Verwerkersovereenkomst

Gemaakt op 2 April, 2022Informatie • in 15 minuten gelezen

Verwerkersovereenkomst

Versie: 1 oktober 2025

Deze verwerkersovereenkomst vormt een integraal onderdeel van de algemene voorwaarden tussen u (de verwerkingsverantwoordelijke) en mijnQRcode.nl | Prompt Media (de verwerker).

Partijen

Verwerkingsverantwoordelijke (hierna: "de Verwerkingsverantwoordelijke" of "u"): De klant die gebruikmaakt van de diensten van mijnQRcode en die bepaalt met welk doel en op welke wijze persoonsgegevens worden verwerkt.

Verwerker (hierna: "de Verwerker", "mijnQRcode", "wij" of "ons"):

  • mijnQRcode.nl | Prompt Media
  • Bezoekadres: Papaverweg 34, 1032 KJ, Amsterdam, Nederland
  • Postadres: Postbus 56907, 1040 AX, Amsterdam, Nederland
  • KvK-nummer: 01086975
  • BTW-nummer: NL001429868B57

Hierna individueel "Partij" en gezamenlijk "Partijen" genoemd.

Overwegende dat:

  • De Verwerkingsverantwoordelijke gebruikmaakt van de software van mijnQRcode voor het creëren, beheren en analyseren van QR-codes en barcodes;
  • De Verwerker in het kader van het leveren van deze diensten persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke;
  • Partijen op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) verplicht zijn een verwerkersovereenkomst te sluiten;
  • Partijen de rechten en verplichtingen met betrekking tot de verwerking van persoonsgegevens schriftelijk willen vastleggen;
  • In deze verwerkersovereenkomst wordt verstaan onder "persoonsgegevens", "verwerking", "verwerkingsverantwoordelijke", "verwerker" en andere begrippen zoals omschreven in de AVG;

Komen overeen:

Artikel 1 - Toepasselijkheid en duur

1.1 Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke in het kader van de dienstverlening zoals omschreven in de hoofdovereenkomst.

1.2 Deze verwerkersovereenkomst treedt in werking bij aanvaarding van de algemene voorwaarden en blijft van kracht zolang de Verwerker persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

1.3 Bij beëindiging van de samenwerking blijven de bepalingen van deze overeenkomst van kracht voor zover noodzakelijk voor de afwikkeling van verplichtingen.

Artikel 2 - Onderwerp en duur van de verwerking

2.1 De Verwerker verwerkt namens de Verwerkingsverantwoordelijke persoonsgegevens zoals beschreven in Bijlage 1 van deze overeenkomst.

2.2 De verwerking vindt plaats voor de volgende doeleinden:

  • Het leveren van de diensten zoals beschreven in de hoofdovereenkomst
  • Het aanmaken en beheren van accounts
  • Het genereren, opslaan en beheren van QR-codes
  • Het verzamelen en tonen van scan-statistieken
  • Het verwerken van betalingen
  • Het versturen van transactionele e-mails
  • Het bieden van klantenservice en technische ondersteuning

2.3 De duur van de verwerking is gelijk aan de duur van de overeenkomst tussen Partijen, plus de periode die noodzakelijk is voor afwikkeling van verplichtingen.

Artikel 3 - Verplichtingen van de Verwerkingsverantwoordelijke

3.1 De Verwerkingsverantwoordelijke is verantwoordelijk voor:

  • De rechtmatigheid van de verwerking
  • Het bepalen van de doeleinden en middelen van de verwerking
  • De inhoud en het gebruik van de persoonsgegevens
  • De juistheid en volledigheid van de persoonsgegevens
  • Het informeren van betrokkenen over de verwerking
  • Het verkrijgen van toestemming van betrokkenen waar nodig

3.2 De Verwerkingsverantwoordelijke garandeert dat:

  • De verwerking rechtmatig is en geen inbreuk maakt op rechten van derden
  • Alle benodigde toestemmingen en grondslagen aanwezig zijn
  • Betrokkenen correct zijn geïnformeerd over de verwerking

3.3 De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor alle claims van derden die voortvloeien uit onrechtmatige verwerking van persoonsgegevens voor zover deze claims niet het gevolg zijn van handelen of nalaten door de Verwerker.

