Verwerkersovereenkomst (DPA)

Versie: mei 2026 — laatst bijgewerkt 3 mei 2026 — conform art. 28 AVG

Partijen

Verwerkingsverantwoordelijke ("Klant"): zoals vastgelegd in de onderliggende Overeenkomst tussen Plekk en Klant.
Verwerker ("Plekk"): Plekk, eenmanszaak Luuk van der Poel, KvK [nummer], gevestigd te Breda, vertegenwoordigd door Luuk van der Poel, bereikbaar via luuk@plekk.studio.

Overwegende dat partijen een Overeenkomst hebben gesloten waarbij Plekk voor Klant een website bouwt en beheert; dat Plekk in dat kader persoonsgegevens verwerkt waarvoor Klant verwerkingsverantwoordelijke is; dat partijen ingevolge artikel 28 AVG de in deze verwerkersovereenkomst vastgelegde afspraken willen maken;

komen overeen:

Art. 1 — Onderwerp, duur, aard en doel

1. Plekk verwerkt persoonsgegevens uitsluitend ten behoeve van Klant en conform Klants schriftelijke instructies, behoudens een wettelijke verplichting tot anders doen (waarvan Plekk Klant vooraf informeert voor zover toegestaan).
2. Aard: opslag, raadpleging, wijziging, overdracht en verwijdering ten behoeve van het bouwen, hosten (tijdelijk, tot Overdracht) en onderhouden van de website plus support.
3. Doel: uitvoering van de Overeenkomst.
4. Duur: gelijk aan de duur van de Overeenkomst, plus een redelijke afbouwperiode voor verwijdering of retournering (art. 9).

Art. 2 — Categorieën betrokkenen en persoonsgegevens

1. Betrokkenen: eindgebruikers / bezoekers van Klants website; klanten, leads of contacten van Klant die via formulieren of uploads in het systeem van Plekk terechtkomen.
2. Persoonsgegevens: naam, e-mailadres, telefoonnummer, adresgegevens, foto's en — voor zover Klant aanlevert — andere inhoudelijke gegevens over eindgebruikers.
3. Plekk verwerkt geen bijzondere of strafrechtelijke persoonsgegevens, tenzij uitdrukkelijk en schriftelijk overeengekomen met aanvullende waarborgen.

Art. 3 — Instructies en verplichtingen verwerker

1. Plekk verwerkt persoonsgegevens uitsluitend volgens schriftelijke instructies van Klant. De Overeenkomst en deze DPA gelden als die instructie.
2. Plekk informeert Klant onverwijld indien een instructie naar zijn oordeel een inbreuk oplevert op de AVG of andere privacywetgeving.
3. Plekk verplicht personen die onder zijn verantwoordelijkheid persoonsgegevens verwerken tot geheimhouding.

Art. 4 — Beveiliging (art. 32 AVG)

1. Plekk neemt passende technische en organisatorische maatregelen, waaronder ten minste: HTTPS/TLS, encryption-at-rest door infrastructuurleveranciers, HMAC-gesigneerde sessie-tokens, twee-factor-authenticatie op beheeraccounts, principle-of-least-privilege, logging, scheiding van productie- en ontwikkelomgeving, rate-limiting tegen abuse, magic-byte verificatie op file-uploads, en periodieke review van logs.
2. Plekk verstrekt op verzoek van Klant aanvullende informatie over de genomen maatregelen, voor zover dit niet in strijd komt met de beveiliging.

Art. 5 — Subverwerkers

1. Klant verleent Plekk algemene toestemming om de in de Privacyverklaring §4 opgenomen subverwerkers in te schakelen. De huidige lijst is opgenomen in Bijlage A onderaan deze DPA.
2. Plekk informeert Klant minstens 14 dagen voorafgaand aan voorgenomen wijzigingen in de subverwerkerslijst. Klant kan binnen deze termijn schriftelijk gemotiveerd bezwaar maken; bij gebrek aan alternatief kunnen partijen de Overeenkomst beëindigen.
3. Cascade-uitzondering bij kortere upstream-termijn. Indien een door Plekk ingeschakelde subverwerker zelf een kortere notificatietermijn hanteert voor wijzigingen in haar eigen subverwerkers (bijvoorbeeld 10 dagen bij Cloudinary, 15 dagen bij Anthropic), zendt Plekk de melding binnen 2 werkdagen na ontvangst door aan Klant. Voor die specifieke wijziging geldt een verkorte bezwaartermijn die gelijk is aan de termijn die Plekk zelf van haar subverwerker heeft ontvangen, minus 2 werkdagen. Plekk informeert Klant duidelijk dat deze verkorte termijn van toepassing is.
4. Plekk verplicht iedere subverwerker tot ten minste gelijkwaardige verplichtingen als in deze DPA en blijft jegens Klant aansprakelijk voor handelen van subverwerkers (art. 28 lid 4 AVG).

