§ Partijen

Verwerkingsverantwoordelijke (hierna: "Opdrachtgever"):

Gevestigd te
KvK-nummer:
Vertegenwoordigd door:

Verwerker (hierna: "FinQDC"):
FinQDC
Gevestigd te Zuidhorn (Pegasistraat 1)
KvK-nummer: 96851481
Vertegenwoordigd door: J. van der Laan

Gezamenlijk aangeduid als "Partijen".

1 Definities

In deze overeenkomst wordt verstaan onder:

• AVG — De Algemene Verordening Gegevensbescherming (EU) 2016/679.
• Persoonsgegevens — Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
• Verwerking — Elke bewerking van persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen of vernietigen van gegevens.
• Betrokkene — De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• Platform — Het VaaS-Zorg platform (vaas-zorg.nl) en de bijbehorende API-diensten.
• Datalek — Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot persoonsgegevens.

2 Doel en grondslag van de verwerking

FinQDC verwerkt persoonsgegevens uitsluitend in opdracht van de Opdrachtgever en ten behoeve van het leveren van de diensten via het Platform. De verwerking omvat:

• Het opslaan en beheren van door Opdrachtgever geüploade documenten (jaarrekeningen, contracten, rapporten).
• Het opslaan van gebruikersaccounts en authenticatiegegevens van medewerkers van Opdrachtgever.
• Het uitvoeren van vastgoedscans en analyses op basis van door Opdrachtgever aangeleverde data.
• Het verzenden van e-mailnotificaties aan medewerkers van Opdrachtgever (magic link authenticatie, documentmeldingen).

FinQDC verwerkt persoonsgegevens niet voor eigen doeleinden en niet op een wijze die onverenigbaar is met de doeleinden waarvoor de gegevens zijn verzameld.

3 Categorieën persoonsgegevens en betrokkenen

3.1 Categorieën persoonsgegevens

• E-mailadressen van medewerkers van Opdrachtgever
• Naam en functie van medewerkers (indien door Opdrachtgever ingevuld)
• Authenticatietokens en sessiegegevens
• Door Opdrachtgever geüploade documenten die mogelijk persoonsgegevens bevatten
• Metadata van scans en analyses (tijdstip, gebruiker, resultaten)

3.2 Categorieën betrokkenen

• Medewerkers van Opdrachtgever die toegang hebben tot het Platform
• Personen wier gegevens voorkomen in door Opdrachtgever geüploade documenten

4 Verplichtingen van de verwerker

FinQDC verbindt zich tot de volgende verplichtingen:

1. Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Opdrachtgever, tenzij een wettelijke verplichting anders vereist.
2. Alle personen die gemachtigd zijn om persoonsgegevens te verwerken, te verplichten tot geheimhouding.
3. Passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie Artikel 5).
4. De Opdrachtgever bij te staan bij het nakomen van de verplichtingen uit artikelen 32 tot en met 36 AVG (beveiliging, melden datalekken, DPIA).
5. Na beëindiging van de dienstverlening alle persoonsgegevens te wissen of aan de Opdrachtgever terug te geven, en bestaande kopieën te verwijderen, tenzij opslag wettelijk vereist is.
6. Alle informatie beschikbaar te stellen die nodig is om de nakoming van de verplichtingen uit artikel 28 AVG aan te tonen, en audits en inspecties mogelijk te maken.

5 Beveiligingsmaatregelen

FinQDC treft de volgende technische en organisatorische maatregelen ter bescherming van de persoonsgegevens:

5.1 Versleuteling

• Alle dataverkeer is beveiligd met TLS 1.3 (versleuteling in transit).
• Opgeslagen data is versleuteld met AES-256 (versleuteling in rust).

5.2 Toegangscontrole

• Authenticatie via e-mail-verificatie (magic link) — geen wachtwoorden.
• JSON Web Token (JWT) validatie op elke API-aanroep.
• Row Level Security (RLS) op databaseniveau: gebruikers kunnen uitsluitend data van hun eigen organisatie inzien.
• RLS-policies op de bestandsopslag: bestanden zijn alleen toegankelijk binnen de map van de eigen organisatie.