Artikel 4 - Verplichtingen van de Verwerker

4.1 De Verwerker verwerkt persoonsgegevens uitsluitend:

  • Volgens gedocumenteerde instructies van de Verwerkingsverantwoordelijke
  • Voor de doeleinden zoals beschreven in artikel 2
  • In overeenstemming met de AVG en andere toepasselijke wetgeving

4.2 De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk informeren als een instructie naar zijn mening in strijd is met de AVG of andere privacywetgeving.

4.3 De Verwerker zorgt ervoor dat personen die gemachtigd zijn om persoonsgegevens te verwerken:

  • Een geheimhoudingsplicht hebben of onder een wettelijke geheimhoudingsplicht vallen
  • Alleen toegang hebben tot persoonsgegevens voor zover noodzakelijk
  • Adequaat zijn geïnstrueerd over de omgang met persoonsgegevens

4.4 De Verwerker verleent de Verwerkingsverantwoordelijke, op eerste verzoek en binnen een redelijke termijn, alle informatie die noodzakelijk is om de naleving van de verplichtingen uit artikel 28 AVG aan te tonen.

4.5 De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij:

  • Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA)
  • Voorafgaande raadpleging van de toezichthouder
  • Het waarborgen van de beveiliging van de verwerking
  • Het melden van een datalek
  • Het afhandelen van verzoeken van betrokkenen

Artikel 5 - Beveiligingsmaatregelen

5.1 De Verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals beschreven in Bijlage 2 van deze overeenkomst.

5.2 Deze maatregelen waarborgen, rekening houdend met de stand van de techniek:

  • Vertrouwelijkheid van de persoonsgegevens
  • Integriteit van de persoonsgegevens
  • Beschikbaarheid van de persoonsgegevens en diensten
  • Herstel van beschikbaarheid bij technische incidenten
  • Regelmatige evaluatie en toetsing van de effectiviteit

5.3 De Verwerker zorgt voor:

  • Pseudonimisering en versleuteling van persoonsgegevens waar passend
  • Vermogen om vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen te garanderen
  • Vermogen om beschikbaarheid en toegang tot persoonsgegevens tijdig te herstellen bij incidenten
  • Procedure voor regelmatige testing en evaluatie van de effectiviteit van maatregelen

5.4 De Verwerker past de beveiligingsmaatregelen aan indien:

  • Dit noodzakelijk is op grond van nieuwe inzichten of ontwikkelingen
  • De Verwerkingsverantwoordelijke hier gemotiveerd om verzoekt
  • Dit voortvloeit uit een audit of beveiligingsincident

Artikel 6 - Inschakeling subverwerkers

6.1 De Verwerkingsverantwoordelijke verleent hierbij algemene toestemming aan de Verwerker voor het inschakelen van subverwerkers.

6.2 De Verwerker gebruikt op dit moment de volgende subverwerkers:

Betaaldienstverleners:

  • Mollie B.V. - Voor betalingen via iDEAL, Bancontact en andere Europese betaalmethoden
  • Stripe, Inc. - Voor creditcardbetalingen en betalingen in andere valuta's

Hosting en infrastructuur:

  • Microsoft Corporation - Voor Microsoft 365 diensten (e-mail, opslag, communicatie) Gegevens worden opgeslagen in datacenters binnen de Europese Unie
  • Gegevens worden opgeslagen in datacenters binnen de Europese Unie

6.3 De Verwerker informeert de Verwerkingsverantwoordelijke ten minste 30 dagen vooraf over voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van subverwerkers.

