Verwerkersovereenkomst

Versie 1.0 — februari 2026

Op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (AVG)

Hierna gezamenlijk aangeduid als "Partijen" en afzonderlijk als "Partij".

Deze Verwerkersovereenkomst is een onlosmakelijk onderdeel van de Algemene Voorwaarden van KAEOM.

Artikel 1 — Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

• AVG: De Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).
• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
• Verwerking: Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen of vernietigen.
• Verwerkingsverantwoordelijke: De Klant, die het doel en de middelen van de Verwerking van Persoonsgegevens vaststelt.
• Verwerker: KAEOM, die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
• Subverwerker: Een derde partij die door de Verwerker wordt ingeschakeld voor het verwerken van Persoonsgegevens.
• Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
• Datalek: Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
• Diensten: De CRM SaaS-applicatie van KAEOM, inclusief de producttypen Spreekuren en Clientvolgsysteem (CVS).

Artikel 2 — Onderwerp en duur van de Verwerking

2.1. Deze Verwerkersovereenkomst regelt de verplichtingen van Partijen met betrekking tot de Verwerking van Persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke.

2.2. De Verwerkersovereenkomst treedt in werking op het moment dat de Verwerkingsverantwoordelijke de Diensten in gebruik neemt en eindigt van rechtswege op het moment dat de Verwerker geen Persoonsgegevens meer verwerkt ten behoeve van de Verwerkingsverantwoordelijke.

2.3. De duur van de Verwerking is gelijk aan de looptijd van de Overeenkomst (inclusief de trial-periode), vermeerderd met de retentieperiode van 90 dagen na beëindiging.

Artikel 3 — Aard en doel van de Verwerking

3.1. De Verwerker verwerkt Persoonsgegevens uitsluitend in het kader van het leveren van de Diensten, te weten een CRM-applicatie waarmee de Verwerkingsverantwoordelijke persoonsgegevens van haar eigen cliënten/bewoners kan beheren.

3.2. De specifieke verwerkingsactiviteiten omvatten: opslag, raadpleging, ordening, structurering, bijwerking, wijziging, opvraging, verwijdering en vernietiging van Persoonsgegevens.

3.3. Een gedetailleerde beschrijving van de Verwerking per producttype is opgenomen in Bijlage 1.

Artikel 4 — Soort Persoonsgegevens en categorieën Betrokkenen

4.1. De categorieën Persoonsgegevens die worden verwerkt zijn afhankelijk van het door de Verwerkingsverantwoordelijke gekozen producttype en omvatten onder meer:

• Contactgegevens (naam, adres, telefoonnummer, e-mailadres)
• Identificerende gegevens (BSN, geboortedatum)
• Gezondheidsgegevens en hulpverleningsnotities
• Financiële gegevens (ten behoeve van fondsenwerving en hulpverzoeken)
• Communicatiegegevens (gespreksnotities, logboekregistraties)

4.2. De categorieën Betrokkenen omvatten:

• Cliënten/bewoners van de Verwerkingsverantwoordelijke
• Familieleden en contactpersonen van cliënten/bewoners
• Externe contactpersonen (hulpverleners, instanties)

4.3. Een gedetailleerd overzicht per producttype is opgenomen in Bijlage 1.

Artikel 5 — Rechten en verplichtingen Verwerkingsverantwoordelijke

5.1. De Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot Verwerking van Persoonsgegevens rechtmatig zijn en geen inbreuk maken op rechten van derden.

5.2. De Verwerkingsverantwoordelijke is verantwoordelijk voor:

• Het vaststellen van een rechtsgrond voor de Verwerking;
• Het informeren van Betrokkenen over de Verwerking;
• Het afhandelen van verzoeken van Betrokkenen met betrekking tot hun rechten onder de AVG;
• Het beoordelen of de beveiligingsmaatregelen van de Verwerker passend zijn.

Artikel 6 — Verplichtingen Verwerker

6.1. De Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.

6.2. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk informeren indien een instructie naar het oordeel van de Verwerker in strijd is met de AVG of andere toepasselijke wet- en regelgeving.

