Verwerkersovereenkomst
Bijlage bij de Algemene Voorwaarden van Cloutyx BV
Tussen:
Cloutyx BV, gevestigd te Heggerank 6, 6101 MX Echt, Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 87547880, hierna te noemen: "Verwerker";
en
de partij die met Cloutyx BV een overeenkomst heeft gesloten voor het gebruik van de Cloutyx-software, zoals geïdentificeerd in de Hoofdovereenkomst, hierna te noemen: "Verwerkingsverantwoordelijke";
hierna gezamenlijk aangeduid als "Partijen" en afzonderlijk als "Partij".
Overwegende dat:
A. Partijen een overeenkomst hebben gesloten voor het leveren van de Cloutyx Dienst (hierna: de "Hoofdovereenkomst"), waarop de Algemene Voorwaarden van Cloutyx van toepassing zijn;
B. Verwerker bij de uitvoering van de Hoofdovereenkomst persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke, en daarmee als verwerker in de zin van artikel 4 lid 8 AVG kwalificeert;
C. Partijen op grond van artikel 28 AVG verplicht zijn de verwerking van persoonsgegevens schriftelijk vast te leggen;
D. Deze Verwerkersovereenkomst integraal onderdeel uitmaakt van de Hoofdovereenkomst en bedoeld is om aan de verplichtingen van artikel 28 AVG te voldoen.
Artikel 1. Definities
In deze Verwerkersovereenkomst hebben de hieronder genoemde begrippen de volgende betekenis. Begrippen die in deze Verwerkersovereenkomst niet zijn gedefinieerd, hebben de betekenis die daaraan in de AVG of de Hoofdovereenkomst is gegeven.
1.1. AVG: de Algemene Verordening Gegevensbescherming (EU 2016/679).
1.2. Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.
1.3. Datalek: een inbreuk in verband met persoonsgegevens, zoals gedefinieerd in artikel 4 lid 12 AVG.
1.4. Hoofdovereenkomst: de tussen Partijen gesloten overeenkomst voor het leveren van de Cloutyx Dienst, inclusief de daarop van toepassing zijnde Algemene Voorwaarden.
1.5. Persoonsgegevens: alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 lid 1 AVG, die door Verwerker namens Verwerkingsverantwoordelijke worden verwerkt.
1.6. Sub-verwerker: een derde die door Verwerker wordt ingeschakeld voor het uitvoeren van bepaalde verwerkingsactiviteiten namens Verwerkingsverantwoordelijke.
1.7. Verwerken / Verwerking: elke handeling met betrekking tot Persoonsgegevens, zoals gedefinieerd in artikel 4 lid 2 AVG.
Artikel 2. Onderwerp en duur
2.1. Verwerker verwerkt Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, zoals nader uitgewerkt in deze Verwerkersovereenkomst en de Hoofdovereenkomst.
2.2. Deze Verwerkersovereenkomst gaat in op de datum waarop de Hoofdovereenkomst tot stand is gekomen en eindigt automatisch op het moment dat de Hoofdovereenkomst eindigt, met inachtneming van het bepaalde in artikel 11 (Beëindiging).
2.3. De aard, het doel, de categorieën Persoonsgegevens en de categorieën Betrokkenen zijn nader gespecificeerd in Bijlage 1: Verwerkingsregister.
Artikel 3. Verplichtingen Verwerker
3.1. Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, behalve indien Verwerker hiertoe wettelijk verplicht is. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.2. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk informeren indien naar haar mening een instructie inbreuk oplevert op de AVG of andere toepasselijke privacywetgeving.
3.3. Verwerker zal:
- de Persoonsgegevens vertrouwelijk behandelen
- de Persoonsgegevens niet voor eigen doeleinden of die van derden gebruiken
- ervoor zorgen dat tot het verwerken van Persoonsgegevens gemachtigde personen zich verbonden hebben tot vertrouwelijkheid of door een passende wettelijke verplichting tot vertrouwelijkheid gehouden zijn
- de Persoonsgegevens niet langer verwerken dan noodzakelijk voor het uitvoeren van de Hoofdovereenkomst
3.4. Verwerker mag Persoonsgegevens uitsluitend in geanonimiseerde vorm gebruiken voor productverbetering, statistische analyse en bedrijfsvoering, zoals nader bepaald in de Hoofdovereenkomst en de Algemene Voorwaarden van Verwerker.