6.4 De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen de inschakeling van een nieuwe subverwerker. Dit bezwaar moet:

  • Binnen 14 dagen na kennisgeving schriftelijk worden ingediend
  • Gemotiveerd zijn met redenen die betrekking hebben op de AVG-naleving

6.5 Bij een gegrond bezwaar:

  • Treden Partijen in overleg om tot een oplossing te komen
  • Kan de Verwerkingsverantwoordelijke de overeenkomst beëindigen als geen oplossing wordt gevonden
  • Vindt geen vergoeding van kosten plaats

6.6 De Verwerker:

  • Legt subverwerkers dezelfde gegevensbeschermingsverplichtingen op als in deze overeenkomst
  • Sluit met subverwerkers een schriftelijke verwerkersovereenkomst
  • Blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van verplichtingen door subverwerkers
  • Controleert regelmatig of subverwerkers hun verplichtingen nakomen

Artikel 7 - Doorgifte buiten de EU/EER

7.1 De Verwerker verwerkt en bewaart persoonsgegevens in principe binnen de Europese Economische Ruimte (EER).

7.2 Voor doorgifte naar landen buiten de EER geldt:

Stripe (Verenigde Staten):

  • Stripe is gecertificeerd onder het EU-US Data Privacy Framework
  • Dit waarborgt een passend beschermingsniveau
  • Meer informatie: https://stripe.com/privacy

7.3 De Verwerker zorgt bij doorgifte buiten de EER voor:

  • Passende waarborgen zoals bedoeld in artikel 46 AVG
  • Documentatie van de rechtmatigheid van de doorgifte
  • Informatie aan de Verwerkingsverantwoordelijke over de waarborgen

7.4 Op verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker:

  • Informatie over de landen waarnaar gegevens worden doorgegeven
  • De toepasselijke waarborgen
  • Kopieën van relevante documenten

Artikel 8 - Rechten van betrokkenen

8.1 De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van betrokkenen met betrekking tot hun AVG-rechten:

  • Recht op inzage (artikel 15 AVG)
  • Recht op rectificatie (artikel 16 AVG)
  • Recht op verwijdering (artikel 17 AVG)
  • Recht op beperking van de verwerking (artikel 18 AVG)
  • Recht op gegevensoverdraagbaarheid (artikel 20 AVG)
  • Recht van bezwaar (artikel 21 AVG)

8.2 Indien een betrokkene een verzoek indient bij de Verwerker:

  • Stuurt de Verwerker dit verzoek onverwijld door naar de Verwerkingsverantwoordelijke
  • Mag de Verwerker de betrokkene hiervan op de hoogte stellen
  • Reageert de Verwerker niet zelf op het verzoek zonder toestemming van de Verwerkingsverantwoordelijke

8.3 De Verwerker verleent, rekening houdend met de aard van de verwerking, medewerking bij het afhandelen van verzoeken door:

  • Technische mogelijkheden te bieden om gegevens in te zien, te wijzigen of te verwijderen
  • Gegevens te leveren in een gangbaar formaat (CSV, JSON) bij verzoeken om overdraagbaarheid
  • Binnen 7 werkdagen te reageren op verzoeken om medewerking

8.4 Voor medewerking die aanzienlijke inspanningen vergt, kan de Verwerker redelijke kosten in rekening brengen. Deze kosten worden vooraf aan de Verwerkingsverantwoordelijke meegedeeld.

Artikel 9 - Datalekken

9.1 Een datalek is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.

9.2 Bij een datalek stelt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld, en indien mogelijk binnen 72 uur na de ontdekking, op de hoogte.

9.3 De melding van het datalek bevat minimaal:

  • Beschrijving van de aard van de inbreuk
  • Categorieën en aantal betrokkenen
  • Categorieën en aantal persoonsgegevens
  • Naam en contactgegevens van de functionaris voor gegevensbescherming (indien aanwezig) of ander contactpunt
  • Beschrijving van de waarschijnlijke gevolgen van de inbreuk
  • Beschrijving van de genomen of voorgestelde maatregelen om de inbreuk te verhelpen
  • Beschrijving van maatregelen om eventuele nadelige gevolgen te beperken

