Verwerkersovereenkomst.
Wanneer wij persoonsgegevens van jouw klanten verwerken, doen wij dat in jouw opdracht. Deze overeenkomst legt vast welke regels we daarbij volgen, welke partijen wij inschakelen en wat we doen als er iets misgaat.
- 01Inleiding
- 02Begrippen
- 03Onderwerp en duur
- 04Verwerking op instructie
- 05Verplichtingen van Insyte
- 06Subverwerkers
- 07Internationale doorgifte
- 08Beveiligingsmaatregelen
- 09Datalekken
- 10Rechten van betrokkenen
- 11Audits en controles
- 12Beëindiging en retour
- 13Aansprakelijkheid
- 14Bijlage A — subverwerkers
- 15Bijlage B — categorieën
Inleiding
Deze verwerkersovereenkomst (de DPA) is onderdeel van de overeenkomst tussen jou en Insyte B.V. en wordt automatisch van kracht zodra je een winkel of berichtenkanaal koppelt waardoor persoonsgegevens van eindklanten in Insyte verwerkt worden.
Jij bent verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG voor de klantgegevens die via jouw winkels binnenkomen. Insyte is verwerker voor diezelfde gegevens, in de zin van artikel 4 lid 8 AVG. Voor jouw eigen accountgegevens is Insyte zelf verantwoordelijke; die situatie valt buiten de DPA en wordt geregeld in de privacyverklaring.
Bij strijd tussen de hoofdovereenkomst en deze DPA geldt deze DPA voor zover het de verwerking van persoonsgegevens betreft.
Begrippen
De volgende begrippen volgen de definities uit de AVG en, waar nodig, uit de hoofdovereenkomst. Zij hebben in deze DPA dezelfde betekenis.
- AVG
- Verordening (EU) 2016/679, de Algemene Verordening Gegevensbescherming.
- EER
- De Europese Economische Ruimte: de EU-lidstaten plus IJsland, Liechtenstein en Noorwegen.
- Klantgegevens
- Persoonsgegevens van eindklanten van de operator die binnen de dienst worden verwerkt, zoals beschreven in bijlage B.
- Subverwerker
- Een door Insyte ingeschakelde derde die in opdracht van Insyte Klantgegevens verwerkt, zoals genoemd in bijlage A.
- Datalek
- Een inbreuk in verband met persoonsgegevens in de zin van artikel 4 lid 12 AVG.
- SCC
- Standard Contractual Clauses uit Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie.
Onderwerp en duur
Wat we verwerken, voor welk doel, en hoe lang. De volledige opsomming van betrokkenen en gegevenscategorieën staat in bijlage B.
Het onderwerp van de verwerking is het leveren van de dienst Insyte aan de operator: order- en ticketbeheer, klant communicatie, leveranciersfollow-up, automatiseringen en chargeback-afhandeling. De aard van de verwerking is verzameling, opslag, structurering, raadpleging, gebruik, doorgifte en verwijdering.
Deze DPA blijft van kracht zolang de hoofdovereenkomst loopt en zolang Insyte Klantgegevens onder zich heeft, met inbegrip van de retourperiode in artikel 12.
Verwerking op instructie
De gedocumenteerde instructie van de operator is het uitgangspunt; daarbuiten verwerken wij niet, behalve voor zover een wet ons daartoe verplicht.
Insyte verwerkt Klantgegevens uitsluitend op gedocumenteerde instructie van de operator. De hoofdovereenkomst, deze DPA, de Documentatie en de configuratie die de operator binnen Insyte maakt (winkelkoppelingen, automatiseringsregels, ticketrouting) gelden als gedocumenteerde instructies.
Indien Insyte op grond van Unierecht of het recht van een lidstaat verplicht is buiten de instructie te verwerken, stelt Insyte de operator daarvan vooraf in kennis, tenzij die wetgeving dat verbiedt op grond van zwaarwegend openbaar belang.
Verplichtingen van Insyte
- 01Vertrouwelijkheid afdwingen bij iedere werknemer of contractant die toegang heeft tot Klantgegevens.
- 02Passende technische en organisatorische maatregelen treffen, zoals beschreven in artikel 8 en op de beveiligingspagina.
- 03De operator helpen bij het voldoen aan de rechten van betrokkenen, zoals beschreven in artikel 10.
- 04De operator helpen bij beveiligingsincidenten, melding van datalekken en, waar van toepassing, de bijbehorende effectbeoordeling.
- 05Op verzoek bewijs leveren van naleving, conform artikel 11.
- 06Insyte stelt de operator direct in kennis als een instructie naar het oordeel van Insyte in strijd is met de AVG of andere toepasselijke wetgeving.
Subverwerkers
Insyte maakt gebruik van subverwerkers om de dienst te leveren. De operator geeft hierbij een algemene voorafgaande toestemming voor de inschakeling van subverwerkers, onder de voorwaarden hieronder.
- 01De actuele lijst van subverwerkers staat in bijlage A, en wordt onderhouden op insyte.co/dpa.
- 02Insyte sluit met iedere subverwerker een schriftelijke overeenkomst met verplichtingen die ten minste gelijk zijn aan deze DPA.
- 03Wijzigingen of toevoegingen aan de lijst van subverwerkers worden ten minste 30 dagen vooraf aangekondigd per e-mail aan de beheerder en op de DPA-pagina.
- 04De operator kan binnen 30 dagen na aankondiging op redelijke gronden bezwaar maken. Bij gegrond bezwaar zal Insyte zoeken naar een alternatief; bij gebrek aan alternatief mag de operator de hoofdovereenkomst opzeggen zonder vergoeding voor de overgebleven termijn.
Internationale doorgifte
Verwerking vindt in beginsel plaats binnen de EER. Voor subverwerkers die buiten de EER verwerken, gebruikt Insyte de SCC van de Europese Commissie als doorgiftegrond, module 3 (verwerker tot subverwerker) of module 2 (verwerkings verantwoordelijke tot verwerker) voor zover van toepassing.
Aanvullende technische en organisatorische maatregelen (versleuteling tijdens transport en rust, contractueel verbod op secundair gebruik, minimalisatie van metadata) gelden voor iedere doorgifte. Per subverwerker is een transfer impact assessment beschikbaar op verzoek.
Beveiligingsmaatregelen
De volgende maatregelen worden in elk geval getroffen. Een uitgebreidere beschrijving en de actuele status van certificeringen staan op de beveiligingspagina.
| Categorie | Maatregel |
|---|---|
| Versleuteling | TLS 1.2 of hoger tijdens transport. AES-256 in rust voor databases, back-ups en object-storage. |
| Authenticatie | Argon2id-hashing van wachtwoorden, verplichte 2FA voor de beheerder, sterk aanbevolen 2FA voor teamleden. |
| Toegangsbeheer | Rolgebaseerde toegangscontrole binnen het product, just-in-time en least-privilege toegang voor Insyte-medewerkers. |
| Netwerk | Private netwerksegmenten, WAF, IP-allowlisting voor administratieve toegang, DDoS-mitigatie via de hostingpartner. |
| Logging en monitoring | Audit-log per administratieve handeling met 24 maanden retentie. Geautomatiseerde alerting op afwijkende patronen. |
| Backup | Dagelijkse incrementele back-up, wekelijkse volledige back-up, retentie 30 dagen actief en 180 dagen koud, getest in een kwartaal-restore-oefening. |
| Personeel | Achtergrondcheck en NDA per medewerker. Jaarlijkse training over informatiebeveiliging en AVG. |
| Pen tests | Onafhankelijke penetratietest per jaar, en na elke materiële architectuurwijziging. |
Datalekken
Snel, feitelijk, zonder hoogdravende taal.
- 01Insyte meldt een Datalek zonder onredelijke vertraging en uiterlijk binnen 48 uur na vaststelling aan de beheerder van het getroffen account.
- 02De melding bevat de aard van het lek, de getroffen gegevenscategorieën, het geschatte aantal betrokkenen, de waarschijnlijke gevolgen, de getroffen maatregelen en het contactpunt.
- 03De operator is verantwoordelijk voor melding aan de Autoriteit Persoonsgegevens en eventueel aan betrokkenen. Insyte levert de feiten en helpt bij de inhoud van de melding.
- 04Insyte houdt een interne registratie van alle Datalekken, ongeacht of zij meldplichtig zijn.
Rechten van betrokkenen
Insyte ondersteunt de operator in de uitvoering van verzoeken van betrokkenen onder de artikelen 12 tot en met 23 AVG. Concreet biedt Insyte exports per klant (in CSV en JSON), verwijdering per klant en, op redelijk verzoek, ondersteuning bij bezwaar of beperking.
