Waarom deze overeenkomst? De AVG (Art. 28) verplicht dat er een schriftelijke verwerkersovereenkomst bestaat tussen de verwerkingsverantwoordelijke (u als klant) en de verwerker (RJ Websites). Door gebruik te maken van ons platform accepteert u deze overeenkomst.
Partijen
Verwerker: RJ Websites (KVK: 42072882) , t Houckemaland 28 Bolsward (hierna: "Verwerker").
Verwerkingsverantwoordelijke: de klant die gebruik maakt van het RJ Websites platform en hiervoor een overeenkomst heeft gesloten (hierna: "Verwerkingsverantwoordelijke").
Artikel 1: Onderwerp en duur
De Verwerker verleent hostingdiensten via het RJ Websites platform waarmee de Verwerkingsverantwoordelijke een website beheert. In het kader van deze dienstverlening verwerkt de Verwerker persoonsgegevens namens de Verwerkingsverantwoordelijke.
Deze overeenkomst loopt voor de duur van de serviceovereenkomst en eindigt automatisch op het moment dat de Verwerkingsverantwoordelijke zijn account beëindigt.
Artikel 2: Aard en doel van de verwerking
De Verwerker verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden:
- Het hosten en beschikbaar stellen van de website van de Verwerkingsverantwoordelijke
- Het verwerken en doorsturen van contactformulier-inzendingen van websitebezoekers
- Het opslaan van media en content die de Verwerkingsverantwoordelijke uploadt
- Technische ondersteuning en foutopsporing bij de dienstverlening
De Verwerker verwerkt de persoonsgegevens niet voor eigen commerciële doeleinden en deelt ze niet met derden, tenzij dit wettelijk verplicht is.
Artikel 3: Soort persoonsgegevens en categorieën betrokkenen
Categorieën betrokkenen
- Bezoekers van de website van de Verwerkingsverantwoordelijke
- Personen die een contactformulier invullen op die website
Soort persoonsgegevens
Afhankelijk van de inrichting van de website door de Verwerkingsverantwoordelijke, kunnen de volgende gegevens worden verwerkt:
- Naam en contactgegevens (e-mailadres, telefoonnummer)
- Berichten en vragen ingediend via contactformulieren
- IP-adressen (opgeslagen in serverlogbestanden door de hostingomgeving)
De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor de inhoud van de website en de persoonsgegevens die via die website worden verwerkt.
Artikel 4: Verplichtingen van de Verwerker
De Verwerker verplicht zich tot het volgende:
- Persoonsgegevens uitsluitend verwerken op schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij wettelijk anders vereist.
- Alle medewerkers die toegang hebben tot de persoonsgegevens zijn gebonden aan geheimhouding.
- Passende technische en organisatorische beveiligingsmaatregelen treffen (zie Artikel 7).
- De Verwerkingsverantwoordelijke bijstaan bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, wissing), voor zover technisch mogelijk.
- De Verwerkingsverantwoordelijke bijstaan bij het nakomen van verplichtingen op grond van de AVG (art. 32–36).
- Na afloop van de verwerkingsdiensten alle persoonsgegevens verwijderen of teruggeven op verzoek van de Verwerkingsverantwoordelijke.
- Alle informatie beschikbaar stellen die noodzakelijk is om aan te tonen dat de verplichtingen zijn nagekomen.
Artikel 5: Sub-verwerkers
De Verwerker maakt gebruik van de volgende sub-verwerkers voor de uitvoering van de dienstverlening:
| Sub-verwerker | Dienst | Vestigingsplaats | Waarborg |
|---|---|---|---|
| Hetzner Cloud GmbH | Serverhosting (VPS, opslag, backups) | Duitsland (EU) | AVG-compliant, ISO 27001 |
| Mailgun Technologies, Inc. (Sinch) | Transactionele e-mailverzending, alleen wanneer de Verwerkingsverantwoordelijke geen eigen SMTP heeft geconfigureerd. Bij eigen SMTP verloopt e-mail buiten Mailgun om. | EU-regio (eu.mailgun.net) | Standard Contractual Clauses (SCC) |
| Anthropic, PBC | AI-ontwikkeltools (Claude Code) uitsluitend voor broncode-assistentie en platformbeheer door de Verwerker. Deze tool wordt niet ingezet voor verwerking van klant-persoonsgegevens; toegang tot bestanden met persoonsgegevens is technisch geblokkeerd via een configuratiebestand. | Verenigde Staten | Standard Contractual Clauses (SCC) |
De Verwerker informeert de Verwerkingsverantwoordelijke bij wijziging van sub-verwerkers via de eigen website of e-mail, zodat de Verwerkingsverantwoordelijke bezwaar kan maken.