9.4 Als niet alle informatie tegelijk kan worden verstrekt, wordt deze gefaseerd zo snel mogelijk verstrekt.

9.5 De Verwerker documenteert alle datalekken, ook als deze niet meldingsplichtig zijn, inclusief:

  • Feiten met betrekking tot de inbreuk
  • Gevolgen
  • Genomen maatregelen

9.6 De Verwerkingsverantwoordelijke beslist of:

  • Het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens
  • Betrokkenen geïnformeerd moeten worden
  • Aanvullende maatregelen nodig zijn

9.7 De Verwerker verleent volledige medewerking aan:

  • Het onderzoek naar het datalek
  • Het informeren van autoriteiten en betrokkenen
  • Het nemen van herstelmaatregelen

Artikel 10 - Geheimhouding

10.1 De Verwerker en alle personen die onder zijn verantwoordelijkheid toegang hebben tot persoonsgegevens:

  • Verwerken deze alleen op instructie van de Verwerkingsverantwoordelijke
  • Zijn gebonden aan geheimhouding, tenzij een wettelijke verplichting tot openbaarmaking bestaat

10.2 Deze geheimhoudingsplicht blijft bestaan na beëindiging van de overeenkomst.

10.3 Uitzonderingen op de geheimhoudingsplicht:

  • Verstrekking is noodzakelijk voor uitvoering van de overeenkomst
  • Wettelijke verplichting tot verstrekking
  • Schriftelijke toestemming van de Verwerkingsverantwoordelijke

Artikel 11 - Audits en inspecties

11.1 De Verwerker draagt bij aan audits, waaronder inspecties, uitgevoerd door de Verwerkingsverantwoordelijke of een door hem gemachtigde controleur.

11.2 De Verwerkingsverantwoordelijke heeft het recht om:

  • Maximaal één keer per jaar een audit uit te (laten) voeren
  • Bij gegronde vermoedens van niet-naleving tussentijds een audit uit te (laten) voeren
  • Inzage te krijgen in relevante documentatie
  • Bevindingen van de audit te bespreken met de Verwerker

11.3 Voorwaarden voor een audit:

  • Ten minste 4 weken voorafgaande schriftelijke kennisgeving
  • De audit wordt uitgevoerd door een onafhankelijke, ter zake kundige en tot geheimhouding verplichte derde
  • De audit vindt plaats op werkdagen tijdens kantooruren
  • De audit mag de bedrijfsvoering niet onredelijk verstoren

11.4 De Verwerker verleent medewerking aan de audit door:

  • Toegang te verlenen tot relevante locaties
  • Beschikbaar te stellen van relevante documentatie
  • Toegang te geven tot relevante systemen (op niet-productie-omgevingen)
  • Medewerking van betrokken medewerkers

11.5 De Verwerker mag:

  • Een eigen medewerker laten meelopen tijdens de audit
  • Vertrouwelijke informatie van derden afschermen
  • Informatie met betrekking tot andere klanten afschermen
  • Weigeren toegang te geven als dit de veiligheid of stabiliteit van systemen in gevaar brengt

11.6 Kosten van de audit:

  • Reguliere jaarlijkse audit: kosten zijn voor rekening van de Verwerkingsverantwoordelijke
  • Tussentijdse audit bij vastgestelde niet-naleving: kosten zijn voor rekening van de Verwerker
  • Tussentijdse audit zonder vastgestelde niet-naleving: kosten zijn voor rekening van de Verwerkingsverantwoordelijke

11.7 Op basis van de auditresultaten:

  • Kunnen Partijen in overleg verbetermaatregelen afspreken
  • Stelt de Verwerker een plan van aanpak op bij vastgestelde tekortkomingen
  • Worden afspraken schriftelijk vastgelegd

Artikel 12 - Register van verwerkingsactiviteiten

12.1 De Verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die worden uitgevoerd namens de Verwerkingsverantwoordelijke, zoals vereist in artikel 30 lid 2 AVG.

