Verwerkersovereenkomst
Dit is de standaard verwerkersovereenkomst van Proviq IT voor opdrachten waarbij Proviq IT als verwerker persoonsgegevens verwerkt namens een opdrachtgever. De ingevulde versie wordt per opdracht door beide partijen ondertekend.
Laatste update: 28 juni 2026
Partijen en toepassing
Deze verwerkersovereenkomst is een bijlage bij de overeenkomst tussen partijen en bij de algemene voorwaarden van Proviq IT. Zij geldt voor opdrachten waarbij Proviq IT bij hosting, beheer, support, Microsoft 365, databases, koppelingen, logging of klantomgevingen persoonsgegevens verwerkt namens opdrachtgever.
De gegevens tussen blokhaken worden per opdracht ingevuld voordat partijen tekenen. Bij strijdigheid over de verwerking van persoonsgegevens gaat deze verwerkersovereenkomst voor op de overige onderdelen van de overeenkomst.
Partij A, de verwerkingsverantwoordelijke: [naam opdrachtgever], gevestigd te [plaats], KvK [nummer], hierna: verwerkingsverantwoordelijke.
Partij B, de verwerker: Atakan Kömür, handelend onder de naam Proviq IT, gevestigd te Enschede, KvK 95159088, hierna: Proviq IT.
1. Begrippen
1.1 De begrippen persoonsgegevens, verwerking, betrokkene, verwerkingsverantwoordelijke, verwerker, subverwerker, datalek en toezichthoudende autoriteit hebben de betekenis die de Algemene verordening gegevensbescherming (AVG) daaraan geeft.
1.2 Overeenkomst: de hoofdovereenkomst tussen partijen op grond waarvan Proviq IT diensten levert. Deze verwerkersovereenkomst maakt daarvan onderdeel uit.
2. Onderwerp, rolverdeling en duur
2.1 De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Proviq IT verwerkt persoonsgegevens uitsluitend ten behoeve van de verwerkingsverantwoordelijke en op diens instructie.
2.2 De aard, doeleinden, categorieën persoonsgegevens en categorieën betrokkenen zijn beschreven in Bijlage 1.
2.3 Deze verwerkersovereenkomst geldt zolang Proviq IT op grond van de overeenkomst persoonsgegevens verwerkt en eindigt gelijktijdig met de overeenkomst, onverminderd de bepalingen die naar hun aard voortduren.
3. Instructies en naleving
3.1 Proviq IT verwerkt persoonsgegevens uitsluitend op grond van schriftelijke instructies van de verwerkingsverantwoordelijke, waaronder de overeenkomst en deze verwerkersovereenkomst, tenzij een wettelijke verplichting Proviq IT tot verwerking verplicht. In dat geval meldt Proviq IT die verplichting vooraf, tenzij de wet dit verbiedt.
3.2 Proviq IT verwerkt de persoonsgegevens niet voor eigen doeleinden en stelt deze niet ter beschikking aan derden, behalve op grond van deze verwerkersovereenkomst of een wettelijke verplichting.
3.3 Indien Proviq IT van mening is dat een instructie inbreuk maakt op de AVG of andere gegevensbeschermingsregels, meldt zij dit aan de verwerkingsverantwoordelijke.
3.4 De verwerkingsverantwoordelijke staat ervoor in dat de verwerking rechtmatig is en dat er een geldige grondslag bestaat.
4. Geheimhouding
4.1 Proviq IT houdt de persoonsgegevens geheim en verstrekt deze niet aan derden, behalve voor zover dit noodzakelijk is voor de uitvoering van de overeenkomst of wettelijk verplicht is.
4.2 Proviq IT zorgt ervoor dat personen die onder haar verantwoordelijkheid toegang hebben tot de persoonsgegevens, tot geheimhouding zijn gehouden.
5. Beveiliging
5.1 Proviq IT treft passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om de persoonsgegevens te beveiligen tegen verlies, misbruik, onbevoegde toegang, onbevoegde wijziging en onrechtmatige verwerking.
5.2 Bij het bepalen van de maatregelen houdt Proviq IT rekening met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking en de risico's voor betrokkenen.
5.3 Een overzicht van de getroffen maatregelen is opgenomen in Bijlage 3. De maatregelen betreffen een inspanningsverplichting en bieden geen absolute garantie tegen ieder risico.
6. Subverwerkers
6.1 De verwerkingsverantwoordelijke verleent Proviq IT een algemene toestemming om subverwerkers in te schakelen. De op het moment van ondertekening ingeschakelde subverwerkers staan in Bijlage 2.
6.2 Proviq IT informeert de verwerkingsverantwoordelijke over een voorgenomen wijziging in de subverwerkers en biedt de gelegenheid om binnen een redelijke termijn schriftelijk en gemotiveerd bezwaar te maken.
6.3 Proviq IT legt aan iedere subverwerker ten minste dezelfde verplichtingen op als in deze verwerkersovereenkomst en blijft tegenover de verwerkingsverantwoordelijke aansprakelijk voor de nakoming daarvan.