Art. 6 — Internationale doorgifte

1. Voor doorgifte naar derde landen maakt Plekk gebruik van (i) het EU-US Data Privacy Framework adequaatheidsbesluit, of (ii) de EU Standard Contractual Clauses (Decision (EU) 2021/914). Plekk voorziet op verzoek in inzage in de afgesloten SCC's.

Art. 7 — Bijstand aan Klant

1. Plekk ondersteunt Klant — voor zover redelijkerwijs mogelijk en passend bij de aard van de verwerking — bij:
   • Nakomen van art. 32-36 AVG verplichtingen;
   • Afhandelen van verzoeken van betrokkenen (art. 15-22 AVG);
   • Data protection impact assessments.
2. Voor werkzaamheden die standaard-support overstijgen kan Plekk kosten in rekening brengen tegen het geldende uurtarief, na schriftelijke voorafgaande afstemming.

Art. 8 — Datalekmelding

1. Plekk meldt iedere inbreuk op de beveiliging die heeft geleid tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens zonder onredelijke vertraging, en uiterlijk binnen 48 uur na bekendwording, aan Klant. De melding bevat tenminste: aard van de inbreuk, (vermoedelijk) aantal betrokkenen, (vermoedelijke) categorieën gegevens, gevolgen, en genomen of voorgestelde maatregelen.
2. Plekk ondersteunt Klant bij het doen van een melding aan de Autoriteit Persoonsgegevens (art. 33 AVG) en — waar nodig — aan betrokkenen (art. 34 AVG).

Art. 9 — Einde van de verwerking

1. Bij beëindiging van de Overeenkomst, en in ieder geval binnen 60 dagen na de laatste oplevering/support-dag, verwijdert Plekk — naar keuze van Klant — alle persoonsgegevens of retourneert deze aan Klant, tenzij op Plekk een wettelijke bewaarplicht rust.
2. Plekk bevestigt de verwijdering schriftelijk.

Art. 10 — Audit

1. Klant heeft het recht, maximaal éénmaal per kalenderjaar en na voorafgaand schriftelijk verzoek (minimaal 30 dagen), een onafhankelijke audit te laten uitvoeren naar naleving van deze DPA. De kosten zijn voor Klant, tenzij de audit materiële tekortkomingen aan de zijde van Plekk uitwijst.
2. Plekk kan als alternatief volstaan met het beschikbaar stellen van recente certificeringen of rapportages van externe auditors.

Art. 11 — Aansprakelijkheid

1. De algemene aansprakelijkheidsregeling uit de Overeenkomst en de Algemene Voorwaarden geldt mutatis mutandis, onverminderd het dwingendrechtelijke kader van art. 82 AVG.

Art. 12 — Toepasselijk recht en geschillen

1. Op deze DPA is Nederlands recht van toepassing. Geschillen worden beslecht door de bevoegde rechter te Breda, onverminderd art. 79 AVG (forumkeuze betrokkene).

Bijlage A — Subverwerkerslijst

Actuele lijst conform Privacyverklaring §4 (peildatum: 3 mei 2026). Tussen haakjes de notificatietermijn die Plekk van de subverwerker ontvangt voor wijzigingen in dezelfs eigen sub-keten:

• Google LLC — klantadministratie + e-mailverkeer (EU + VS, DPF + EU SCC's; ~30 dagen)
• Supabase Inc. — dashboard-authenticatie (EU Frankfurt; ~30 dagen)
• Cloudinary Ltd. — afbeelding-opslag en -transformatie (VS, DPF + EU SCC's; ~10 dagen — cascade-clausule art. 5 lid 3 mogelijk van toepassing)
• Anthropic, PBC — generatieve AI (VS, SCC Module 2 + TIA; geen DPF; ~15 dagen — cascade-clausule mogelijk van toepassing)
• Resend, Inc. — transactionele e-mail (IE + VS accountdata, DPF + EU SCC's; ~30 dagen)
• Vercel Inc. — hosting plekk.studio (VS/EU, EU SCC's; ~30 dagen)

Mollie B.V. (betalingen, EU) valt buiten deze bijlage: Mollie treedt op als zelfstandig verwerkingsverantwoordelijke onder PSD2 en handelt onder eigen privacyverklaring.

Plekk — Luuk van der Poel — Breda — luuk@plekk.studio · Voorwaarden · Privacy · Geld-terug