12.2 Dit register bevat:

  • Naam en contactgegevens van de Verwerker en elke verwerkingsverantwoordelijke namens wie de Verwerker optreedt
  • Categorieën van verwerkingen uitgevoerd namens elke verwerkingsverantwoordelijke
  • In voorkomend geval, doorgiften van persoonsgegevens aan derde landen of internationale organisaties
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

12.3 Op verzoek stelt de Verwerker het register ter beschikking aan:

  • De Verwerkingsverantwoordelijke
  • De Autoriteit Persoonsgegevens

Artikel 13 - Beëindiging en verwijdering gegevens

13.1 Bij beëindiging van de verwerkingsactiviteiten, om welke reden dan ook:

  • Verwijdert of retourneert de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens
  • Verwijdert de Verwerker bestaande kopieën
  • Doet de Verwerker dit binnen 30 dagen na beëindiging

13.2 De Verwerkingsverantwoordelijke kan kiezen voor:

  • Verwijdering van alle persoonsgegevens
  • Retournering van persoonsgegevens in een gangbaar machineleesbaar formaat (CSV, JSON)
  • Combinatie van beide

13.3 Uitzonderingen op verwijderingsplicht:

  • Persoonsgegevens die de Verwerker op grond van EU- of lidstaatrecht verplicht is te bewaren
  • Deze gegevens worden afgeschermd en alleen gebruikt voor de wettelijke doeleinden

13.4 Na verwijdering of retournering:

  • Verstrekt de Verwerker een schriftelijke bevestiging
  • Zijn alle kopieën, inclusief back-ups, verwijderd of onherstelbaar gemaakt
  • Kan de Verwerker geen gebruik meer maken van de gegevens

Artikel 14 - Aansprakelijkheid

14.1 Elke Partij is aansprakelijk voor schade die wordt veroorzaakt door een inbreuk op deze overeenkomst of de AVG die aan die Partij kan worden toegerekend.

14.2 De Verwerker is niet aansprakelijk voor schade veroorzaakt door een verwerking die plaatsvindt:

  • In strijd met de AVG doordat de Verwerkingsverantwoordelijke onjuiste of onvolledige instructies heeft gegeven
  • Buiten of in strijd met de in deze overeenkomst omschreven instructies

14.3 De aansprakelijkheid van de Verwerker is beperkt tot:

  • Het bedrag dat wordt uitgekeerd onder de aansprakelijkheidsverzekering van de Verwerker
  • Met een maximum van het bedrag van de laatste factuur die de Verwerkingsverantwoordelijke aan de Verwerker heeft betaald
  • Met een absoluut maximum van € 5.000,-

14.4 Uitsluiting indirecte schade:

  • De Verwerker is niet aansprakelijk voor indirecte schade, waaronder gevolgschade, gederfde omzet, gemiste besparingen en schade door bedrijfsstagnatie

14.5 Uitzonderingen op aansprakelijkheidsbeperking:

  • Deze beperkingen gelden niet bij opzet of grove schuld van de Verwerker
  • Deze beperkingen gelden niet voor aansprakelijkheid voor dood of lichamelijk letsel

14.6 Voorwaarden voor aansprakelijkheid:

  • De Verwerkingsverantwoordelijke meldt de schade binnen 7 dagen na ontdekking schriftelijk
  • De Verwerkingsverantwoordelijke verleent medewerking aan het onderzoek naar de schade
  • Aanspraken vervallen 12 maanden na ontdekking van de schade

Artikel 15 - Wijzigingen

15.1 Wijzigingen in deze verwerkersovereenkomst zijn alleen geldig als deze schriftelijk door beide Partijen zijn overeengekomen.

15.2 De Verwerker mag deze overeenkomst eenzijdig wijzigen als:

  • Dit noodzakelijk is op grond van wijzigingen in wetgeving
  • Dit noodzakelijk is op grond van richtlijnen of aanwijzingen van de Autoriteit Persoonsgegevens

15.3 Bij eenzijdige wijziging:

  • Informeert de Verwerker de Verwerkingsverantwoordelijke minimaal 30 dagen vooraf
  • Krijgt de Verwerkingsverantwoordelijke de mogelijkheid de overeenkomst op te zeggen als de wijziging bezwaarlijk is

Artikel 16 - Overige bepalingen

16.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

16.2 Alle geschillen voortvloeiend uit deze overeenkomst worden voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam.

