Verwerkersovereenkomst

Gemaakt op 2 April, 2022Informatie • in 4 minuten gelezen

Verwerkersovereenkomst mijnQRcode.nl

Versie: 1 juni 2026
Laatst bijgewerkt: 1 juni 2026

Deze verwerkersovereenkomst vormt een integraal onderdeel van de algemene voorwaarden tussen de verwerkingsverantwoordelijke (de klant) en mijnQRcode.nl | Prompt Media (de verwerker).

Partijen

Verwerkingsverantwoordelijke: de klant die gebruikmaakt van de diensten van mijnQRcode.nl en die bepaalt met welk doel en op welke wijze persoonsgegevens worden verwerkt.

Verwerker: mijnQRcode.nl | Prompt Media
Bezoekadres (alleen op afspraak): Fivel 3, 9204 CE  Drachten, Nederland
E-mail: support@mijnqrcode.nl
KvK: 01086975
BTW: NL001429868B57

Artikel 1 - Toepasselijkheid en duur

Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens door de verwerker ten behoeve van de verwerkingsverantwoordelijke. De overeenkomst treedt in werking bij aanvaarding van de algemene voorwaarden en blijft van kracht zolang de verwerker persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke.

Artikel 2 - Onderwerp en doel van de verwerking

De verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke voor de volgende doeleinden:

  • Het aanmaken en beheren van accounts
  • Het genereren, opslaan en beheren van QR-codes en barcodes
  • Het verzamelen en tonen van scanstatistieken
  • Het verwerken van betalingen
  • Het versturen van transactionele e-mails
  • Het bieden van klantenservice en technische ondersteuning

Een gedetailleerde specificatie van de verwerking is opgenomen in Bijlage 1.

Artikel 3 - Verplichtingen van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de verwerking, het informeren van betrokkenen en het verkrijgen van de benodigde toestemmingen. De verwerkingsverantwoordelijke vrijwaart de verwerker voor claims van derden die voortvloeien uit onrechtmatige verwerking, voor zover deze niet het gevolg zijn van handelen of nalaten door de verwerker.

Artikel 4 - Verplichtingen van de verwerker

De verwerker verwerkt persoonsgegevens uitsluitend volgens gedocumenteerde instructies van de verwerkingsverantwoordelijke, voor de doeleinden zoals beschreven in artikel 2, en in overeenstemming met de AVG. De verwerker zorgt voor geheimhouding en informeert de verwerkingsverantwoordelijke onmiddellijk als een instructie naar zijn mening in strijd is met de AVG.

Artikel 5 - Beveiligingsmaatregelen

De verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Een gedetailleerde beschrijving van de beveiligingsmaatregelen is opgenomen in Bijlage 2.

Artikel 6 - Subverwerkers

De verwerkingsverantwoordelijke verleent algemene toestemming voor het inschakelen van subverwerkers. De verwerker maakt gebruik van de volgende subverwerkers:

  • Mollie B.V. - betalingsverwerking via iDEAL en andere Europese betaalmethoden
  • Microsoft Corporation - e-mail en bestandsopslag via Microsoft 365, opgeslagen in Europese datacenters

De verwerker informeert de verwerkingsverantwoordelijke ten minste 30 dagen vooraf over wijzigingen in subverwerkers. De verwerkingsverantwoordelijke heeft het recht binnen 14 dagen gemotiveerd bezwaar te maken. De verwerker legt subverwerkers dezelfde gegevensbeschermingsverplichtingen op als in deze overeenkomst en blijft volledig aansprakelijk voor hun nakoming.

Artikel 7 - Doorgifte buiten de EU/EER

Persoonsgegevens worden in principe verwerkt en bewaard binnen de Europese Economische Ruimte. Er vindt geen doorgifte buiten de EER plaats.

Artikel 8 - Rechten van betrokkenen

De verwerker ondersteunt de verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van betrokkenen op grond van de AVG (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar). Verzoeken die bij de verwerker binnenkomen, worden onverwijld doorgestuurd naar de verwerkingsverantwoordelijke. De verwerker reageert niet zelf op verzoeken zonder toestemming van de verwerkingsverantwoordelijke.

Artikel 9 - Datalekken

Bij een datalek stelt de verwerker de verwerkingsverantwoordelijke hiervan onverwijld op de hoogte, indien mogelijk binnen 72 uur na ontdekking. De melding bevat minimaal een beschrijving van de aard van de inbreuk, de betrokken categorieën persoonsgegevens, de waarschijnlijke gevolgen en de genomen maatregelen. De verwerker documenteert alle datalekken, ook niet-meldingsplichtige.

Artikel 10 - Geheimhouding

De verwerker en alle personen die onder zijn verantwoordelijkheid toegang hebben tot persoonsgegevens zijn gebonden aan geheimhouding. Deze verplichting blijft van kracht na beëindiging van de overeenkomst.