Artikel 4. Beveiligingsmaatregelen
4.1. Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, conform artikel 32 AVG.
4.2. De door Verwerker getroffen maatregelen omvatten in ieder geval:
- Versleuteling van Persoonsgegevens tijdens transport (TLS 1.2 of hoger) en bij opslag (encryption at rest)
- Toegangscontrole op basis van rollen en need-to-know principe
- Twee-factor authenticatie voor medewerkers met toegang tot productiesystemen
- Logging en monitoring van toegang tot Persoonsgegevens
- Periodieke security audits en penetratietests
- Geautomatiseerde back-ups met geografische redundantie binnen de EU
- Geheimhoudingsverklaringen met alle medewerkers en sub-verwerkers
- Procedures voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen
- Procedures voor het tijdig herstellen van beschikbaarheid en toegang tot Persoonsgegevens bij een fysiek of technisch incident
4.3. Verwerker behoudt zich het recht voor de beveiligingsmaatregelen te wijzigen indien dit noodzakelijk is om een passend beveiligingsniveau te handhaven. Het beveiligingsniveau zal nooit lager zijn dan het niveau zoals beschreven in deze Verwerkersovereenkomst.
4.4. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker een actueel overzicht van de getroffen beveiligingsmaatregelen.
Artikel 5. Sub-verwerkers
5.1. Verwerkingsverantwoordelijke verleent Verwerker hierbij algemene toestemming om sub-verwerkers in te schakelen voor de uitvoering van de Hoofdovereenkomst.
5.2. Verwerker maakt op het moment van het sluiten van deze Verwerkersovereenkomst gebruik van de sub-verwerkers zoals vermeld in Bijlage 2: Lijst Sub-verwerkers.
5.3. Verwerker zorgt ervoor dat sub-verwerkers schriftelijk gebonden zijn aan dezelfde verplichtingen als die welke voor Verwerker uit deze Verwerkersovereenkomst voortvloeien, met name op het gebied van vertrouwelijkheid, beveiliging en doorgifte buiten de EER.
5.4. Verwerker informeert Verwerkingsverantwoordelijke schriftelijk (waaronder per e-mail of via een update op cloutyx.com) over voorgenomen wijzigingen in de lijst van sub-verwerkers, ten minste dertig (30) dagen voorafgaand aan de wijziging. Verwerkingsverantwoordelijke kan binnen veertien (14) dagen na deze kennisgeving gemotiveerd bezwaar maken tegen de wijziging.
5.5. Indien Verwerkingsverantwoordelijke gegrond bezwaar maakt tegen een nieuwe sub-verwerker, zullen Partijen in redelijk overleg een passende oplossing zoeken. Indien geen passende oplossing wordt gevonden, heeft Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst op te zeggen tegen de datum waarop de wijziging zou ingaan.
5.6. Verwerker blijft jegens Verwerkingsverantwoordelijke volledig aansprakelijk voor de naleving door sub-verwerkers van de verplichtingen uit deze Verwerkersovereenkomst.
Artikel 6. Doorgifte buiten de EER
6.1. Verwerker zal Persoonsgegevens uitsluitend doorgeven aan een land buiten de Europese Economische Ruimte (EER) indien er passende waarborgen zijn getroffen, zoals:
- Een adequaatheidsbesluit van de Europese Commissie
- Standaardcontractbepalingen vastgesteld door de Europese Commissie
- Bindende bedrijfsvoorschriften (Binding Corporate Rules)
- Het EU-VS Data Privacy Framework (voor doorgifte naar deelnemende organisaties in de VS)
