Verwerkersovereenkomst
Versie 1.0 — Vastgesteld op 21 mei 2026
Partijen
Deze Verwerkersovereenkomst (“DPA”) wordt gesloten tussen:
Partijen sluiten deze DPA ter nakoming van de verplichtingen uit artikel 28 van de Algemene Verordening Gegevensbescherming (AVG / GDPR). Deze DPA maakt onlosmakelijk deel uit van de hoofdovereenkomst voor dienstverlening en treedt in werking bij aanvang van de samenwerking.
1. Definities
- AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming).
- Persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene).
- Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, opslaan, bijwerken, opvragen, raadplegen, gebruiken en verwijderen.
- Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (art. 4 lid 12 AVG).
- Subverwerker: een derde die door de Verwerker is ingeschakeld voor het verrichten van specifieke verwerkingsactiviteiten namens de Verwerkingsverantwoordelijke.
2. Onderwerp, aard en duur van de verwerking
LeadWerf verwerkt persoonsgegevens uitsluitend ten behoeve van de in de hoofdovereenkomst omschreven dienstverlening: het identificeren, verrijken, opslaan en aanleveren van gekwalificeerde zakelijke contactgegevens (B2B-leads) voor de opdrachtgever.
De verwerking vindt uitsluitend plaats op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, zoals neergelegd in de hoofdovereenkomst en eventuele aanvullende schriftelijke instructies. LeadWerf verwerkt geen persoonsgegevens voor eigen doeleinden, tenzij een wettelijke verplichting dit vereist. In dat geval wordt de Verwerkingsverantwoordelijke hiervan vooraf op de hoogte gesteld, tenzij de wet dit verbiedt.
Deze DPA is van kracht voor de duur van de hoofdovereenkomst en eindigt automatisch bij beëindiging of ontbinding van de hoofdovereenkomst.
3. Categorieën persoonsgegevens en betrokkenen
In het kader van de dienstverlening verwerkt LeadWerf de volgende categorieën persoonsgegevens:
- Naam en functietitel van zakelijke contactpersonen;
- Zakelijk e-mailadres;
- Zakelijk telefoonnummer;
- Bedrijfsnaam, sector en vestigingsplaats.
De betrokkenen zijn zakelijke contactpersonen bij ondernemingen die voldoen aan de door de Verwerkingsverantwoordelijke opgegeven doelgroepspecificaties. LeadWerf verwerkt uitsluitend openbaar beschikbare zakelijke gegevens. Bijzondere categorieën persoonsgegevens worden niet verwerkt.
4. Verplichtingen van de Verwerker
LeadWerf verbindt zich jegens de Verwerkingsverantwoordelijke tot het volgende:
- Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
- Passende technische en organisatorische beveiligingsmaatregelen treffen als bedoeld in art. 32 AVG (zie artikel 6 van deze DPA).
- Vertrouwelijkheid waarborgen: medewerkers die toegang hebben tot persoonsgegevens zijn gebonden aan een geheimhoudingsplicht en krijgen uitsluitend toegang voor zover noodzakelijk voor de uitvoering van hun werkzaamheden.
- De Verwerkingsverantwoordelijke ondersteunen bij het nakomen van verplichtingen jegens betrokkenen (inzage, rectificatie, verwijdering, bezwaar, overdraagbaarheid) binnen de gestelde wettelijke termijnen.
- De Verwerkingsverantwoordelijke bijstaan bij het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s) en bij voorafgaande raadpleging van toezichthoudende autoriteiten, voor zover relevant voor de verwerking.
- Na beëindiging van de overeenkomst alle persoonsgegevens verwijderen of, op uitdrukkelijk schriftelijk verzoek van de Verwerkingsverantwoordelijke, teruggeven. Verwijdering vindt plaats binnen dertig (30) kalenderdagen na beëindiging.
- LeadWerf bijhoudt een intern register van verwerkingsactiviteiten als bedoeld in art. 30 lid 2 AVG, voor zover van toepassing.
5. Subverwerkers
De Verwerkingsverantwoordelijke verleent bij het sluiten van deze DPA een algemene schriftelijke toestemming voor het inschakelen van de onderstaande subverwerkers. Met alle subverwerkers zijn AVG-conforme verwerkersovereenkomsten gesloten:
- Supabase, Inc. — databasehosting en authenticatie (EU-regio, Frankfurt, AWS). Verwerking: opslag van leads, klantgegevens en sessiebeheer.
- Vercel, Inc. — hosting van het klantportaal (EU-regio). Verwerking: serveren van de webapplicatie en tijdelijke requestlogs.
LeadWerf stelt de Verwerkingsverantwoordelijke ten minste veertien (14) kalenderdagen van tevoren schriftelijk op de hoogte van het voornemen een nieuwe subverwerker in te schakelen of een bestaande subverwerker te vervangen. De Verwerkingsverantwoordelijke kan binnen deze termijn schriftelijk bezwaar maken, bij voorkeur met opgave van de specifieke reden. Partijen treden in dat geval in overleg om een oplossing te vinden.
LeadWerf blijft tegenover de Verwerkingsverantwoordelijke volledig verantwoordelijk voor de nakoming van verplichtingen door subverwerkers.
6. Technische en organisatorische beveiligingsmaatregelen
LeadWerf treft ten minste de volgende maatregelen conform art. 32 AVG:
- Versleuteling in transit: alle gegevensoverdracht verloopt via TLS 1.2 of hoger.
- Versleuteling in rust: persoonsgegevens worden versleuteld opgeslagen (AES-256).
- Toegangscontrole: toegang tot persoonsgegevens is beperkt op basis van rollen (Role-Based Access Control) en op rijniveau in de database (Row Level Security). Iedere opdrachtgever ziet uitsluitend zijn eigen gegevens.
- Authenticatie: toegang tot het klantportaal via tijdgebonden magic links; geen wachtwoorden opgeslagen. Interne systemen beveiligd met meerfactorauthenticatie.
- Monitoring en logging: toegangslogs worden bewaard voor maximaal negentig dagen ten behoeve van incidentonderzoek.
- Incidentrespons: LeadWerf beschikt over een incidentresponsprotocol voor het detecteren, onderzoeken en afhandelen van datalekken.
- Organisatorische maatregelen: medewerkers worden getraind op gegevensbescherming; toegang tot systemen wordt regelmatig gereviewed.
LeadWerf voert ten minste jaarlijks een beveiligingsreview uit en past de maatregelen aan indien nieuwe risico’s of kwetsbaarheden daartoe aanleiding geven.
7. Datalekken en incidentmelding
LeadWerf meldt een ontdekt datalek waarbij persoonsgegevens van de Verwerkingsverantwoordelijke zijn betrokken, onverwijld en in ieder geval binnen 48 uur na ontdekking aan de Verwerkingsverantwoordelijke via bayram@leadwerf.nl.
De melding bevat ten minste:
- een beschrijving van de aard van het incident;
- de categorieën en het geschatte aantal betrokken betrokkenen;
- de categorieën en het geschatte volume betrokken persoonsgegevens;
- de waarschijnlijke gevolgen van de inbreuk;
- de door LeadWerf getroffen of voorgestelde maatregelen om de inbreuk aan te pakken en de gevolgen te beperken.
LeadWerf verstrekt op verzoek aanvullende informatie die de Verwerkingsverantwoordelijke nodig heeft voor het nakomen van zijn meldplicht jegens de Autoriteit Persoonsgegevens (art. 33 AVG) en/of betrokkenen (art. 34 AVG).
8. Rechten van betrokkenen
Indien een betrokkene een verzoek indient bij LeadWerf in verband met zijn rechten (inzage, rectificatie, verwijdering, bezwaar, beperking of overdraagbaarheid), verwijst LeadWerf de betrokkene door naar de Verwerkingsverantwoordelijke en informeert die hierover onverwijld, uiterlijk binnen vijf (5) werkdagen.
LeadWerf verleent de Verwerkingsverantwoordelijke alle redelijke medewerking bij de uitvoering van verzoeken van betrokkenen, overeenkomstig de termijnen uit de AVG.
9. Internationale doorgifte
LeadWerf geeft persoonsgegevens niet door aan landen buiten de Europese Economische Ruimte (EER) zonder passende waarborgen conform hoofdstuk V van de AVG. Waar subverwerkers gevestigd zijn buiten de EER, zijn Standaardcontractbepalingen (SCC) overeengekomen conform Uitvoeringsbesluit (EU) 2021/914.
10. Aansprakelijkheid
Iedere partij is aansprakelijk voor schade die voortvloeit uit haar eigen tekortkomingen in de naleving van de AVG en deze DPA. De aansprakelijkheid van LeadWerf als Verwerker is in alle gevallen beperkt conform de aansprakelijkheidsbepalingen in de hoofdovereenkomst.
LeadWerf is niet aansprakelijk voor schade die voortvloeit uit instructies van de Verwerkingsverantwoordelijke die in strijd zijn met de AVG of andere toepasselijke wetgeving, mits LeadWerf de Verwerkingsverantwoordelijke tijdig heeft geïnformeerd over de mogelijke strijdigheid.
11. Toepasselijk recht en geschillen
Op deze DPA is Nederlands recht van toepassing. Geschillen worden bij voorkeur in overleg opgelost. Indien dit niet slaagt, is de bevoegde rechter in het arrondissement van de vestigingsplaats van LeadWerf exclusief bevoegd.