7. Doorgifte buiten de Europese Economische Ruimte
7.1 Proviq IT geeft persoonsgegevens alleen door aan een land buiten de Europese Economische Ruimte indien daarvoor een passende waarborg uit de AVG bestaat, zoals een adequaatheidsbesluit of de standaardcontractbepalingen van de Europese Commissie.
7.2 Voor zover subverwerkers gegevens buiten de EER verwerken, is dit aangegeven in Bijlage 2.
8. Bijstand aan de verwerkingsverantwoordelijke
8.1 Proviq IT verleent de verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking, redelijke bijstand bij het beantwoorden van verzoeken van betrokkenen die hun rechten uitoefenen, zoals inzage, correctie, verwijdering, beperking, bezwaar en overdraagbaarheid.
8.2 Ontvangt Proviq IT een verzoek van een betrokkene rechtstreeks, dan verwijst zij de betrokkene door naar de verwerkingsverantwoordelijke en behandelt zij het verzoek niet zelfstandig, tenzij anders afgesproken.
8.3 Proviq IT verleent redelijke bijstand bij de naleving van de verplichtingen uit de artikelen 32 tot en met 36 AVG, waaronder beveiliging, melding van datalekken en gegevensbeschermingseffectbeoordelingen.
8.4 Voor bijstand die meer dan beperkte inspanning vraagt, mag Proviq IT haar gebruikelijke tarieven in rekening brengen, tenzij de bijstand voortvloeit uit een tekortkoming van Proviq IT.
9. Datalekken
9.1 Proviq IT informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging nadat zij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
9.2 Proviq IT verstrekt daarbij de informatie die redelijkerwijs nodig is, waaronder de aard van de inbreuk, de betrokken categorieën en aantallen, de waarschijnlijke gevolgen en de getroffen of voorgestelde maatregelen.
9.3 De beoordeling of een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens of aan betrokkenen, en de feitelijke melding, blijft de verantwoordelijkheid van de verwerkingsverantwoordelijke.
10. Audit en controle
10.1 Proviq IT stelt de verwerkingsverantwoordelijke op verzoek de informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze verwerkersovereenkomst worden nagekomen.
10.2 De verwerkingsverantwoordelijke mag, ten hoogste eenmaal per jaar en na redelijke aankondiging, een audit laten uitvoeren door een onafhankelijke en aan geheimhouding gebonden deskundige. Een audit verstoort de bedrijfsvoering van Proviq IT zo min mogelijk.
10.3 De redelijke kosten van een audit komen voor rekening van de verwerkingsverantwoordelijke, tenzij uit de audit een wezenlijke tekortkoming van Proviq IT blijkt.
11. Teruggave en verwijdering na afloop
11.1 Na afloop van de overeenkomst verwijdert Proviq IT, ter keuze van de verwerkingsverantwoordelijke, de persoonsgegevens of stelt zij deze in een gangbaar formaat ter beschikking, tenzij een wettelijke bewaarplicht anders bepaalt.
11.2 Voor export, migratie, conversie of overdracht van gegevens mag Proviq IT haar gebruikelijke tarieven in rekening brengen.
11.3 Proviq IT mag back-ups met persoonsgegevens binnen de gangbare back-upcyclus bewaren tot deze regulier worden overschreven of verwijderd.
12. Aansprakelijkheid
12.1 Op de aansprakelijkheid van Proviq IT onder deze verwerkersovereenkomst zijn de aansprakelijkheidsbepalingen uit de algemene voorwaarden van Proviq IT van toepassing, waaronder de daarin opgenomen beperkingen, voor zover dwingend recht dit toelaat.
12.2 De verwerkingsverantwoordelijke vrijwaart Proviq IT tegen aanspraken van betrokkenen, derden of toezichthouders die het gevolg zijn van een verwerking waarvoor de verwerkingsverantwoordelijke verantwoordelijk is of van een instructie van de verwerkingsverantwoordelijke.
13. Slotbepalingen
13.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Proviq IT is gevestigd.
13.2 Wijzigingen die noodzakelijk zijn vanwege gewijzigde wet- en regelgeving of richtsnoeren van een toezichthouder, worden door partijen in redelijkheid doorgevoerd.
13.3 Indien een bepaling nietig is of wordt vernietigd, blijven de overige bepalingen van kracht en treden partijen in overleg over een passende vervangende bepaling.
Bijlage 1. Overzicht van de verwerkingen
Deze bijlage wordt per opdracht ingevuld.
1. Dienstverlening: [hosting, beheer, support, maatwerksoftware, ERP/WMS, B2B-portaal, Microsoft 365-beheer, databasebeheer, logging, back-up of anders].
2. Aard en doel van de verwerking: het verwerken van persoonsgegevens voor het beschikbaar stellen, beheren, onderhouden, beveiligen en ondersteunen van de overeengekomen diensten.
3. Categorieën betrokkenen: [medewerkers, klanten, leveranciers, gebruikers, contactpersonen, sollicitanten, eindgebruikers of anders].
