Verwerkersovereenkomst

Versie 1.1 — laatst bijgewerkt 20-5-2026

Pilot-fase: Deze verwerkersovereenkomst is conform AVG art. 28 opgesteld voor pilot-/early-adopter-gebruik. Voor enterprise-uitrol of zeer gevoelige categorieën persoonsgegevens adviseren wij een specialist te raadplegen. Voor pilot- en proefgebruik is deze versie bindend.

1. Partijen

Verwerker: Koldwerk. Verwerkingsverantwoordelijke: het installatiebedrijf met een actieve werkruimte.

2. Onderwerp

Verwerker verwerkt persoonsgegevens van eindklanten ten behoeve van de uitvoering van de SaaS-overeenkomst. Verwerker handelt uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke.

3. Duur

Deze overeenkomst loopt parallel aan het Koldwerk-abonnement. Bij beëindiging worden gegevens binnen 30 dagen verwijderd of geretourneerd naar de Verwerkingsverantwoordelijke (op verzoek).

4. Sub-processors

Verwerker mag sub-processors inschakelen volgens de lijst in deprivacyverklaring. Wijzigingen worden 30 dagen vooraf aangekondigd; Verwerkingsverantwoordelijke kan bezwaar maken.

5. Beveiligingsmaatregelen

AES-256-GCM encryptie at-rest voor PII
TLS 1.3 in transit
Argon2id wachtwoord-hashing
Append-only audit-log
Multi-tenant rij-niveau isolatie
HSTS, CSP, security headers
Periodieke penetratietests (jaarlijks bij Enterprise)

6. Datalek-procedure

Verwerker meldt elk datalek binnen 24 uur na ontdekking aan de Verwerkingsverantwoordelijke met alle relevante details voor melding bij de AP (binnen 72 uur).

7. Audit-recht

Verwerkingsverantwoordelijke heeft het recht om jaarlijks een audit uit te voeren of een derde-partij audit-rapport (bv. ISO 27001) op te vragen.