Verwerkersovereenkomst

Deze verwerkersovereenkomst ("DPA") maakt integraal deel uit van de Algemene Voorwaarden tussen jou (hierna: Verwerkingsverantwoordelijke) en Offertico (hierna: Verwerker), voor zover je via Offertico persoonsgegevens van derden (zoals jouw eindklanten) verwerkt. Deze DPA geldt als schriftelijke overeenkomst in de zin van AVG art. 28 lid 3.

1. Onderwerp, aard, duur en doel van de verwerking

Onderwerp: verwerking van persoonsgegevens die jij als Verwerkingsverantwoordelijke in Offertico invoert, opslaat, of via het Platform deelt met eindklanten.
Aard: elektronische opslag, weergave, doorgifte, generatie (PDF/e-mail), back-up en — op jouw instructie — verwijdering.
Duur: de looptijd van de Overeenkomst, aangevuld met een uitloopperiode van maximaal 30 dagen voor verwijdering of teruggave. Wettelijke bewaartermijnen gaan hier bovenop.
Doel: het leveren van de dienst Offertico en het ondersteunen van de bedrijfsvoering van de Verwerkingsverantwoordelijke.

2. Categorieën betrokkenen en persoonsgegevens

Categorieën betrokkenen: eindklanten van de Verwerkingsverantwoordelijke, contactpersonen van leveranciers, werknemers van de Verwerkingsverantwoordelijke, eventuele overige zakelijke relaties.

Categorieën persoonsgegevens: naam, adres, postcode, plaats, e-mailadres, telefoonnummer, KvK-nummer, BTW-nummer, projectlocaties, offerte- en factuurhistorie, betalingsstatus, communicatie en eventuele toelichtingen die de Verwerkingsverantwoordelijke invoert.

Geen bijzondere persoonsgegevens. Het Platform is niet bestemd voor het verwerken van bijzondere persoonsgegevens (ras, religie, gezondheid, biometrie, strafrechtelijk verleden) of BSN. Voer geen dergelijke gegevens in. Als je dat toch doet, doe je dat op eigen verantwoordelijkheid en risico en aanvaardt de Verwerker daarvoor geen aansprakelijkheid.

3. Rolverdeling en instructies

Jij bent en blijft Verwerkingsverantwoordelijke voor de persoonsgegevens die jij verwerkt via Offertico. Wij treden uitsluitend op als Verwerker en verwerken persoonsgegevens alleen op jouw gedocumenteerde instructie, tenzij wij op grond van EU- of nationaal recht verplicht zijn anders te handelen — in welk geval wij jou daarover informeren, tenzij dat wettelijk verboden is. Jouw gebruik van het Platform geldt als een gedocumenteerde instructie. Wij informeren jou onmiddellijk indien een instructie naar onze mening inbreuk maakt op de AVG of andere privacy-wetgeving.

4. Geheimhouding

Personen die toegang hebben tot persoonsgegevens (medewerkers, ingehuurde derden en sub-verwerkers) zijn contractueel of uit hoofde van hun functie gebonden aan geheimhouding, ook na het einde van hun werkzaamheden.

5. Beveiliging (technische en organisatorische maatregelen — TOMs)

Wij treffen passende TOMs zoals omschreven in Bijlage 1 bij deze DPA. Deze maatregelen worden periodiek geëvalueerd en geüpdatet om een beveiligingsniveau te garanderen dat is afgestemd op de risico's van de verwerking.

6. Sub-verwerkers

Je geeft Offertico algemene toestemming om sub-verwerkers in te schakelen voor zover noodzakelijk voor het leveren van de dienst. De actuele lijst staat in Bijlage 2. Bij toevoeging of vervanging van een sub-verwerker informeren wij jou ten minste 14 dagen vooraf via e-mail of via een melding in het Platform. Je hebt het recht binnen die termijn gemotiveerd bezwaar te maken; doe je dat, dan zoeken partijen te goeder trouw naar een oplossing. Als er binnen redelijke termijn geen oplossing is, mag elke partij de Overeenkomst beëindigen voor het deel dat door de wijziging wordt geraakt.