5.3 Infrastructuur

• Database en bestandsopslag: Supabase (SOC 2 Type II gecertificeerd), gehost in EU (Frankfurt, Duitsland).
• API-laag: Cloudflare Workers (SOC 2 Type II, ISO 27001 gecertificeerd).
• Frontend: Cloudflare Pages (SOC 2 Type II, ISO 27001 gecertificeerd).

5.4 Documentbeveiliging

• Documenten worden opgeslagen in een private opslagbucket (niet publiek toegankelijk).
• Downloads verlopen via getekende URLs met een maximale geldigheidsduur van 1 uur.
• Directe verwijdering via de database is geblokkeerd door RLS-policies.

5.5 Monitoring en logging

• API-aanroepen worden gelogd door Cloudflare.
• Database-wijzigingen worden bijgehouden door Supabase Audit Logging.

6 Sub-verwerkers

De Opdrachtgever verleent FinQDC hierbij algemene schriftelijke toestemming om sub-verwerkers in te schakelen. FinQDC informeert de Opdrachtgever over wijzigingen in sub-verwerkers. De Opdrachtgever heeft het recht bezwaar te maken tegen een nieuwe sub-verwerker binnen 14 dagen na kennisgeving.

De volgende sub-verwerkers worden op het moment van ondertekening ingezet:

7 Meldplicht datalekken

Bij ontdekking van een datalek informeert FinQDC de Opdrachtgever zonder onredelijke vertraging en in ieder geval binnen 48 uur na ontdekking. De melding bevat ten minste:

1. De aard van het datalek, inclusief — voor zover mogelijk — de categorieën en het aantal betrokkenen en persoonsgegevensrecords.
2. De naam en contactgegevens van de functionaris die nadere informatie kan verstrekken.
3. De waarschijnlijke gevolgen van het datalek.
4. De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken, inclusief maatregelen om de nadelige gevolgen te beperken.

FinQDC werkt volledig mee aan eventuele meldingen aan de Autoriteit Persoonsgegevens en/of betrokkenen door de Opdrachtgever.

8 Rechten van betrokkenen

FinQDC staat de Opdrachtgever bij in het beantwoorden van verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG, waaronder het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar.

Verzoeken die FinQDC rechtstreeks van betrokkenen ontvangt, worden onverwijld doorgestuurd naar de Opdrachtgever. FinQDC beantwoordt dergelijke verzoeken niet zelfstandig, tenzij de Opdrachtgever hiervoor uitdrukkelijk toestemming geeft.

9 Audit en controle

De Opdrachtgever heeft het recht om audits uit te voeren of te laten uitvoeren om de naleving van deze overeenkomst te controleren. FinQDC verleent medewerking aan dergelijke audits en stelt de benodigde informatie beschikbaar.

Audits vinden plaats na redelijke vooraankondiging (minimaal 14 dagen), tijdens reguliere kantooruren, en op kosten van de Opdrachtgever, tenzij de audit een tekortkoming van FinQDC aan het licht brengt.

10 Duur en beëindiging

Deze verwerkersovereenkomst treedt in werking op de datum van ondertekening en loopt zolang FinQDC persoonsgegevens verwerkt in het kader van de dienstverlening via het Platform.

Bij beëindiging van de dienstverlening zal FinQDC:

1. Alle persoonsgegevens van de Opdrachtgever binnen 30 dagen wissen of — op verzoek — aan de Opdrachtgever overdragen in een gangbaar, machineleesbaar formaat.
2. De Opdrachtgever schriftelijk bevestigen dat de gegevens zijn gewist.
3. Eventuele kopieën vernietigen, tenzij opslag wettelijk vereist is.

11 Toepasselijk recht en geschillen

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze overeenkomst worden voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland.

✎ Ondertekening

Aldus overeengekomen en in tweevoud opgemaakt en ondertekend op .