16.3 In geval van tegenstrijdigheid tussen documenten geldt de volgende rangorde:

  1. De hoofdovereenkomst / algemene voorwaarden
  2. Deze verwerkersovereenkomst
  3. Bijlagen bij deze verwerkersovereenkomst

16.4 Indien een bepaling van deze overeenkomst nietig of niet-afdwingbaar blijkt, blijven de overige bepalingen volledig van kracht.

Artikel 17 - Contact

Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen:

mijnQRcode.nl | Prompt Media

  • E-mail: support @ mijnqrcode.nl
  • Postadres: mijnQrcode | Prompt media, Postbus 56907, 1040 AX, Amsterdam, Nederland
  • KvK-nummer: 01086975

Bijlage 1 - Specificatie van de verwerking

A. Onderwerp en duur van de verwerking

Onderwerp: Verwerking van persoonsgegevens in het kader van het leveren van QR-code software en diensten.

Duur: Zolang de overeenkomst tussen Partijen van kracht is, plus de periode noodzakelijk voor afwikkeling.

B. Aard en doel van de verwerking

Aard van de verwerking:

  • Verzamelen
  • Vastleggen
  • Ordenen
  • Structureren
  • Opslaan
  • Bijwerken
  • Wijzigen
  • Opvragen
  • Raadplegen
  • Gebruiken
  • Verstrekken door middel van doorzending
  • Verspreiden of op andere wijze ter beschikking stellen
  • Wissen
  • Vernietigen

Doeleinden van de verwerking:

  1. Het aanmaken en beheren van gebruikersaccounts
  2. Het genereren, opslaan en beheren van QR-codes en barcodes
  3. Het bijhouden en tonen van statistieken over QR-code scans
  4. Het verwerken van betalingen voor abonnementen en diensten
  5. Het versturen van transactionele e-mails (facturen, bevestigingen, herinneringen)
  6. Het bieden van klantenservice en technische ondersteuning
  7. Het verbeteren van de dienstverlening

C. Categorieën van betrokkenen

De persoonsgegevens die worden verwerkt betreffen de volgende categorieën van betrokkenen:

  • Gebruikers van het platform (account houders)
  • Werknemers van zakelijke klanten
  • Contactpersonen van zakelijke klanten
  • Personen die QR-codes scannen (alleen IP-adres en metadata)

D. Categorieën van persoonsgegevens

De volgende categorieën van persoonsgegevens worden verwerkt:

Contactgegevens:

  • Voor- en achternaam
  • E-mailadres
  • Telefoonnummer (optioneel)

Bedrijfsgegevens (bij zakelijke klanten):

  • Bedrijfsnaam
  • KvK-nummer
  • BTW-nummer
  • Factuuradres

Accountgegevens:

  • Gebruikersnaam
  • Wachtwoord (versleuteld)
  • Taalvoorkeur
  • Accountinstellingen

Betalingsgegevens:

  • Betalingsmethode
  • Transactiegegevens
  • Factuurhistorie

Technische gegevens:

  • IP-adres
  • Browsertype en -versie
  • Besturingssysteem
  • Tijdstip van bezoek

QR-code gegevens:

  • Gegenereerde QR-codes
  • Inhoud van QR-codes (URL's, tekst, contactgegevens, etc.)
  • QR-code instellingen (kleur, logo, type)

Scan statistieken:

  • Aantal scans
  • Tijdstip van scan
  • Locatie van scan (land, stad - geanonimiseerd)
  • Apparaattype (mobiel/desktop)
  • IP-adres van scanner (geanonimiseerd na 7 dagen)

Communicatie:

  • Supportverzoeken
  • E-mailcorrespondentie
  • Chatgesprekken met support

E. Bijzondere categorieën van persoonsgegevens

Standaard verwerking door mijnQRcode: mijnQRcode verwerkt GEEN bijzondere categorieën van persoonsgegevens zoals bedoeld in artikel 9 AVG (zoals gegevens over gezondheid, religie, politieke overtuiging, seksuele geaardheid, etc.).