Met alle sub-verwerkers hebben wij een schriftelijke overeenkomst met ten minste dezelfde verplichtingen als in deze DPA. Wij blijven jegens jou volledig verantwoordelijk voor de naleving door de sub-verwerker.

7. Internationale doorgiften

Persoonsgegevens worden zo veel mogelijk binnen de EER verwerkt. Bij doorgifte naar een derde land buiten de EER zorgen wij voor passende waarborgen (AVG art. 46), waaronder Standard Contractual Clauses (SCC's) en, waar nodig, aanvullende maatregelen zoals encryptie, pseudonimisering en een transfer impact assessment (TIA).

8. Medewerking aan betrokkenenrechten

Wij ondersteunen jou zoveel als redelijkerwijs mogelijk bij het vervullen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar). Omdat jij als Verwerkingsverantwoordelijke zelf toegang hebt tot de data in het Platform, kun je de meeste verzoeken zelfstandig afhandelen. Wij kunnen een redelijke vergoeding rekenen voor uitzonderlijke inspanningen.

9. Datalekmelding

Wij informeren jou onverwijld, in beginsel binnen 48 uur na constatering, over een datalek dat jouw data betreft, met alle informatie die redelijkerwijs nodig is om te voldoen aan jouw meldplichten aan de Autoriteit Persoonsgegevens (72 uur) en aan betrokkenen. Wij bieden medewerking bij onderzoek, bewijsvergaring en herstel. Zelf melden wij datalekken bij de AP wanneer wij daarvoor verantwoordelijk zijn als verwerkingsverantwoordelijke.

10. Data protection impact assessment (DPIA) en voorafgaande raadpleging

Wij verlenen jou redelijke medewerking bij een DPIA (AVG art. 35) of voorafgaande raadpleging (AVG art. 36) die verband houdt met het gebruik van Offertico.

11. Audit

Je hebt het recht één keer per kalenderjaar op eigen kosten een audit te (laten) uitvoeren door een onafhankelijke en gecertificeerde derde, ter vaststelling van de naleving van deze DPA. Partijen stemmen vooraf de reikwijdte, datum en werkwijze af. De audit mag onze bedrijfsvoering niet onredelijk verstoren en respecteert geheimhoudings- en vertrouwelijkheidsverplichtingen jegens andere klanten. In plaats van of aanvullend op een audit kunnen wij je een actuele externe certificering, pentest- of assurance-rapport verstrekken.

12. Teruggave en verwijdering

Bij einde van de Overeenkomst of eerder op jouw gedocumenteerd verzoek, zullen wij alle persoonsgegevens verwijderen of — naar jouw keuze — aan jou teruggeven in een gangbaar machineleesbaar formaat (JSON). Dit binnen 30 dagen, behoudens wettelijke bewaarplicht. Back-ups worden overschreven volgens de normale rolling retention (maximaal 30 dagen). Na uitvoering ontvang je desgevraagd een schriftelijke bevestiging.

13. Aansprakelijkheid en vrijwaring

De aansprakelijkheid onder deze DPA is begrensd zoals bepaald in de Algemene Voorwaarden. Voor zover wettelijk toegestaan beperkt de Verwerker zijn aansprakelijkheid tot directe schade en met inachtneming van de cumulatieve maximumbedragen zoals vermeld in de Voorwaarden. AVG-boetes opgelegd aan de Verwerkingsverantwoordelijke als gevolg van eigen (niet aan de Verwerker verwijtbare) handelen of nalaten van de Verwerkingsverantwoordelijke komen voor rekening van de Verwerkingsverantwoordelijke; de Verwerker is daarvoor niet aansprakelijk en wordt zonodig gevrijwaard.