6.2. Een overzicht van eventuele doorgifte buiten de EER is opgenomen in Bijlage 2: Lijst Sub-verwerkers.
Artikel 7. Bijstand aan Verwerkingsverantwoordelijke
7.1. Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking bij het nakomen van diens verplichtingen onder de AVG, waaronder:
- Het beantwoorden van verzoeken van Betrokkenen tot uitoefening van hun rechten (inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar)
- Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) waar nodig
- Het voeren van voorafgaand overleg met de Autoriteit Persoonsgegevens
- Het melden van Datalekken aan de Autoriteit Persoonsgegevens en/of Betrokkenen
7.2. Indien een Betrokkene zich rechtstreeks tot Verwerker wendt met een verzoek tot uitoefening van zijn AVG-rechten, zal Verwerker dit verzoek doorsturen aan Verwerkingsverantwoordelijke en de Betrokkene daarvan op de hoogte stellen, tenzij anders overeengekomen.
7.3. Voor bijstand die uitstijgt boven de standaard functionaliteit van de Cloutyx Dienst is Verwerker gerechtigd redelijke kosten in rekening te brengen op basis van haar dan geldende uurtarief.
Artikel 8. Datalek-procedure
8.1. Verwerker informeert Verwerkingsverantwoordelijke onverwijld, en in ieder geval binnen achtenveertig (48) uur, na constatering van een Datalek dat (mogelijk) Persoonsgegevens van Verwerkingsverantwoordelijke betreft.
8.2. De melding bevat ten minste:
- Een omschrijving van de aard van het Datalek, voor zover bekend
- De categorieën en het aantal getroffen Betrokkenen
- De categorieën en het aantal getroffen Persoonsgegevens
- De waarschijnlijke gevolgen van het Datalek
- De getroffen of voorgestelde maatregelen om de gevolgen te beperken
- De contactgegevens van de verantwoordelijke functionaris bij Verwerker
8.3. Indien op het moment van melding nog niet alle informatie beschikbaar is, levert Verwerker deze in fasen aan zodra deze beschikbaar wordt.
8.4. Verwerker werkt actief mee aan het onderzoek naar het Datalek, het beperken van de gevolgen en het herstellen van de situatie.
8.5. Verwerker verricht zelf geen meldingen aan de Autoriteit Persoonsgegevens of Betrokkenen, tenzij Verwerker hiertoe wettelijk verplicht is. De meldingsplicht onder artikel 33 en 34 AVG ligt bij Verwerkingsverantwoordelijke.
Artikel 9. Audit-recht
9.1. Verwerkingsverantwoordelijke heeft het recht om te controleren of Verwerker de verplichtingen uit deze Verwerkersovereenkomst nakomt. Dit kan op de volgende manieren:
- Standaard: door middel van een door Verwerker te verstrekken auditrapport, zoals een ISO 27001-certificering, SOC 2-rapport of vergelijkbaar onafhankelijk rapport
- Maatwerk audit: door een door Verwerkingsverantwoordelijke aangewezen onafhankelijke auditor
9.2. Een maatwerk audit kan maximaal eenmaal per jaar plaatsvinden, behalve indien er concrete aanwijzingen zijn voor een tekortkoming in de nakoming van deze Verwerkersovereenkomst, in welk geval een aanvullende audit kan worden uitgevoerd.
9.3. Verwerkingsverantwoordelijke kondigt een audit ten minste dertig (30) dagen vooraf schriftelijk aan, behoudens spoedeisende gevallen.
9.4. De kosten van een audit worden gedragen door Verwerkingsverantwoordelijke, tenzij uit de audit een materiële tekortkoming aan de zijde van Verwerker blijkt; in dat geval draagt Verwerker de kosten.
9.5. De auditor en Verwerkingsverantwoordelijke zijn gehouden tot strikte vertrouwelijkheid omtrent alle bevindingen, en zullen de bedrijfsvoering van Verwerker zo min mogelijk verstoren.
Artikel 10. Aansprakelijkheid
10.1. De aansprakelijkheid van Verwerker onder deze Verwerkersovereenkomst is beperkt overeenkomstig de aansprakelijkheidsbepaling uit de Hoofdovereenkomst (artikel 14 van de Algemene Voorwaarden van Cloutyx).
10.2. Indien Verwerkingsverantwoordelijke door de Autoriteit Persoonsgegevens of een Betrokkene wordt aangesproken voor een schending van de AVG die aantoonbaar het gevolg is van een toerekenbare tekortkoming van Verwerker, vrijwaart Verwerker Verwerkingsverantwoordelijke voor de daaruit voortvloeiende boetes en vergoedingen, met inachtneming van de aansprakelijkheidsbeperking uit de Hoofdovereenkomst.
10.3. De vrijwaring uit artikel 10.2 geldt niet indien:
- Verwerkingsverantwoordelijke heeft gehandeld in strijd met diens eigen verplichtingen onder de AVG
- De schending het gevolg is van instructies van Verwerkingsverantwoordelijke die naar het redelijk oordeel van Verwerker in strijd zijn met de AVG
- Verwerkingsverantwoordelijke heeft nagelaten Verwerker tijdig te informeren over relevante feiten of omstandigheden
Artikel 11. Beëindiging
11.1. Deze Verwerkersovereenkomst eindigt automatisch op het moment dat de Hoofdovereenkomst eindigt.
11.2. Bij beëindiging van deze Verwerkersovereenkomst zal Verwerker, naar keuze van Verwerkingsverantwoordelijke:
- Alle Persoonsgegevens teruggeven aan Verwerkingsverantwoordelijke (via API-export, CSV-export of vergelijkbaar formaat), of
- Alle Persoonsgegevens vernietigen en bestaande kopieën verwijderen
11.3. Verwerker behoudt gedurende dertig (30) dagen na beëindiging van de Hoofdovereenkomst de Persoonsgegevens voor het geval Verwerkingsverantwoordelijke alsnog data wil exporteren. Daarna worden de Persoonsgegevens binnen zestig (60) dagen verwijderd, behoudens gegevens die Verwerker op grond van wet- en regelgeving moet bewaren.
11.4. Verwerker bevestigt op verzoek schriftelijk de vernietiging of teruggave van Persoonsgegevens.
11.5. De verplichtingen die naar hun aard bestemd zijn om na beëindiging voort te duren — waaronder geheimhouding, aansprakelijkheid en data-vernietiging — blijven van kracht na beëindiging van deze Verwerkersovereenkomst.
Artikel 12. Slotbepalingen
12.1. Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst. In geval van strijdigheid tussen deze Verwerkersovereenkomst en de Hoofdovereenkomst (inclusief de Algemene Voorwaarden) prevaleert deze Verwerkersovereenkomst voor zover het de verwerking van Persoonsgegevens betreft.
12.2. Wijzigingen in deze Verwerkersovereenkomst zijn alleen geldig indien schriftelijk overeengekomen tussen Partijen, met dien verstande dat Verwerker de Verwerkersovereenkomst eenzijdig mag wijzigen indien dit noodzakelijk is om aan gewijzigde wetgeving of toezichthoudersrichtlijnen te voldoen, mits Verwerkingsverantwoordelijke hierover ten minste dertig (30) dagen vooraf wordt geïnformeerd.
12.3. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12.4. Geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst worden voorgelegd aan de bevoegde rechter te Roermond.
12.5. Partiële nietigheid: Indien een bepaling uit deze Verwerkersovereenkomst nietig blijkt te zijn, tast dit niet de geldigheid van de gehele overeenkomst aan. Partijen zullen ter vervanging een nieuwe bepaling vaststellen, waarmee zoveel als rechtens mogelijk aan de bedoeling van de oorspronkelijke bepaling gestalte wordt gegeven.
Bijlage 1: Verwerkingsregister
1.1 Aard en doel van de verwerking
Verwerker verwerkt Persoonsgegevens namens Verwerkingsverantwoordelijke ten behoeve van het leveren van de Cloutyx Dienst, zoals beschreven in de Hoofdovereenkomst. Dit omvat:
- Het opslaan, structureren en beschikbaar stellen van bedrijfsdata van Verwerkingsverantwoordelijke
- Het uitvoeren van geautomatiseerde processen binnen de Cloutyx-modules
- Het bieden van support en het oplossen van incidenten
- Het maken van back-ups en zorgen voor data-redundantie
- Het exporteren van data op verzoek van Verwerkingsverantwoordelijke
1.2 Categorieën Betrokkenen
Afhankelijk van welke modules Verwerkingsverantwoordelijke gebruikt, kunnen de volgende categorieën Betrokkenen voorkomen:
- Medewerkers van Verwerkingsverantwoordelijke (gebruikers van de software)
- Klanten van Verwerkingsverantwoordelijke (eindklanten)
- Leveranciers en contactpersonen van Verwerkingsverantwoordelijke
- Vervoerders en logistieke contactpersonen
- Boekhoudkundige en fiscale contactpersonen
- Bezoekers van het support-kanaal (bij gebruik van Support-module)
1.3 Categorieën Persoonsgegevens
Per module kunnen de volgende categorieën Persoonsgegevens voorkomen:
Warehouse module:
- NAW-gegevens van eindklanten (verzendgegevens)
- Contactgegevens van leveranciers en vervoerders
Purchasing module:
- NAW- en contactgegevens van leveranciers
- Naam en functie van inkoopcontactpersonen
Finance module:
- NAW-gegevens van klanten en leveranciers
- Bankrekeningnummers en BTW-nummers
- Mogelijk loonadministratie-gegevens (afhankelijk van gebruik)
Production module:
- Contactgegevens van leveranciers en kwaliteitscontroles
Support module:
- NAW-gegevens van eindklanten
- E-mailadressen en telefoonnummers
- Inhoud van support-communicatie
Algemeen (alle modules):
- Inloggegevens, IP-adressen en gebruikslogs van medewerkers van Verwerkingsverantwoordelijke
1.4 Bijzondere persoonsgegevens
Verwerker verwerkt in beginsel geen bijzondere persoonsgegevens. Indien Verwerkingsverantwoordelijke dergelijke gegevens via de Cloutyx Dienst wil verwerken, dient dit vooraf schriftelijk overeengekomen te worden.
1.5 Bewaartermijn
Persoonsgegevens worden bewaard gedurende de looptijd van de Hoofdovereenkomst, vermeerderd met negentig (90) dagen na beëindiging voor data-export, met uitzondering van gegevens die op grond van wet- en regelgeving (zoals fiscale bewaarplicht) langer bewaard moeten blijven.
Bijlage 2: Lijst Sub-verwerkers
De volgende sub-verwerkers zijn op het moment van publicatie van deze Verwerkersovereenkomst ingeschakeld door Cloutyx:
| Sub-verwerker | Doel verwerking | Locatie verwerking | Doorgifte buiten EER |
|---|---|---|---|
| Railway (applicatie-hosting) en Supabase (database-hosting) | Hosting van de Cloutyx-software, dataopslag en back-ups | EU | Nee |
| Mollie B.V. | Verwerking van betalingen en factuuradministratie | EU (Nederland) | Nee |
| Resend | Versturen van transactionele e-mails (signup, factuur, notificaties) | EU | Nee |
| Klaviyo, Inc. | E-mail marketing en automation | VS | Ja, op basis van EU-VS Data Privacy Framework / Standaardcontractbepalingen |
| Google Ireland Ltd. (Google Analytics) | Geanonimiseerde website-analytics | VS | Ja, op basis van EU-VS Data Privacy Framework / Standaardcontractbepalingen |
De actuele lijst van sub-verwerkers is op verzoek beschikbaar via support@cloutyx.com en wordt bij wijzigingen schriftelijk gecommuniceerd conform artikel 5.4.
Ondertekening
Deze Verwerkersovereenkomst wordt geacht te zijn aanvaard door Verwerkingsverantwoordelijke op het moment dat de Hoofdovereenkomst tot stand komt, conform artikel 19 van de Algemene Voorwaarden van Cloutyx BV.
Cloutyx BV Heggerank 6 6101 MX Echt Nederland
KvK: 87547880 E-mail: support@cloutyx.com Telefoon: 06-30036342
Versie 1.0 — opgesteld 27 april 2026 *Voor de meest actuele versie zie cloutyx.com/verwerkersovereenkomst*