrokkenen
- Werknemers en teamleden van de organisatie van de Verwerkingsverantwoordelijke
- Personen die e-mails sturen naar de organisatie van de Verwerkingsverantwoordelijke
3.3 Soorten persoonsgegevens
- E-mailadressen (afzender en ontvanger)
- Namen (zoals vermeld in e-mailheaders)
- E-mailmetadata (onderwerpregels, tijdstempels, bericht-ID's)
- E-mailinhoud (verwerkt in real-time, niet opgeslagen)
- IBAN-nummers gevonden in e-mails (opgeslagen voor fraudebaseline)
- IP-adressen en apparaatinformatie (voor authenticatie en logging)
- Organisatie- en accountgegevens
3.4 Duur
De verwerking duurt voor de duur van het actieve abonnement van de Verwerkingsverantwoordelijke. Bij beëindiging zal de Verwerker alle Persoonsgegevens binnen 30 dagen verwijderen of retourneren, zoals beschreven in Sectie 10.
4. Verplichtingen van de Verwerker
De Verwerker zal:
- Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgifte van Persoonsgegevens buiten de EER, tenzij de Verwerker hiertoe verplicht is op grond van EU- of Belgisch recht
- Waarborgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben
- Passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie Sectie 7)
- De Verwerkingsverantwoordelijke bijstaan bij het nakomen van zijn verplichting om te reageren op verzoeken van betrokkenen (inzage, rectificatie, wissing, overdraagbaarheid, enz.)
- De Verwerkingsverantwoordelijke bijstaan bij het waarborgen van naleving van de artikelen 32–36 AVG (beveiliging, melding datalekken, DPIA, voorafgaande raadpleging)
- Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of retourneren na beëindiging van de dienstverlening
- De Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om naleving van artikel 28 AVG aan te tonen, en audits mogelijk maken en daaraan bijdragen
5. Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke zal:
- Ervoor zorgen dat er een rechtmatige grondslag is voor de verwerking van Persoonsgegevens en voor het opdragen van de verwerking aan de Verwerker
- Ervoor zorgen dat de betrokken betrokkenen zijn geïnformeerd over de verwerking overeenkomstig de artikelen 13 en 14 AVG
- Gedocumenteerde instructies verstrekken aan de Verwerker met betrekking tot de verwerking van Persoonsgegevens
6. Subverwerkers
6.1 Geautoriseerde subverwerkers
De Verwerkingsverantwoordelijke verleent algemene schriftelijke toestemming aan de Verwerker om de volgende subverwerkers in te schakelen:
| Subverwerker | Doel | Locatie | Waarborgen |
|---|---|---|---|
| Stripe, Inc. | Betalingsverwerking | VS | EU SCCs, DPF |
| Microsoft Corporation | OAuth, Graph API | EU / VS | EU SCCs, DPF |
| Google LLC | OAuth, Gmail API | EU / VS | EU SCCs, DPF |
| Hetzner Online GmbH | Applicatiehosting & database | EU (Duitsland) | EU-gevestigd |
| Have I Been Pwned | Monitoring datalekken | Australië | EU SCCs |
6.2 Nieuwe subverwerkers
De Verwerker zal de Verwerkingsverantwoordelijke ten minste 30 dagen van tevoren informeren over voorgenomen wijzigingen betreffende het toevoegen of vervangen van subverwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid krijgt om bezwaar te maken. Indien de Verwerkingsverantwoordelijke op redelijke gronden bezwaar maakt, zullen de partijen te goeder trouw overleggen om de kwestie op te lossen.
6.3 Overeenkomsten met subverwerkers
De Verwerker waarborgt dat elke subverwerker gebonden is aan gegevensbeschermingsverplichtingen die niet minder beschermend zijn dan die welke in deze DPA zijn vastgelegd, via een schriftelijke overeenkomst overeenkomstig artikel 28(4) AVG.