Inhoud QR-codes: De Verwerkingsverantwoordelijke kan zelf kiezen welke inhoud in QR-codes wordt opgeslagen. Als de Verwerkingsverantwoordelijke bijzondere persoonsgegevens in QR-codes verwerkt, is de Verwerkingsverantwoordelijke hier zelf volledig verantwoordelijk voor en moet de Verwerkingsverantwoordelijke:

  • Een passende grondslag hebben voor deze verwerking
  • Betrokkenen correct informeren
  • Passende waarborgen treffen

mijnQRcode heeft geen controle over en geen kennis van de inhoud die de Verwerkingsverantwoordelijke in QR-codes plaatst.

Bijlage 2 - Beveiligingsmaatregelen

mijnQRcode heeft de volgende technische en organisatorische maatregelen geïmplementeerd om persoonsgegevens te beschermen:

1. Toegangsbeveiliging

Logische toegangscontrole:

  • Sterke wachtwoordvereisten (minimaal 8 tekens, combinatie van letters, cijfers en tekens)
  • Two-factor authenticatie (2FA) beschikbaar voor gebruikers
  • Automatische uitlog na periode van inactiviteit
  • Accountblokkering na herhaalde mislukte inlogpogingen

Fysieke toegangsbeveiliging:

  • Toegang tot datacenters gecontroleerd door hostingpartijen
  • Beperkte toegang tot servers en systemen
  • Beveiligde werkplekken voor medewerkers

Toegangsbeheer medewerkers:

  • Toegang op basis van need-to-know principe
  • Unieke gebruikersaccounts voor alle medewerkers
  • Regelmatige review van toegangsrechten
  • Onmiddellijke intrekking van toegang bij uitdiensttreding

2. Versleuteling en pseudonimisering

Gegevens in rust (data at rest):

  • Wachtwoorden worden versleuteld opgeslagen met bcrypt hashing
  • Gevoelige gegevens in de database worden versleuteld
  • Back-ups worden versleuteld opgeslagen

Gegevens in transit (data in transit):

  • Alle communicatie verloopt via HTTPS met TLS 1.2 of hoger
  • SSL/TLS certificaten van erkende certificaatautoriteiten
  • Versleutelde verbindingen tussen servers

Pseudonimisering:

  • IP-adressen van scanners worden na 7 dagen geanonimiseerd
  • Locatiegegevens worden op stad/landniveau opgeslagen (niet op adres)

3. Netwerkbeveiliging

Firewall en toegangscontrole:

  • Firewalls op alle servers
  • IP-whitelisting voor toegang tot kritische systemen
  • Beperking van toegang tot databases op IP-niveau
  • Scheiding van productie- en ontwikkelomgevingen

Intrusion Detection/Prevention:

  • Monitoring van verdacht netwerkverkeer
  • Automatische blokkering van aanvallen
  • DDoS-bescherming

Malware bescherming:

  • Anti-virus software op alle systemen
  • Regelmatige scans op malware
  • Automatische updates van beveiligingssoftware

4. Back-up en herstel

Back-up procedures:

  • Dagelijkse automatische back-ups van alle gegevens
  • Back-ups worden 30 dagen bewaard
  • Back-ups worden versleuteld opgeslagen
  • Back-ups worden opgeslagen op geografisch gescheiden locaties

Disaster recovery:

  • Gedocumenteerd disaster recovery plan
  • Regelmatige testen van herstel procedures
  • Recovery Time Objective (RTO): 24 uur
  • Recovery Point Objective (RPO): 24 uur

5. Monitoring en logging

Logging:

  • Logging van alle toegang tot systemen
  • Logging van wijzigingen in persoonsgegevens
  • Logging van beveiligingsincidenten
  • Logs worden minimaal 6 maanden bewaard

Monitoring:

  • 24/7 monitoring van systemen en services
  • Automatische alerting bij afwijkingen
  • Regelmatige controle van logs
  • Monitoring van beveiligingsincidenten