Verzoeken die rechtstreeks bij Insyte binnenkomen en niet over de eigen relatie met de operator gaan, worden zonder onredelijke vertraging doorgezet naar de betreffende operator. Insyte beantwoordt geen verzoeken van betrokkenen namens de operator, tenzij dit schriftelijk is afgesproken.
Audits en controles
Insyte stelt de operator jaarlijks een actuele beveiligings rapportage ter beschikking, inclusief de scope en samenvatting van de meest recente penetratietest. Op redelijk verzoek verstrekt Insyte aanvullende documentatie ter onderbouwing van de naleving van deze DPA.
De operator mag, op eigen kosten en ten hoogste eenmaal per jaar, een audit laten uitvoeren door een onafhankelijke en aan beide partijen aanvaardbare derde. De audit wordt ten minste 30 dagen vooraf aangekondigd, vindt plaats tijdens kantooruren en verstoort niet de bedrijfsvoering van Insyte. Bij vaststelling van een tekortkoming pakt Insyte deze direct op.
Beëindiging en retour
- 01Na beëindiging van de hoofdovereenkomst stelt Insyte op verzoek van de operator alle Klantgegevens beschikbaar in CSV of JSON, voor een periode van maximaal 30 dagen na beëindiging.
- 02Na afloop van die periode verwijdert Insyte de Klantgegevens binnen 60 dagen uit alle actieve systemen en binnen 180 dagen uit de back-ups, behoudens wettelijke bewaarplichten.
- 03Op verzoek verstrekt Insyte een schriftelijke bevestiging van de verwijdering.
Aansprakelijkheid
Aansprakelijkheid voor schade die voortvloeit uit deze DPA wordt beheerst door de aansprakelijkheidsbepalingen in de voorwaarden, voor zover van toepassing. De aansprakelijkheidsbeperkingen gelden niet bij opzet of bewuste roekeloosheid van Insyte of haar leidinggevenden.
Bijlage A — subverwerkers
De volgende subverwerkers zijn ingeschakeld voor de levering van Insyte. Wijzigingen worden aangekondigd zoals beschreven in artikel 6.
| Aanbieder | Dienst | Locatie | Grondslag |
|---|---|---|---|
| Hetzner Online GmbH | Hosting en object-storage | Frankfurt, Duitsland (EER) | Binnen EER |
| Cloudflare Inc. | WAF, DDoS-mitigatie, CDN | Wereldwijd edge-netwerk | SCC + aanvullende maatregelen |
| Stripe Payments Europe Ltd. | Verwerking van facturen en automatische incasso | Dublin, Ierland (EER) | Binnen EER |
| Postmark (ActiveCampaign LLC) | Transactionele e-mail | Verenigde Staten | SCC + aanvullende maatregelen |
| Anthropic Ireland Ltd. | AI-inferentie voor concepten en classificatie | Dublin, Ierland en VS | SCC, geen training op klantdata |
| Sentry (Functional Software Inc.) | Foutopvolging en performance-monitoring | Verenigde Staten, EU-residentie aangezet | SCC + EU data residency |
| Resend Inc. | Inkomende e-mailverwerking voor ticketing | Verenigde Staten | SCC + aanvullende maatregelen |
Bijlage B — gegevenscategorieën
De volgende categorieën van betrokkenen en gegevens worden binnen Insyte verwerkt namens de operator.
| Categorie betrokkene | Gegevenscategorieën | Duur |
|---|---|---|
| Eindklanten van de operator | Identificatie (naam, e-mail, telefoon), adresgegevens, ordergeschiedenis, betaalreferentie, communicatie en ticketinhoud. | Duur van de hoofdovereenkomst plus retourperiode. |
| Bezoekers van klantkanalen | IP-adres, user-agent, klikgeschiedenis binnen tickets of inbox. | 13 maanden, daarna geanonimiseerd. |
| Leveranciers en contactpersonen | Naam, e-mail, telefoon, KVK, leveringsadres. | Duur van de hoofdovereenkomst plus retourperiode. |
| Affiliates | Naam, e-mail, betaalgegevens, kliks en conversies. | Duur van de hoofdovereenkomst plus retourperiode. |
Bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG worden niet bewust verwerkt en horen niet in Insyte thuis. Operators wordt aangeraden geen gevoelige gegevens (zoals gezondheidsgegevens of strafrechtelijke gegevens) op te slaan in vrije tekstvelden.