Verwerkersovereenkomst (AVG / GDPR)
Versie 2026.1 — onderdeel van de algemene voorwaarden
Deze verwerkersovereenkomst ("DPA") maakt integraal onderdeel uit van iedere Overeenkomst tussen Webli (verwerker) en de Klant (verwerkingsverantwoordelijke), voor zover Webli in het kader van de Dienst persoonsgegevens verwerkt namens de Klant.
Artikel 1 — Onderwerp en duur
Webli verwerkt persoonsgegevens uitsluitend in opdracht en op gedocumenteerde instructie van de Klant, voor de duur van de Overeenkomst. Na beëindiging worden gegevens binnen 30 dagen geretourneerd of vernietigd, tenzij een wettelijke bewaarplicht geldt.
Artikel 2 — Aard en doel van de verwerking
De verwerking betreft onder meer: opslag en weergave van content op de website, ontvangst en doorzending van contactformulieren, hosting van logs, en e-mailverwerking. Doel: het leveren van de overeengekomen Dienst.
Artikel 3 — Soorten gegevens en betrokkenen
- Soorten: contactgegevens (naam, e-mail, telefoon), inhoud van berichten, IP-adres, browser- en sessie-informatie.
- Betrokkenen: bezoekers en (potentiële) klanten van de website van de Klant.
- Bijzondere of strafrechtelijke persoonsgegevens worden niet bewust verwerkt.
Artikel 4 — Beveiligingsmaatregelen
Webli neemt passende technische en organisatorische maatregelen, waaronder: TLS-versleuteling (HTTPS), versleutelde back-ups, toegangsbeheer met 2FA, scheiding van productie- en testomgeving, logging en monitoring, en periodieke updates van software en afhankelijkheden.
Artikel 5 — Sub-verwerkers
De Klant geeft Webli algemene toestemming om sub-verwerkers in te schakelen, mits gevestigd binnen de EER of werkend onder passende waarborgen (Standard Contractual Clauses). De actuele lijst is op aanvraag beschikbaar en omvat onder andere: Supabase (database & hosting, EU), Hetzner/Cloudflare (infrastructuur, EU), Resend (transactionele e-mail, EU/US-DPF), en Moneybird (administratie, EU). Voor wijziging informeert Webli de Klant minimaal 14 dagen vooraf; de Klant mag bij gemotiveerd bezwaar de Overeenkomst opzeggen.
Artikel 6 — Doorgifte buiten de EER
Doorgifte buiten de EER vindt alleen plaats indien er sprake is van een adequaatheidsbesluit, Standard Contractual Clauses of een andere geldige doorgiftegrondslag onder hoofdstuk V AVG.
Artikel 7 — Datalekken
Webli meldt een datalek zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, schriftelijk aan de Klant met alle informatie die nodig is voor melding aan de Autoriteit Persoonsgegevens en eventueel aan betrokkenen.
Artikel 8 — Rechten van betrokkenen
Webli verleent redelijke medewerking aan verzoeken van betrokkenen (inzage, correctie, verwijdering, dataportabiliteit) en informeert de Klant onverwijld bij ontvangst van een dergelijk verzoek.
Artikel 9 — Audit
De Klant mag eenmaal per kalenderjaar, op eigen kosten en met inachtneming van een redelijke aankondigingstermijn van 30 dagen, de naleving van deze DPA laten controleren door een onafhankelijke auditor. Webli mag een geldige certificering (bv. ISO 27001 of SOC 2) overleggen ter vervanging.
Artikel 10 — Aansprakelijkheid
De aansprakelijkheidsregeling uit artikel 10 van de algemene voorwaarden geldt ook voor deze DPA.