# Verwerkersovereenkomst (DPA) ProSafetyMatch **Versie:** 2026-03-05 (herzien 2026-03-09) > **Jurist-briefing — pre-review aandachtspunten** > > **Te beoordelen** > > **1. Subverwerkers (§4)** > De DPA bevat algemene toestemming voor subverwerkers, maar nog geen expliciete bezwaar- of opzeggingsprocedure voor de Klant bij wijzigingen. > **Vraag aan jurist:** graag beoordelen of hier een expliciete bezwaar- en/of exit-regeling aan moet worden toegevoegd. > **2. TOMs — back-up en herstel (Bijlage B)** > De formulering "periodieke back-ups met periodiek getest herstelproces" is functioneel, maar nog vrij algemeen. > **Vraag aan jurist:** moet dit specifieker worden geformuleerd, bijvoorbeeld met nadere operationele normering of toetsbare formulering? > > **3. Exit-periode (Bijlage D)** > De exit-periode is nu gesteld op 30 dagen na einde overeenkomst. > **Vraag aan jurist:** is dit juridisch en operationeel passend, mede gezien back-up- en subprocessor-cycli? > > **Reeds verwerkt / context** > > - Partijgegevens zijn ingevuld: **Chrono4Solutions**, KVK **55666531**, **Atoomweg 63, 3542 AA Utrecht**. > - **Mollie** is bewust niet opgenomen als subverwerker in de DPA, omdat Mollie uitsluitend wordt gebruikt voor de eigen facturering van PSM en niet voor platformdata namens klanten. **Verwerker:** Chrono4Solutions, handelend onder de naam ProSafetyMatch (“PSM”), eenmanszaak, Atoomweg 63, 3542 AA Utrecht, KVK 55666531. **Verwerkingsverantwoordelijke:** de Klant als omschreven in de Algemene Voorwaarden. Deze verwerkersovereenkomst (“DPA”) is van toepassing wanneer ProSafetyMatch (“PSM”) als verwerker persoonsgegevens verwerkt namens de Klant. --- ## 1. Onderwerp en duur 1. PSM verwerkt persoonsgegevens uitsluitend voor het leveren van de Dienst, gedurende de looptijd van de overeenkomst en afwikkeling. 2. De aard en doeleinden van de verwerking staan in **Bijlage A**. --- ## 2. Instructies 1. PSM verwerkt uitsluitend op gedocumenteerde instructies van Klant, tenzij verwerking wettelijk verplicht is. 2. Als PSM meent dat een instructie in strijd is met wetgeving, meldt PSM dit aan Klant. --- ## 3. Beveiliging (art. 32 AVG) 1. PSM treft passende technische en organisatorische maatregelen (“TOMs”). 2. Een samenvatting van de TOMs is opgenomen in **Bijlage B**. --- ## 4. Subverwerkers 1. Klant geeft PSM algemene toestemming om subverwerkers in te schakelen. 2. PSM houdt een actuele lijst bij (Bijlage C) en informeert Klant over materiële wijzigingen. 3. PSM legt subverwerkers minimaal gelijkwaardige verplichtingen op. --- ## 5. Vertrouwelijkheid PSM zorgt dat personeel/contractanten met toegang tot persoonsgegevens gebonden zijn aan geheimhouding. --- ## 6. Assistentie bij rechten van betrokkenen 1. Klant handelt verzoeken van betrokkenen af als verwerkingsverantwoordelijke. 2. PSM ondersteunt Klant op redelijke instructie en reageert in beginsel binnen **10 werkdagen** op verwerkers-instructies. --- ## 7. Datalekken 1. PSM meldt een (vermoedelijk) datalek zonder onredelijke vertraging, uiterlijk binnen **72 uur** na ontdekking, inclusief relevante informatie voor Klant. 2. PSM houdt een intern register bij van beveiligingsincidenten/datalekken. --- ## 8. Audit en informatie 1. PSM stelt informatie beschikbaar die nodig is om naleving van deze DPA aan te tonen. 2. Audit door Klant is mogelijk op redelijke grond, met redelijke aankondiging en onder geheimhouding. Kosten van audits zijn voor Klant, tenzij ernstige tekortkoming door PSM wordt aangetoond. --- ## 9. Teruggave en verwijdering 1. Na einde overeenkomst verwijdert PSM persoonsgegevens of geeft ze terug aan Klant conform **Bijlage D** (retentie & exit). 