Artikel 11 - Audits

De verwerkingsverantwoordelijke heeft het recht maximaal één keer per jaar een audit uit te laten voeren door een onafhankelijke, tot geheimhouding verplichte derde. Hiervoor is ten minste 4 weken voorafgaande schriftelijke kennisgeving vereist. De kosten zijn voor rekening van de verwerkingsverantwoordelijke, tenzij de audit een vastgestelde tekortkoming aan het licht brengt.

Artikel 12 - Verwijdering van gegevens

Bij beëindiging van de overeenkomst verwijdert de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens of retourneert deze in een gangbaar formaat (CSV of JSON). Dit gebeurt binnen 30 dagen na beëindiging. Gegevens die op grond van wetgeving bewaard moeten worden, worden afgeschermd en uitsluitend voor dat doel gebruikt.

Artikel 13 - Aansprakelijkheid

De aansprakelijkheid van de verwerker is beperkt tot het bedrag van de laatste door de verwerkingsverantwoordelijke betaalde factuur, met een absoluut maximum van € 5.000,-. De verwerker is niet aansprakelijk voor indirecte schade of gevolgschade. Deze beperkingen gelden niet bij opzet of grove schuld.

Artikel 14 - Wijzigingen

Wijzigingen zijn alleen geldig indien schriftelijk overeengekomen. De verwerker mag de overeenkomst eenzijdig wijzigen bij wetswijzigingen of aanwijzingen van de Autoriteit Persoonsgegevens, met een voorafgaande kennisgeving van minimaal 30 dagen.

Artikel 15 - Overige bepalingen

Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Leeuwarden. Bij tegenstrijdigheid prevaleren de algemene voorwaarden boven deze overeenkomst.

Bijlage 1 - Specificatie van de verwerking

Categorieën betrokkenen:

  • Gebruikers van het platform (accounthouders)
  • Contactpersonen van zakelijke klanten
  • Personen die QR-codes scannen (alleen geanonimiseerde metadata)

Categorieën persoonsgegevens:

  • Contactgegevens: naam, e-mailadres, telefoonnummer (optioneel)
  • Bedrijfsgegevens: bedrijfsnaam, KvK-nummer, BTW-nummer, factuuradres (bij zakelijke klanten)
  • Accountgegevens: gebruikersnaam, wachtwoord (versleuteld), instellingen
  • Betalingsgegevens: betaalmethode, transactiegegevens, factuurhistorie
  • Technische gegevens: IP-adres, browsertype, besturingssysteem, tijdstip van bezoek
  • QR-code gegevens: gegenereerde codes, inhoud (URL's, tekst, contactgegevens), instellingen
  • Scanstatistieken: aantal scans, tijdstip, locatie (land/stad), apparaattype, IP-adres scanner (geanonimiseerd na 7 dagen)
  • Communicatie: supportverzoeken en e-mailcorrespondentie

Bijzondere categorieën:
mijnQRcode.nl verwerkt geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 AVG. Indien de verwerkingsverantwoordelijke dergelijke gegevens in QR-codes verwerkt, is hij daar zelf volledig verantwoordelijk voor.

Bijlage 2 - Beveiligingsmaatregelen

Toegangsbeveiliging

  • Sterke wachtwoordvereisten en two-factor authenticatie beschikbaar
  • Toegang op need-to-know basis; onmiddellijke intrekking bij uitdiensttreding
  • Automatische uitlog na inactiviteit

Versleuteling

  • HTTPS/TLS 1.2 of hoger voor alle communicatie
  • Wachtwoorden versleuteld opgeslagen met bcrypt
  • Versleutelde back-ups op geografisch gescheiden locaties

Netwerkbeveiliging

  • Firewalls, IP-whitelisting en DDoS-bescherming
  • Scheiding van productie- en ontwikkelomgevingen
  • Monitoring en automatische blokkering van verdacht verkeer

Back-up en herstel

  • Dagelijkse automatische back-ups, 30 dagen bewaard
  • Recovery Time Objective (RTO): 24 uur
  • Recovery Point Objective (RPO): 24 uur

Logging en monitoring

  • Logging van toegang, wijzigingen en beveiligingsincidenten
  • Logs minimaal 6 maanden bewaard
  • 24/7 monitoring met automatische alerting

Organisatorische maatregelen

  • Geheimhoudingsverklaringen voor alle medewerkers
  • Privacy- en securitytraining
  • Gedocumenteerde procedures voor incidentbeheer en datalekken

Verwijdering van gegevens

  • Veilige verwijdering bij opzegging
  • Automatische verwijdering van inactieve accounts na 2 jaar
  • Wettelijke bewaartermijn voor administratie: 7 jaar

Voor vragen over deze verwerkersovereenkomst: support@mijnqrcode.nl