6. Software en updates

Patch management:

  • Regelmatige updates van besturingssystemen
  • Kritieke beveiligingsupdates worden binnen 48 uur geïnstalleerd
  • Reguliere updates worden binnen 1 maand geïnstalleerd
  • Testing van updates op ontwikkelomgeving

Secure development:

  • Code reviews voor alle wijzigingen
  • Geautomatiseerde security testing
  • Gebruik van veilige programmeerpraktijken
  • Regelmatige security audits van de code

7. Datalek management

Detectie:

  • Monitoring op ongeautoriseerde toegang
  • Alerting bij verdachte activiteiten
  • Regelmatige controle van beveiligingslogs

Response:

  • Gedocumenteerde procedure voor afhandeling datalekken
  • Incident response team beschikbaar
  • Communicatieplan voor meldingen
  • Directe melding aan Verwerkingsverantwoordelijke

Preventie:

  • Regelmatige penetratietesten
  • Vulnerability assessments
  • Security awareness training voor medewerkers

8. Organisatorische maatregelen

Beleid en procedures:

  • Informatiebeveiligingsbeleid
  • Privacy policy en procedures
  • Incident response procedures
  • Acceptable use policy voor medewerkers

Training en bewustwording:

  • Verplichte privacy en security training voor alle medewerkers
  • Regelmatige security awareness campagnes
  • Training over nieuwe dreigingen en risico's

Geheimhouding:

  • Alle medewerkers hebben geheimhoudingsverklaringen getekend
  • Externe partijen hebben geheimhoudingsovereenkomsten
  • Clear desk policy
  • Vernietiging van vertrouwelijke documenten

Audits en certificeringen:

  • Jaarlijkse interne security audits
  • Externe audits op verzoek
  • Continue verbetering van beveiligingsmaatregelen

9. Verwijdering van gegevens

Veilige verwijdering:

  • Definitieve verwijdering van gegevens bij opzegging
  • Overschrijven van verwijderde gegevens
  • Vernietiging van fysieke gegevensdragers volgens erkende standaarden

Bewaartermijnen:

  • Automatische verwijdering van inactieve accounts na 730 dagen
  • Verwijdering van scan-statistieken volgens ingestelde bewaartermijn
  • Wettelijke bewaartermijn voor administratie (7 jaar)

10. Beheer van subverwerkers

Selectie subverwerkers:

  • Due diligence bij selectie van subverwerkers
  • Beoordeling van beveiligingsniveau
  • Contractuele afspraken over gegevensbescherming

Monitoring subverwerkers:

  • Regelmatige evaluatie van subverwerkers
  • Controle op naleving van afspraken
  • Review van security audits van subverwerkers

11. Privacy by design en by default

Privacy by design:

  • Privacy overwegingen in ontwerpfase van nieuwe functionaliteit
  • Data minimalisatie als uitgangspunt
  • Pseudonimisering en versleuteling waar mogelijk

Privacy by default:

  • Standaard privacy-vriendelijke instellingen
  • Minimale verzameling van gegevens
  • Beperkte toegang tot persoonsgegevens

12. Continue verbetering

Evaluatie en aanpassing:

  • Jaarlijkse review van beveiligingsmaatregelen
  • Aanpassing op basis van nieuwe dreigingen
  • Implementatie van nieuwe beveiligingstechnologieën
  • Leren van incidenten en near-misses

Testing:

  • Regelmatige penetratietesten door externe partijen
  • Vulnerability scans
  • Phishing simulaties voor medewerkers
  • Disaster recovery oefeningen

Akkoordverklaring

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de algemene voorwaarden tussen de Verwerkingsverantwoordelijke en mijnQRcode.nl | Prompt Media.

Door gebruik te maken van de diensten van mijnQRcode.nl gaat u automatisch akkoord met deze verwerkersovereenkomst en de bijbehorende bijlagen.

Versie: 1 oktober 2025

Laatste wijziging: 1 oktober 2025

Voor vragen over deze verwerkersovereenkomst: