Juridisch

Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 8 januari 2025

GDPR / AVG Compliant

Deze Verwerkersovereenkomst ("DPA") is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Deze DPA is van toepassing op de verwerking van persoonsgegevens door GeoRex B.V. ("Verwerker") namens de Klant ("Verwerkingsverantwoordelijke").

1

1. Definities

In deze DPA wordt verstaan onder:

  • AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
  • Verwerking: elke bewerking van persoonsgegevens, zoals verzamelen, opslaan, raadplegen of vernietigen
  • Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben
  • Datalek: een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens
2

2. Reikwijdte en context

Deze DPA is van toepassing wanneer GeoRex persoonsgegevens verwerkt namens de Klant in het kader van de geocoding API-diensten.

  • Aard van de verwerking: het verwerken van adresgegevens voor geocoding doeleinden
  • Doel: het leveren van adres autocompletion en geocoding functionaliteit
  • Type persoonsgegevens: adressen, coördinaten (indien door Klant verstrekt)
  • Categorieën betrokkenen: eindgebruikers van de applicaties van de Klant
  • Opgeslagen data: uitsluitend gebruiksstatistieken (aantal verzoeken per endpoint per API key)

BELANGRIJK: GeoRex slaat geen lookup content (adressen, coördinaten, zoekopdrachten, resultaten) op. Alleen het aantal verzoeken per API key wordt opgeslagen voor facturering en monitoring. De inhoud van verzoeken wordt real-time verwerkt en direct vergeten.

3

3. Verplichtingen Verwerker

GeoRex verbindt zich ertoe:

  • Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Klant
  • Te waarborgen dat personen die toegang hebben tot de gegevens tot geheimhouding zijn verplicht
  • Passende technische en organisatorische beveiligingsmaatregelen te treffen
  • De Klant te assisteren bij het nakomen van diens verplichtingen uit de AVG
  • Na afloop van de dienstverlening alle persoonsgegevens te wissen of terug te bezorgen
  • Alle informatie beschikbaar te stellen die nodig is om de naleving aan te tonen
4

4. Beveiligingsmaatregelen

GeoRex implementeert de volgende beveiligingsmaatregelen conform artikel 32 AVG:

  • TLS 1.3 encryptie voor alle API-communicatie
  • Versleutelde opslag van accountgegevens
  • Toegangsbeperking op basis van need-to-know
  • Servers in EU-datacenters, volledig eigen beheer via RexHosting
  • Regelmatige beveiligingsaudits en penetratietests
  • Incident response procedures
  • Business continuity en disaster recovery maatregelen
5

5. Sub-verwerkers

GeoRex maakt gebruik van de volgende sub-verwerkers:

  • Supabase Inc. (VS, met EU-datacenters): authenticatie en database
  • Stripe Inc. (VS, met EU-datacenters): betalingsverwerking

Onze serverinfrastructuur wordt volledig door ons zelf beheerd via RexHosting - dit is geen sub-verwerker. De Klant geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers. GeoRex informeert de Klant vooraf over wijzigingen.

6

6. Internationale doorgifte

Persoonsgegevens worden verwerkt binnen de EU/EER. Voor sub-verwerkers buiten de EU/EER gelden adequaatheidsbesluiten of Standard Contractual Clauses (SCC's). De lookup data zelf wordt niet opgeslagen of doorgegeven.

7

7. Rechten betrokkenen

GeoRex assisteert de Klant bij het voldoen aan verzoeken van betrokkenen, waaronder:

  • Recht op inzage
  • Recht op rectificatie
  • Recht op gegevenswissing
  • Recht op beperking van verwerking
  • Recht op overdraagbaarheid
  • Recht van bezwaar

Aangezien GeoRex geen lookup data opslaat, zijn verzoeken betreffende deze data niet van toepassing.

8

8. Datalekken

Bij een datalek neemt GeoRex de volgende stappen:

  • GeoRex informeert de Klant zonder onredelijke vertraging, uiterlijk binnen 48 uur na ontdekking
  • De melding bevat: aard van het lek, betrokken gegevens, gevolgen en genomen maatregelen
  • GeoRex assisteert de Klant bij de wettelijke meldplicht aan de Autoriteit Persoonsgegevens
  • GeoRex documenteert alle datalekken in een register
9

9. Audits

De Klant heeft het recht om audits uit te voeren of te laten uitvoeren om de naleving van deze DPA te verifiëren. GeoRex verleent medewerking aan redelijke auditverzoeken. Kosten van audits zijn voor rekening van de Klant, tenzij uit de audit blijkt dat GeoRex deze DPA niet naleeft.

10

10. Looptijd

Deze DPA is van kracht gedurende de looptijd van de Overeenkomst. Na beëindiging wist GeoRex alle persoonsgegevens binnen 30 dagen, tenzij wettelijke bewaartermijnen van toepassing zijn.

11

11. Aansprakelijkheid

De aansprakelijkheid onder deze DPA is onderworpen aan de beperkingen in de Algemene Voorwaarden. Partijen zijn ieder verantwoordelijk voor hun eigen verplichtingen onder de AVG.

12

12. Toepasselijk recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Amsterdam.

Download DPA (PDF)

Voor vragen over deze DPA kunt u contact opnemen via dpa@georex.nl.