14. Overige bepalingen

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Offertico is gevestigd. Bij strijd met de Algemene Voorwaarden prevaleren de bepalingen van deze DPA voor zover zij zien op persoonsgegevens.

Bijlage 1 — Technische en organisatorische maatregelen (TOMs)

Toegangsbeheer

Role-based access control (RBAC) met minste-privilege-principe.
Sterke wachtwoorden met bcrypt-hashing (cost factor ≥ 10).
Multi-factor authenticatie beschikbaar voor beheerders-toegang (waar van toepassing).
Sessiebeheer met time-out en beveiligde cookies (HttpOnly, Secure, SameSite).
Audit-logging van beheerders-acties, waaronder impersonatie.

Netwerkbeveiliging

TLS 1.2+ encryptie voor al het verkeer (HTTPS-only, HSTS).
Firewall en netwerksegmentatie op hosting-niveau.
Rate-limiting op gevoelige endpoints (signup, login, wachtwoordherstel).
DDoS-mitigatie via de hostingpartner.

Data-opslag

Encryptie at rest op database- en object-storage-niveau.
Dagelijkse back-ups met rolling retention (ten minste 7 dagen, streef: 30 dagen).
Gescheiden productie- en ontwikkel-omgevingen; geen productiedata in ontwikkel.
Soft-delete en anonimisering bij verzoeken tot verwijdering; harde wissing volgt via back-up-rotatie.

Applicatiebeveiliging

Input-validatie, output-encoding en parameterized queries (Prisma) tegen injectie.
CSRF-bescherming en SameSite-cookie-policy.
Dependency scanning en tijdige security-patches.
Gedocumenteerde release- en rollback-procedure met versiebeheer.

Organisatorische maatregelen

Schriftelijke geheimhoudingsverklaring met medewerkers en ingehuurde derden.
Incidentbeheer- en datalekprotocol (melding binnen 48 uur aan de Verwerkingsverantwoordelijke).
Periodieke review van toegangsrechten en sub-verwerkers.
Awareness-training voor medewerkers over privacy en security.
Least-privilege-beleid voor beheerderstoegang.

Bijlage 2 — Sub-verwerkers

Actuele lijst van ingeschakelde sub-verwerkers (AVG art. 28 lid 2). Wij informeren je ten minste 14 dagen van tevoren bij toevoeging of vervanging van sub-verwerkers, waarna je de mogelijkheid hebt bezwaar te maken conform artikel 9 van deze DPA. Op verzoek verstrekken wij aanvullende informatie over specifieke leveranciers.

Partij	Doel	Locatie
Abacus.AI, Inc. (cloud-hosting, applicatieserver, database)	Hosting van applicatie en databank	VS met SCC's + TIA
Amazon Web Services EMEA SARL (S3-objectopslag)	Logo's, PDF's, foto's, documenten	EER (eu-west-1)
Abacus.AI, Inc. (transactioneel e-mail)	Account-mails, wachtwoordherstel, notificaties	VS met SCC's
Uitgaande SMTP (door jou geconfigureerd)	Verzenden van jouw eigen offertes/facturen	Afhankelijk van jouw SMTP-leverancier
Abacus.AI, Inc. (AI-taalmodellen)	AI-assistent, spellingcontrole, content-suggesties	VS met SCC's + TIA
PDOK / Kadaster (BAG)	Adres- en BAG-data	NL
3DBAG (TU Delft)	Dakoppervlak en gebouwgeometrie	NL
Europese Commissie (VIES)	BTW-validatie	EU
Open-Meteo GmbH	Weersvoorspellingen	EU (Duitsland)
Mollie B.V.	iDEAL-betalingen en automatische SEPA-incasso	NL (EER)

Waar een leverancier buiten de EER gevestigd is, waarborgen wij doorgifte door middel van Standard Contractual Clauses (SCC's) en een Transfer Impact Assessment (TIA) conform de aanbevelingen van het Europees Comité voor gegevensbescherming (EDPB).