6.3. De Verwerker waarborgt dat personen die bevoegd zijn Persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht of onder een passende wettelijke geheimhoudingsplicht vallen.

6.4. De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij:

• Het nakomen van verzoeken van Betrokkenen (artikel 15 t/m 22 AVG);
• Het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA, artikel 35 AVG);
• Het melden van Datalekken aan de toezichthoudende autoriteit en Betrokkenen (artikelen 33 en 34 AVG);
• De voorafgaande raadpleging bij de toezichthoudende autoriteit (artikel 36 AVG).

6.5. De Verwerker mag hiervoor redelijke kosten in rekening brengen op basis van de werkelijke kosten.

Artikel 7 — Inschakeling Subverwerkers

7.1. De Verwerkingsverantwoordelijke verleent de Verwerker algemene schriftelijke toestemming voor het inschakelen van Subverwerkers, onder de voorwaarden in dit artikel.

7.2. De Verwerker informeert de Verwerkingsverantwoordelijke ten minste 30 dagen vooraf over voorgenomen wijzigingen in Subverwerkers (toevoeging of vervanging). De Verwerkingsverantwoordelijke kan binnen deze termijn bezwaar maken.

7.3. Indien de Verwerkingsverantwoordelijke bezwaar maakt en Partijen niet tot een oplossing komen, heeft de Verwerkingsverantwoordelijke het recht de Overeenkomst op te zeggen.

7.4. De Verwerker legt aan iedere Subverwerker dezelfde verplichtingen op als in deze Verwerkersovereenkomst zijn opgenomen. De Verwerker blijft volledig aansprakelijk voor het handelen van Subverwerkers.

7.5. Een overzicht van de huidige Subverwerkers is opgenomen in Bijlage 3.

Artikel 8 — Doorgifte buiten de EER

8.1. De Verwerker verwerkt Persoonsgegevens primair binnen de Europese Economische Ruimte (EER). De hosting en database bevinden zich in EU-datacenters (Amsterdam/Frankfurt).

8.2. Voor zover Subverwerkers Persoonsgegevens verwerken buiten de EER, worden passende waarborgen getroffen, waaronder:

• EU-VS Data Privacy Framework (DPF) certificering;
• Standaard Contractuele Clausules (SCC's) als aanvullende waarborg;
• Adequaatheidsbesluiten van de Europese Commissie.

8.3. De specifieke waarborgen per Subverwerker zijn opgenomen in Bijlage 3.

Artikel 9 — Beveiliging

9.1. De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de Verwerking en de risico's voor de rechten en vrijheden van Betrokkenen.

9.2. De getroffen maatregelen zijn beschreven in Bijlage 2 (Technische en Organisatorische Maatregelen).

9.3. De Verwerker evalueert en actualiseert de beveiligingsmaatregelen regelmatig om een passend beveiligingsniveau te blijven waarborgen.

Artikel 10 — Meldplicht Datalekken

10.1. De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in ieder geval binnen 48 uur na kennisname, over elk Datalek.

10.2. De melding bevat ten minste:

• De aard van het Datalek, inclusief de categorieën en het geschatte aantal Betrokkenen en Persoonsgegevens;
• De naam en contactgegevens van het aanspreekpunt bij de Verwerker;
• De waarschijnlijke gevolgen van het Datalek;
• De maatregelen die de Verwerker heeft genomen of voorstelt om het Datalek aan te pakken en de nadelige gevolgen te beperken.

10.3. De Verwerker documenteert alle Datalekken, inclusief de feiten, gevolgen en genomen corrigerende maatregelen.

Artikel 11 — Geheimhouding

11.1. De Verwerker behandelt alle Persoonsgegevens als strikt vertrouwelijk.

11.2. De Verwerker waarborgt dat alleen bevoegde medewerkers toegang hebben tot de Persoonsgegevens en dat deze medewerkers gebonden zijn aan geheimhouding.