7. Beveiligingsmaatregelen
De Verwerker implementeert de volgende technische en organisatorische maatregelen ter bescherming van Persoonsgegevens:
7.1 Technische maatregelen
- Versleuteling van gegevens in transit via TLS 1.2 of hoger
- Versleuteling van gegevens in rust
- Veilige OAuth 2.0 authenticatie (geen wachtwoordopslag)
- Rate limiting en mechanismen ter voorkoming van misbruik
- Geautomatiseerde beveiligingsscanning en afhankelijkheidsmonitoring
- Real-time e-mailinhoud wordt in het geheugen verwerkt en niet persistent opgeslagen
7.2 Organisatorische maatregelen
- Rolgebaseerde toegangscontrole (Eigenaar/Beheerder/Lid)
- Auditlogging van gevoelige operaties
- Toegang beperkt tot geautoriseerd personeel
- Regelmatige beveiligingsreviews en code-audits
- Incidentresponsprocedures
8. Melding van datalekken
In geval van een inbreuk op Persoonsgegevens (zoals gedefinieerd in artikel 4(12) AVG) zal de Verwerker:
- De Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in elk geval binnen 72 uur na kennisname van de inbreuk, op de hoogte stellen
- De Verwerkingsverantwoordelijke voldoende informatie verstrekken om aan zijn meldingsplicht bij de toezichthoudende autoriteit te voldoen (artikel 33 AVG), waaronder:
- De aard van de inbreuk, categorieën en geschat aantal getroffen betrokkenen
- De waarschijnlijke gevolgen van de inbreuk
- De genomen of voorgestelde maatregelen om de inbreuk aan te pakken
- Medewerking verlenen aan de Verwerkingsverantwoordelijke bij het onderzoeken en beperken van de inbreuk
- De inbreuk documenteren, inclusief de gevolgen en de genomen herstelmaatregelen
9. Internationale gegevensdoorgiften
Wanneer Persoonsgegevens buiten de Europese Economische Ruimte (EER) worden doorgegeven, waarborgt de Verwerker dat passende waarborgen zijn getroffen via:
- EU-standaardcontractbepalingen (SCCs) zoals vastgesteld door de Europese Commissie
- EU-VS Data Privacy Framework-certificeringen (indien van toepassing)
- Adequaatheidsbesluiten van de Europese Commissie
De Verwerker informeert de Verwerkingsverantwoordelijke over elke doorgifte en de toegepaste waarborgen. Transfer Impact Assessments worden uitgevoerd wanneer dat vereist is.
10. Verwijdering van gegevens bij beëindiging
Bij beëindiging of afloop van de Dienstovereenkomst zal de Verwerker:
- Binnen 30 dagen alle Persoonsgegevens verwijderen die namens de Verwerkingsverantwoordelijke zijn verwerkt, tenzij EU- of Belgisch recht bewaring vereist
- Op verzoek de Verwerkingsverantwoordelijke vóór verwijdering een kopie van de gegevens verstrekken in een gestructureerd, gangbaar en machineleesbaar formaat
- Op verzoek van de Verwerkingsverantwoordelijke een schriftelijke bevestiging van verwijdering verstrekken
Facturatiegegevens mogen worden bewaard zoals vereist door de Belgische belastingwetgeving (tot 7 jaar) en worden duidelijk gescheiden van andere Persoonsgegevens.
11. Audits
De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om naleving van artikel 28 AVG aan te tonen. De Verwerkingsverantwoordelijke (of een aangestelde externe auditor) mag audits uitvoeren van de gegevensverwerkingsactiviteiten van de Verwerker, onder de volgende voorwaarden:
- Redelijke voorafgaande kennisgeving (ten minste 30 dagen)
- Audits worden uitgevoerd tijdens normale kantooruren
- De auditor is gebonden aan geheimhoudingsverplichtingen
- Maximaal één audit per jaar, tenzij er een datalek heeft plaatsgevonden
12. Aansprakelijkheid
De aansprakelijkheid van elke partij op grond van deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen zoals vastgelegd in de Algemene Voorwaarden. Deze DPA beperkt niet de aansprakelijkheid van een partij voor schendingen van de gegevensbeschermingswetgeving waar een dergelijke beperking niet is toegestaan door het toepasselijk recht.
13. Toepasselijk recht
Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met het Belgisch recht. Eventuele geschillen worden voorgelegd aan de exclusieve bevoegdheid van de Belgische rechtbanken.
14. Wijzigingen
Deze DPA kan door de Verwerker worden gewijzigd om wijzigingen in de gegevensbeschermingswetgeving of de Dienst weer te geven. Wezenlijke wijzigingen worden ten minste 30 dagen van tevoren aan de Verwerkingsverantwoordelijke meegedeeld. Voortgezet gebruik van de Dienst na kennisgeving geldt als aanvaarding.
15. Contact
Voor vragen over deze DPA of gegevensverwerkingszaken kunt u contact met ons opnemen via:
- E-mail: privacy@vysion.be
- Algemene vragen: info@vysion.be
- Bedrijf: Vysion BV, België
16. Toezichthoudende autoriteit
U heeft het recht een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit (GBA):
- Website: www.gegevensbeschermingsautoriteit.be
- Adres: Drukpersstraat 35, 1000 Brussel, België
- E-mail: contact@apd-gba.be