Artikel 6: Doorgifte buiten de EU
Serverhosting vindt uitsluitend plaats binnen de EU via Hetzner Cloud (Duitsland).
Voor e-mailverzending maakt de Verwerker gebruik van Mailgun (Sinch, VS). Persoonsgegevens (e-mailadressen van betrokkenen) worden hierbij doorgegeven op basis van Standard Contractual Clauses (SCC) conform AVG Art. 46. De EU-regio van Mailgun wordt gebruikt, waardoor verwerking primair binnen de EER plaatsvindt.
Artikel 7: Beveiligingsmaatregelen
De Verwerker treft de volgende technische en organisatorische maatregelen (TOMs):
Technische maatregelen
- Versleutelde verbindingen via HTTPS/TLS (HSTS ingeschakeld)
- Dagelijkse versleutelde back-ups, bewaard gedurende 30 dagen
- Wachtwoorden opgeslagen als bcrypt-hash (niet leesbaar in klare tekst)
- Twee-factor-authenticatie (2FA) beschikbaar voor alle accounts
- Rate limiting en honeypot-beveiliging op alle publieke formulieren
- Strikte scoping: elke klant heeft alleen toegang tot eigen gegevens
- Wekelijkse geautomatiseerde beveiligingscontroles (CVE's, OS-updates)
Organisatorische maatregelen
- Toegang tot productie-omgeving beperkt tot de platformbeheerder
- Geheimhoudingsplicht voor iedereen met toegang tot persoonsgegevens
- Responsible disclosure beleid gepubliceerd op rjwebsites.nl/responsible-disclosure
Artikel 8: Melding datalekken
De Verwerker meldt een inbreuk in verband met persoonsgegevens aan de Verwerkingsverantwoordelijke binnen 48 uur nadat de Verwerker hiervan kennis heeft genomen, zodat de Verwerkingsverantwoordelijke aan zijn meldplicht bij de Autoriteit Persoonsgegevens (72 uur) kan voldoen.
De melding bevat minimaal:
- De aard van de inbreuk
- De categorieën en het aantal betrokkenen en persoonsgegevens
- De waarschijnlijke gevolgen van de inbreuk
- De maatregelen die de Verwerker heeft getroffen of voorstelt
Artikel 9: Rechten van betrokkenen
Indien de Verwerkingsverantwoordelijke een verzoek ontvangt van een betrokkene (inzage, rectificatie, wissing, etc.) en daarvoor technische bijstand nodig heeft van de Verwerker, neemt de Verwerkingsverantwoordelijke contact op via [email protected]. De Verwerker verleent deze bijstand binnen een redelijke termijn.
Artikel 10: Verwijdering gegevens bij beëindiging
Na beëindiging van de dienstverlening verwijdert de Verwerker alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen 30 dagen, tenzij wettelijke bewaarverplichtingen anders vereisen (bijv. factuurgegevens gedurende 7 jaar).
Artikel 11: Audits en inspecties
De Verwerker stelt alle informatie beschikbaar die noodzakelijk is om aan te tonen dat aan de verplichtingen van deze overeenkomst is voldaan. De Verwerkingsverantwoordelijke kan een audit aanvragen via [email protected]. Kosten van audits zijn voor rekening van de Verwerkingsverantwoordelijke.
Artikel 12: Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter.
Acceptatie: Door gebruik te maken van het RJ Websites platform accepteert u automatisch deze verwerkersovereenkomst. U hoeft deze niet apart te ondertekenen. Heeft u vragen of wilt u een getekend exemplaar ontvangen? Neem contact op via [email protected].