4. Categorieën persoonsgegevens: [naam, zakelijke contactgegevens, accountgegevens, gebruikersrollen, bestelgegevens, klantgegevens, loggegevens, IP-adressen, supportinformatie, documenten, communicatiegegevens of anders].
5. Bijzondere persoonsgegevens of strafrechtelijke gegevens: geen, tenzij partijen dit uitdrukkelijk schriftelijk vastleggen. Indien dergelijke gegevens worden verwerkt, leggen partijen vooraf aanvullende beveiligingsmaatregelen en instructies vast.
6. Locatie van verwerking: Europese Economische Ruimte, tenzij in Bijlage 2 anders is vermeld.
7. Bewaartermijn: zolang nodig voor de uitvoering van de overeenkomst, tenzij partijen een specifieke bewaartermijn afspreken of wettelijke bewaarplichten gelden.
8. Back-ups en logs: back-ups en logs kunnen persoonsgegevens bevatten. Deze worden bewaard volgens de overeengekomen back-upcyclus, logretentie of technische bewaartermijn.
9. Verwijdering of teruggave na afloop: na afloop worden persoonsgegevens verwijderd of teruggegeven volgens artikel 11 van deze verwerkersovereenkomst, tenzij wettelijke bewaarplichten of overeengekomen back-upcycli anders vereisen.
Bijlage 2. Subverwerkers
Afhankelijk van de opdracht schakelt Proviq IT subverwerkers in uit onder andere de volgende categorieën. De concrete subverwerkers, hun verwerkingslocatie en de toepasselijke waarborgen worden per opdracht vastgelegd in de ondertekende versie van deze bijlage.
| Categorie subverwerker | Dienst | Verwerkingslocatie | Waarborg |
|---|---|---|---|
| Hosting en infrastructuur | Hosting van websites, applicaties, databases en klantomgevingen | EER waar mogelijk | Verwerkersovereenkomst, SCC's en/of EU-VS Data Privacy Framework waar van toepassing |
| Database en backend | Database, authenticatie, opslag en back-ups | EER-region waar mogelijk | Verwerkersovereenkomst en SCC's waar van toepassing |
| E-mail en communicatie | Verzending van e-mail en formulierafhandeling | EER waar mogelijk | Verwerkersovereenkomst en passende waarborgen |
| Beveiliging, DNS en CDN | Beveiliging, DNS, CDN en spamfiltering | Wereldwijd netwerk | Verwerkersovereenkomst, SCC's en/of EU-VS Data Privacy Framework waar van toepassing |
| Kantoor en samenwerking | E-mail, agenda, documenten en samenwerking | EER waar mogelijk | Verwerkersovereenkomst, SCC's en/of EU-VS Data Privacy Framework waar van toepassing |
| Back-up en herstel | Back-ups en herstelvoorzieningen | EER waar mogelijk | Verwerkersovereenkomst en passende waarborgen |
Proviq IT gebruikt alleen subverwerkers die noodzakelijk zijn voor de overeengekomen dienstverlening. Proviq IT informeert de verwerkingsverantwoordelijke over wezenlijke wijzigingen in subverwerkers. De verwerkingsverantwoordelijke kan binnen veertien dagen na kennisgeving schriftelijk en gemotiveerd bezwaar maken tegen een voorgenomen wijziging.
Bijlage 3. Technische en organisatorische maatregelen
Proviq IT past, afhankelijk van de overeengekomen dienstverlening en de technische mogelijkheden, ten minste de volgende maatregelen toe:
- versleutelde verbindingen via TLS voor websites, applicaties en beheeromgevingen;
- toegangsbeheer op basis van rollen, minimale rechten en individuele accounts;
- sterke authenticatie en waar mogelijk meervoudige authenticatie voor beheeraccounts;
- beveiliging van eigen IT-omgeving met actuele beveiligingssoftware, firewall, EDR, MDR of vergelijkbare maatregelen waar passend;
- periodieke installatie van beveiligingsupdates en patches, of automatische updates waar passend;
- logging en monitoring van relevante systemen voor zover dit onderdeel is van de overeengekomen dienstverlening;
- back-ups en herstelprocedures voor zover back-ups onderdeel zijn van de overeengekomen dienstverlening;
- scheiding van klantomgevingen waar technisch en organisatorisch passend;
- geheimhouding voor personen die toegang hebben tot persoonsgegevens;
- zorgvuldige selectie van subverwerkers en het sluiten van passende verwerkersafspraken;
- procedure voor het signaleren, beoordelen en afhandelen van beveiligingsincidenten en datalekken;
- beperking van toegang tot persoonsgegevens tot personen en systemen waarvoor toegang noodzakelijk is;
- periodieke controle van toegangsrechten waar passend;
- documentatie van relevante beveiligings- en verwerkingsafspraken per opdracht.
Proviq IT garandeert niet dat deze maatregelen ieder beveiligingsincident voorkomen. De maatregelen worden afgestemd op de aard van de dienstverlening, de risico's, de stand van de techniek, de kosten van implementatie en hetgeen partijen schriftelijk zijn overeengekomen.