11.3. De geheimhoudingsplicht geldt ook na beëindiging van deze Verwerkersovereenkomst.

Artikel 12 — Audit-rechten

12.1. De Verwerker stelt alle informatie ter beschikking die nodig is om de nakoming van deze Verwerkersovereenkomst aan te tonen en maakt audits, inclusief inspecties, door de Verwerkingsverantwoordelijke of een door deze gemachtigde auditor mogelijk.

12.2. Audits worden uitgevoerd met een vooraankondiging van ten minste 14 dagen, tenzij een Datalek of redelijk vermoeden van niet-naleving onmiddellijk onderzoek vereist.

12.3. De kosten van een audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een tekortkoming aan het licht brengt.

12.4. De Verwerker kan in plaats van een fysieke audit een recent, onafhankelijk auditrapport of certificering overleggen.

Artikel 13 — Rechten van Betrokkenen

13.1. De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het afhandelen van verzoeken van Betrokkenen met betrekking tot hun rechten onder de AVG (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar).

13.2. De Verwerker stuurt verzoeken die rechtstreeks van Betrokkenen worden ontvangen onverwijld door aan de Verwerkingsverantwoordelijke.

13.3. De Verwerkingsverantwoordelijke kan via de Diensten zelfstandig Persoonsgegevens inzien, wijzigen en verwijderen.

Artikel 14 — Teruggave en verwijdering van gegevens

14.1. Na beëindiging van de Overeenkomst bewaart de Verwerker de Persoonsgegevens gedurende een retentieperiode van 90 dagen.

14.2. Gedurende de retentieperiode kan de Verwerkingsverantwoordelijke een export van alle Persoonsgegevens opvragen in een gangbaar, machineleesbaar formaat (CSV/JSON).

14.3. Na afloop van de retentieperiode verwijdert de Verwerker alle Persoonsgegevens permanent, inclusief alle kopieën en back-ups, tenzij Unierechtelijke of lidstaatrechtelijke bepalingen opslag vereisen.

14.4. De Verwerker bevestigt de volledige verwijdering schriftelijk aan de Verwerkingsverantwoordelijke op diens verzoek.

Artikel 15 — Aansprakelijkheid

15.1. De aansprakelijkheid van de Verwerker onder deze Verwerkersovereenkomst is beperkt conform de aansprakelijkheidsbepalingen in de Algemene Voorwaarden.

15.2. De beperking van aansprakelijkheid geldt niet in geval van opzet of bewuste roekeloosheid van de Verwerker.

15.3. Iedere Partij is aansprakelijk voor schade veroorzaakt door Verwerking die in strijd is met de AVG, conform artikel 82 AVG.

Artikel 16 — Duur en beëindiging

16.1. Deze Verwerkersovereenkomst is onlosmakelijk verbonden met de Overeenkomst en eindigt automatisch bij beëindiging daarvan, onverminderd de verplichtingen die naar hun aard doorlopen (waaronder geheimhouding en verwijdering).

16.2. Bepalingen die naar hun aard bestemd zijn om na beëindiging voort te duren, waaronder Artikel 11 (Geheimhouding), Artikel 14 (Teruggave en verwijdering) en Artikel 15 (Aansprakelijkheid), blijven na beëindiging van kracht.

Artikel 17 — Toepasselijk recht

17.1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

17.2. Geschillen voortvloeiend uit deze Verwerkersovereenkomst worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerker is gevestigd.

Bijlage 1 — Beschrijving van de Verwerking

Product: Spreekuren

Doel: Beheer van spreekuren, klanten, notities en fondsenwerving voor sociale organisaties.

Categorieën Betrokkenen: Klanten van de organisatie, familieleden, externe contactpersonen.

Categorieën Persoonsgegevens:

• Contactgegevens: naam, adres, telefoonnummer, e-mailadres
• Identificerend: geboortedatum, BSN (optioneel)
• Notities en gespreksverslagen
• Fondsaanvragen en financiële hulpverzoeken
• Nieuwsbriefinschrijvingen

Bijzondere Persoonsgegevens: Mogelijk gezondheidsgegevens in notities (door Verwerkingsverantwoordelijke ingevoerd). BSN als nationaal identificatienummer.

