Verwerkersovereenkomst (DPA)

⚠️ Deze vertaling wordt voor het gemak aangeboden. De Engelse versie is juridisch bindend.

Versie 1.0 · Laatst bijgewerkt: 29 april 2026 · Van kracht sinds 29 april 2026

Deze Verwerkersovereenkomst (« DPA ») maakt deel uit van de Algemene Voorwaarden tussen [ENTITY_NAME] (« verwerker », « wij ») en de klant (« verwerkingsverantwoordelijke », « u ») die de LIA-dienst gebruikt. Zij is van toepassing wanneer de verwerkingsverantwoordelijke is gevestigd in de Europese Economische Ruimte (EER), het Verenigd Koninkrijk of Zwitserland, of wanneer de AVG extraterritoriaal van toepassing is op de verwerking door de verwerkingsverantwoordelijke.

1. Definities

De termen in deze DPA hebben de betekenis zoals gegeven in de Verordening (EU) 2016/679 (« AVG »). « Persoonsgegevens » betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.

2. Onderwerp en Duur

De verwerker zal Persoonsgegevens namens de verwerkingsverantwoordelijke uitsluitend verwerken voor het leveren van de LIA-dienst zoals beschreven in de Algemene Voorwaarden. Deze DPA blijft van kracht voor de duur van de dienstverleningsovereenkomst en alle bewaartermijnen die volgen op de beëindiging.

3. Aard en Doel van de Verwerking

De verwerking is beperkt tot de bewerkingen die nodig zijn voor het leveren van de LIA-dienst:

Beheer van gebruikersaccounts (authenticatie, facturering)
Chatberichten verzonden naar AI-inferentieleveranciers
Bridge-sessietelemetrie (DAW-naam, versie, tijdstempels)
Communicatie met klantenondersteuning

4. Categorieën van Persoonsgegevens en Betrokkenen

Categorieën van betrokkenen: door de verwerkingsverantwoordelijke geautoriseerde gebruikers (ontwikkelaars, muzikanten, opdrachtnemers).

Categorieën van Persoonsgegevens: e-mailadressen, gehashte wachtwoorden (Supabase Auth), weergavenamen, betalingsmetadata (geen kaartgegevens), chatberichten, gebruikslogs, IP-adressen (gehasht vóór opslag).

5. Verplichtingen van de Verwerker

De Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke, met inbegrip van doorgiften aan derde landen (art. 28, lid 3, onder a, AVG).
Ervoor zorgen dat personen die gemachtigd zijn de Persoonsgegevens te verwerken, gebonden zijn aan vertrouwelijkheid.
Passende technische en organisatorische beveiligingsmaatregelen treffen (art. 32 AVG), zie §9.
Subverwerkers alleen inschakelen met voorafgaande algemene schriftelijke toestemming (zie §8).
De verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen (art. 15 tot 22 AVG).
De verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen van inbreuken op Persoonsgegevens (art. 33 AVG), zie §10.
Naar keuze van de verwerkingsverantwoordelijke alle Persoonsgegevens wissen of teruggeven na het einde van de diensten (art. 28, lid 3, onder g, AVG).
Alle informatie ter beschikking stellen die nodig is om de naleving aan te tonen en audits mogelijk te maken (art. 28, lid 3, onder h, AVG).

6. Verplichtingen van de Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke verklaart alle noodzakelijke rechtsgronden (art. 6 AVG) te hebben verkregen voor de Persoonsgegevens die onder deze DPA worden verwerkt, en de betrokkenen te hebben geïnformeerd overeenkomstig de artikelen 13 en 14 AVG.

7. Internationale Doorgiften van Gegevens

De Dienst wordt gehost in de Europese Unie (Frankfurt, Duitsland. Hostinger / supabase.com EU-regio). Persoonsgegevens worden binnen de EER verwerkt. Wanneer subverwerkers gegevens buiten de EER verwerken (bijvoorbeeld AI-inferentieleveranciers in de Verenigde Staten), worden de doorgiften beheerst door:

Het EU-US Data Privacy Framework (DPF), wanneer de ontvanger gecertificeerd is;
De Standaardcontractbepalingen (SCC), Module 2 (verwerkingsverantwoordelijke aan verwerker), Besluit EU 2021/914 van de Europese Commissie van 2021.

Er worden geen Persoonsgegevens doorgegeven naar jurisdicties zonder EU-adequaatheidsbesluit of passende waarborgen.

8. Subverwerkers

De verwerkingsverantwoordelijke machtigt de verwerker om subverwerkers in te schakelen. De actuele lijst is beschikbaar op /api/legal/subprocessors (geauthenticeerd eindpunt, recht op inzage art. 15 AVG). De verwerker stelt de verwerkingsverantwoordelijke ten minste 30 dagen van tevoren op de hoogte van voorgenomen wijzigingen, zodat de verwerkingsverantwoordelijke redelijke tijd heeft om bezwaar te maken.

9. Beveiligingsmaatregelen (Artikel 32 AVG)

Versleuteling tijdens de overdracht: TLS 1.3 voor al het client-serververkeer
Versleuteling bij opslag: AES-256 voor de databaseopslag (beheerd door Supabase)
Toegangscontrole: op rollen gebaseerd, MFA voor administratieve toegang
Netwerkisolatie: diensten gekoppeld aan loopback of het Tailscale-netwerk waar mogelijk (defense-in-depth)
Loggen: auditspoor voor alle administratieve handelingen
Incidentrespons: gedocumenteerd runbook voor beveiligingsincidenten

10. Melding van Inbreuken op Persoonsgegevens

De verwerker stelt de verwerkingsverantwoordelijke zonder onnodige vertraging (en in elk geval binnen 72 uur na kennisneming) op de hoogte van elke inbreuk die de onder deze DPA verwerkte Persoonsgegevens betreft. De melding bevat:

De aard en de ongeveerde omvang van de inbreuk
De categorieën en het ongeveerde aantal getroffen betrokkenen en gegevens
De maatregelen die zijn getroffen of voorgesteld om de inbreuk te beperken
De contactgegevens van de privacyverantwoordelijke voor verdere informatie

11. Beëindiging

Bij beëindiging van de dienstverleningsovereenkomst en op schriftelijk verzoek van de verwerkingsverantwoordelijke wist of retourneert de verwerker alle Persoonsgegevens. Back-upkopieën worden gewist in de volgende normale rotatie van back-ups (maximaal 90 dagen).

12. Aansprakelijkheid

De aansprakelijkheid onder deze DPA wordt beheerst door de beperkingen die zijn vastgelegd in de Algemene Voorwaarden, behalve wanneer een dergelijke beperking in strijd is met artikel 82 AVG (recht op schadevergoeding).

13. Toepasselijk Recht en Bevoegde Rechter

Deze DPA wordt beheerst door het recht van de Italiaanse Republiek. De bevoegde rechter is de rechtbank van de statutaire zetel van de verwerkingsverantwoordelijke, of, indien deze buiten de EER is gevestigd, de rechtbank van [SEDE_LEGALE], Italië.

14. Toezichthoudende Autoriteit

Klachten over de verwerking van uw Persoonsgegevens kunnen worden ingediend bij de bevoegde toezichthoudende autoriteit. In Nederland: Autoriteit Persoonsgegevens (AP), Postbus 93374, 2509 AJ Den Haag.

15. Contact

Voor alle aangelegenheden met betrekking tot deze DPA: [email protected]