2. Back-ups kunnen volgens back-upcycli nog tijdelijk blijven bestaan, maar worden niet actief gebruikt en worden uiteindelijk overschreven/verwijderd. --- ## 10. Aansprakelijkheid Aansprakelijkheid onder deze DPA volgt de aansprakelijkheidsbepalingen uit de AV, tenzij dwingend recht anders bepaalt. --- # Bijlage A — Verwerkingsomschrijving **Categorieën betrokkenen:** Gebruikers van Klant (waaronder beheerders en planners), externe professionals en, waar van toepassing, contactpersonen aan opdrachtgeverszijde. **Categorieën persoonsgegevens:** - Accountgegevens: naam, e-mailadres, rol en organisatie-identificatie. - Dossierdata: bevestigingen, tijdstempels en audit-events per inzet. - Optionele functiedata: berichten en afspraken in het inzetkanaal, check-in/check-out-registraties en opdrachtgeverbevestigingen, voor zover de desbetreffende functies door Klant zijn geactiveerd. - Externe inzage en bevestiging: naam, e-mailadres en dossiercontext van externe partijen die via een beveiligde tijdgebonden toegangstoken een dossier inzien of bevestigen. - Toestemmingsregistratie: vastlegging van door gebruikers gegeven toestemming of akkoord binnen het platform. - Push-notificatiedata: web push-subscriptions (endpoint, encryptiesleutels) en/of native device tokens van Gebruikers die push-notificaties hebben geactiveerd. Deze gegevens worden uitsluitend gebruikt voor het bezorgen van platformmeldingen namens de Klant en worden verwijderd zodra een Gebruiker de subscription intrekt of het account wordt beëindigd. - Technische logs: beveiligings- en auditlogs. **Doeleinden:** levering van de Dienst, beveiliging en het samenstellen en exporteren van dossiers. --- # Bijlage B — Technische en organisatorische maatregelen (samenvatting) - **Toegangscontrole:** op rollen gebaseerde toegangscontrole met het principe van minimale bevoegdheden; strikte scheiding per organisatie (tenantscheiding). - **Authenticatie:** eenmalige aanmeldlinks met sessiebeheer, OIDC-SSO en SAML (waar geconfigureerd), tijdgebonden externe toegangstokens met beperkte reikwijdte, alsmede snelheidsbegrenzing en bescherming tegen geautomatiseerde aanmeldpogingen. - **Logging en audit:** vastlegging van audit-events, integriteitscontrole via hash voor exports waar beschikbaar, beveiligingslogging. - **Encryptie:** versleuteling van gegevens tijdens transport (TLS); versleuteling van opgeslagen gegevens voor zover aangeboden door de hosting- of subverwerker; beheer van geheimen en sleutels. - **Back-up en herstel:** periodieke back-ups met periodiek getest herstelproces. - **Kwetsbaarheids- en incidentbeheer:** monitoring, patchbeheer, incidentresponsprocedure en een aanspreekpunt voor beveiligingszaken. - **Dataminimalisatie:** de standaardinrichting verwerkt minimale persoonsgegevens; optionele functies kunnen door Klant worden geactiveerd of gedeactiveerd. --- # Bijlage C — Subverwerkers PSM kan onder meer gebruikmaken van de volgende categorieën subverwerkers: | Categorie | Verwerker | Doel | |---|---|---| | Hosting en edge-infrastructuur | Vercel Inc. — EU-regio | Beschikbaarstelling van de Dienst | | Database en authenticatie | Supabase Inc. — EU-regio | Gegevensopslag en authenticatiebeheer | | E-mailverzending | E-mailprovider naar keuze | Transactionele e-mailberichten | | Monitoring en logging | Monitoringprovider naar keuze | Beschikbaarheids- en beveiligingsbewaking | Een actuele lijst met subverwerkers, verwerkingsdoeleinden en verwerkingslocaties wordt op verzoek verstrekt. PSM stelt Klant tijdig in kennis van voorgenomen wijzigingen in de inzet van subverwerkers. --- # Bijlage D — Retentie & exit - **Export/exit:** Klant kan dossiers en exports downloaden gedurende de contractduur en binnen een exit-periode van **30 dagen** na beëindiging van de overeenkomst, tenzij schriftelijk anders overeengekomen. - **Verwijdering:** platformdata wordt verwijderd of teruggeleverd conform contractuele afspraken/instructies; exacte doorlooptijden kunnen afhangen van gekozen inrichting en subprocessor-cycli. - **Logs/back-ups:** security logs volgens geconfigureerde retentie (waar van toepassing); back-ups volgens back-upcyclus en worden uiteindelijk verwijderd/overschreven. - **Technische uitvoering:** geautomatiseerde retentieprocedures worden uitsluitend uitgevoerd voor zover deze contractueel zijn overeengekomen en technisch zijn geactiveerd. Actuele documentversies: zie `/legal/versions`.