Product: Clientvolgsysteem (CVS)

Doel: Volledige cliëntregistratie met trajecten, intakes, taken, afspraken en communicatielogs voor zorgorganisaties.

Categorieën Betrokkenen: Bewoners/cliënten, familieleden, externe contactpersonen (hulpverleners, instanties).

Categorieën Persoonsgegevens:

• Contactgegevens: naam, adres, telefoonnummer, e-mailadres
• Identificerend: geboortedatum, BSN, verblijfsstatus
• Trajectgegevens: intakes, doelstellingen, voortgang
• Afspraken en agenda-synchronisatie
• Taakregistratie en toewijzingen
• Communicatielogs en gespreksnotities
• Documenten en bijlagen

Bijzondere Persoonsgegevens: Gezondheidsgegevens (zorgtrajecten, medische notities), BSN als nationaal identificatienummer. Verwerking geschiedt onder verantwoordelijkheid en met uitdrukkelijke toestemming of wettelijke grondslag van de Verwerkingsverantwoordelijke.

Bijlage 2 — Technische en Organisatorische Maatregelen (TOM)

1. Versleuteling

• In transit: Alle communicatie tussen gebruikers en de applicatie is versleuteld via gangbare transportversleuteling (TLS). Onveilige verbindingen worden automatisch geweigerd.
• At rest: Gevoelige persoonsgegevens worden aanvullend versleuteld opgeslagen op veldniveau. De database is versleuteld at rest via de managed dienstverlener.

2. Toegangscontrole

• Autorisatie: Rolgebaseerd toegangsbeheer waarbij gebruikers uitsluitend toegang hebben tot gegevens die passen bij hun rol en verantwoordelijkheid.
• Authenticatie: Beveiligde inlogprocedure met sterke wachtwoordvereisten. Optionele tweefactorauthenticatie.
• Sessiebeveiliging: Sessies worden beveiligd conform gangbare beveiligingsstandaarden.

3. Klantomgeving-isolatie

• Datascheiding: Strikte logische scheiding van gegevens tussen klantomgevingen op databaseniveau. Gegevens van één klantomgeving zijn technisch niet toegankelijk vanuit een andere klantomgeving.
• Toegangscontrole: Meervoudige beveiligingslagen op applicatieniveau voorkomen ongeautoriseerde toegang tot gegevens van andere klantomgevingen.
• Adressering: Resources worden benaderd via niet-voorspelbare identifiers om enumeratie te voorkomen.

4. Infrastructuur en hosting

• Locatie: Hosting in EU-datacenters (Amsterdam/Frankfurt) bij een ISO 27001 en SOC 2 gecertificeerde provider.
• Netwerkbeveiliging: DDoS-mitigatie en Web Application Firewall (WAF) via een gespecialiseerde beveiligingspartij.
• Back-ups: Dagelijkse geautomatiseerde back-ups van database en bestanden.
• Firewall: Serverfirewall beperkt inkomend verkeer tot uitsluitend noodzakelijke diensten.

5. Monitoring en logging

• Activiteitenlog: Registratie van relevante gebruikersacties binnen de applicatie.
• Servertoegang: Logging van serververzoeken ten behoeve van beveiligingsanalyse.
• Foutmonitoring: Geautomatiseerde monitoring en alerting bij fouten en afwijkend gedrag.

6. Organisatorische maatregelen

• Toegangsbeperking: Productieomgeving is alleen toegankelijk voor bevoegd personeel.
• Vertrouwelijkheid: Alle personen met toegang tot Persoonsgegevens zijn gebonden aan geheimhouding.
• Updatebeleid: Regelmatige updates van software en beveiligingspatches.

Bijlage 3 — Overzicht Subverwerkers

Onderstaand overzicht bevat de Subverwerkers die de Verwerker op het moment van aangaan van deze Verwerkersovereenkomst inschakelt: