Verwerkersovereenkomst
Deze verwerkersovereenkomst is van toepassing voor zover Meet b. in het kader
van de dienstverlening persoonsgegevens verwerkt namens een Bedrijf. In dat
geval treedt het Bedrijf op als verwerkingsverantwoordelijke en Meet b. als
verwerker, een en ander in de zin van artikel 28 van de Algemene Verordening
Gegevensbescherming (AVG). Voor gebruikers die geen persoonsgegevens namens
een Bedrijf laten verwerken heeft deze verwerkersovereenkomst geen werking.
Deze verwerkersovereenkomst maakt deel uit van de Algemene Voorwaarden en
wordt aanvaard tegelijk met de aanvaarding daarvan. Bij strijdigheid op het
punt van de verwerking van persoonsgegevens prevaleert deze
verwerkersovereenkomst.
Partijen
- Verwerker: EMvest B.V. (handelend onder de naam meet b.),
gevestigd te Oude Rielseweg 11, 5032SH Tilburg, Nederland, KvK-nummer
59191805 (hierna: “Meet b.” of “de Verwerker”). - Verwerkingsverantwoordelijke: de rechtspersoon of
onderneming die als Bedrijf een betaald abonnement afneemt en die
persoonsgegevens van derden via het Platform laat verwerken (hierna: “de
Verantwoordelijke” of “de Klant”).
Artikel 1. Definities
Begrippen die hieronder niet zijn gedefinieerd, hebben de betekenis die
daaraan in de AVG is toegekend. In deze verwerkersovereenkomst wordt verstaan
onder:
- AVG: Verordening (EU) 2016/679 en de Uitvoeringswet AVG (UAVG);
- Persoonsgegevens: alle persoonsgegevens die Meet b. ten behoeve van de Verantwoordelijke verwerkt in het kader van de dienstverlening, zoals nader gespecificeerd in Bijlage 1;
- Sub-verwerker: een door Meet b. ingeschakelde derde die in dit kader Persoonsgegevens verwerkt;
- Platform: de online dienst meet-b.com, met inbegrip van de bijbehorende applicaties en API’s;
- EER: de Europese Economische Ruimte.
Artikel 2. Onderwerp, aard en duur
2.1 Meet b. verwerkt de Persoonsgegevens uitsluitend ten behoeve van de
Verantwoordelijke en in het kader van de uitvoering van de dienstverlening.
Het onderwerp, de aard en het doel van de verwerking, de soorten
Persoonsgegevens en de categorieen Betrokkenen zijn gespecificeerd in
Bijlage 1.
2.2 Deze verwerkersovereenkomst geldt voor de duur van de
abonnementsverhouding en eindigt van rechtswege bij beeindiging daarvan,
onverminderd de bepalingen die naar hun aard van kracht blijven.
Artikel 3. Instructies van de Verantwoordelijke
3.1 Meet b. verwerkt de Persoonsgegevens uitsluitend op basis van schriftelijke,
gedocumenteerde instructies van de Verantwoordelijke, waaronder de instructies
die voortvloeien uit de Algemene Voorwaarden en deze verwerkersovereenkomst,
tenzij een op Meet b. van toepassing zijnde wettelijke bepaling haar tot
verwerking verplicht. In dat geval stelt Meet b. de Verantwoordelijke
voorafgaand op de hoogte, tenzij die wettelijke bepaling dit verbiedt.
3.2 Meet b. stelt de Verantwoordelijke onverwijld in kennis indien een
instructie naar haar oordeel in strijd is met de AVG of andere toepasselijke
wetgeving inzake gegevensbescherming.
3.3 Meet b. verwerkt de Persoonsgegevens niet voor eigen doeleinden en
verkoopt of deelt deze niet met derden, behoudens de inschakeling van
Sub-verwerkers overeenkomstig artikel 8.
Artikel 4. Verplichtingen van de Verantwoordelijke
4.1 De Verantwoordelijke staat ervoor in dat de verwerking, met inbegrip van
de aan Meet b. gegeven instructies, rechtmatig is en niet onrechtmatig is
jegens Betrokkenen of derden.
4.2 De Verantwoordelijke is verantwoordelijk voor het bestaan van een geldige
verwerkingsgrondslag op grond van artikel 6 AVG en, waar van toepassing, voor
het verkrijgen van toestemming van Betrokkenen.
4.3 De Verantwoordelijke vrijwaart Meet b. tegen aanspraken van Betrokkenen of
derden die voortvloeien uit een handelen of nalaten van de Verantwoordelijke
in strijd met de AVG of deze verwerkersovereenkomst.
Artikel 5. Verplichtingen van de Verwerker
5.1 Meet b. neemt de verplichtingen in acht die op grond van artikel 28 AVG op
een verwerker rusten en verleent de Verantwoordelijke in redelijkheid de
medewerking die nodig is om aan diens verplichtingen onder de AVG te voldoen.
5.2 Meet b. waarborgt dat de tot het verwerken gemachtigde personen zich tot
geheimhouding hebben verbonden of door een passende wettelijke verplichting
tot geheimhouding zijn gebonden.
5.3 Meet b. treft passende technische en organisatorische maatregelen
overeenkomstig artikel 32 AVG, zoals omschreven in Bijlage 2.
5.4 Meet b. verleent bijstand bij verzoeken van Betrokkenen, bij meldingen van
datalekken en bij gegevensbeschermingseffectbeoordelingen en voorafgaande
raadpleging.
Artikel 6. Geheimhouding
6.1 Meet b. behandelt de Persoonsgegevens als vertrouwelijk en legt eenzelfde
geheimhoudingsverplichting op aan haar medewerkers en aan Sub-verwerkers.
6.2 De geheimhoudingsverplichting geldt niet voor zover een wettelijke
verplichting of een bevoegd gegeven ambtelijk bevel tot bekendmaking noopt;
Meet b. informeert de Verantwoordelijke in dat geval voor zover wettelijk
toegestaan.
Artikel 7. Beveiliging
7.1 Meet b. treft passende technische en organisatorische maatregelen om een
op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met
de stand van de techniek en met de aard, omvang, context en doeleinden van de
verwerking. De maatregelen zijn beschreven in Bijlage 2.
7.2 Meet b. is gerechtigd de beveiligingsmaatregelen te wijzigen, mits het
beveiligingsniveau daardoor niet wezenlijk afneemt.
Artikel 8. Sub-verwerkers
8.1 De Verantwoordelijke verleent Meet b. een algemene toestemming voor het
inschakelen van Sub-verwerkers. De ingeschakelde Sub-verwerkers zijn opgenomen
in Bijlage 3.
8.2 Meet b. legt aan iedere Sub-verwerker bij overeenkomst
gegevensbeschermingsverplichtingen op die in essentie gelijkwaardig zijn aan
die in deze verwerkersovereenkomst. Meet b. blijft jegens de Verantwoordelijke
volledig aansprakelijk voor de nakoming door de Sub-verwerker.
8.3 Meet b. informeert de Verantwoordelijke ten minste veertien (14) dagen
voorafgaand aan de toevoeging of vervanging van een Sub-verwerker, zodat de
Verantwoordelijke daartegen bezwaar kan maken.
8.4 Maakt de Verantwoordelijke binnen die termijn op redelijke en gemotiveerde
gronden bezwaar, dan treden Partijen in overleg. Komen zij niet tot een
oplossing, dan is de Verantwoordelijke gerechtigd de betrokken dienst op te
zeggen voor zover de betreffende Sub-verwerker daarvoor noodzakelijk is.
Artikel 9. Doorgifte buiten de EER
9.1 Meet b. verwerkt de Persoonsgegevens binnen de EER, tenzij voor de
inschakeling van een Sub-verwerker doorgifte naar een land buiten de EER
noodzakelijk is. Een dergelijke doorgifte vindt uitsluitend plaats indien
daarvoor een geldig overdrachtsmechanisme bestaat in de zin van hoofdstuk V
AVG.
9.2 Voor doorgifte naar een derde land geldt dat deze plaatsvindt op basis van
een adequaatheidsbesluit, dan wel op basis van de modelcontractbepalingen
(Standard Contractual Clauses) van de Europese Commissie, in voorkomend geval
aangevuld met passende aanvullende maatregelen.
9.3 De Sub-verwerkers buiten de EER en het toepasselijke overdrachtsmechanisme
zijn vermeld in Bijlage 3.
Artikel 10. Rechten van Betrokkenen
10.1 Meet b. verleent de Verantwoordelijke, rekening houdend met de aard van de
verwerking, redelijke medewerking bij het beantwoorden van verzoeken van
Betrokkenen tot uitoefening van hun rechten.
10.2 Richt een Betrokkene een verzoek rechtstreeks tot Meet b., dan stuurt
Meet b. dit onverwijld door aan de Verantwoordelijke en beantwoordt zij het
niet zelf, tenzij zij daartoe namens de Verantwoordelijke is gemachtigd.
Artikel 11. Datalekken
11.1 Meet b. informeert de Verantwoordelijke zonder onredelijke vertraging, en
in beginsel binnen achtenveertig (48) uur na ontdekking, over een datalek dat
betrekking heeft op de Persoonsgegevens.
11.2 De melding bevat ten minste de op dat moment beschikbare informatie als
bedoeld in artikel 33 lid 3 AVG.
11.3 Meet b. verleent redelijke bijstand bij het voldoen aan een eventuele
meldplicht jegens de toezichthouder en de Betrokkenen. De verantwoordelijkheid
voor het al dan niet melden berust bij de Verantwoordelijke.
Artikel 12. Bijstand bij effectbeoordelingen
12.1 Meet b. verleent de Verantwoordelijke, rekening houdend met de aard van de
verwerking en de haar ter beschikking staande informatie, redelijke bijstand
bij gegevensbeschermingseffectbeoordelingen (DPIA) en voorafgaande
raadplegingen als bedoeld in de artikelen 35 en 36 AVG.
Artikel 13. Audits en controle
13.1 Meet b. stelt de Verantwoordelijke op diens redelijk verzoek de informatie
ter beschikking die nodig is om de naleving van deze verwerkersovereenkomst aan
te tonen.
13.2 De Verantwoordelijke is gerechtigd ten hoogste eenmaal per kalenderjaar een
audit te laten uitvoeren door een onafhankelijke, aan geheimhouding gebonden
deskundige, na voorafgaande schriftelijke aankondiging van ten minste dertig
(30) dagen.
13.3 De kosten komen voor rekening van de Verantwoordelijke, tenzij uit de audit
een wezenlijke tekortkoming van Meet b. blijkt. Meet b. mag naleving aantonen
door middel van bestaande certificeringen of auditrapporten.
Artikel 14. Teruggave en verwijdering
14.1 Na beeindiging verwijdert Meet b. de Persoonsgegevens, of geeft deze naar
keuze van de Verantwoordelijke terug, en verwijdert bestaande kopieen, tenzij
een wettelijke bewaarplicht zich daartegen verzet.
14.2 Verwijdering vindt plaats binnen een redelijke termijn, in beginsel binnen
dertig (30) dagen na beeindiging, behoudens de in de Algemene Voorwaarden
geregelde bewaartermijn ten behoeve van export door de Verantwoordelijke.
14.3 Meet b. bevestigt de verwijdering op verzoek schriftelijk.
Artikel 15. Aansprakelijkheid
15.1 De aansprakelijkheidsregeling uit de Algemene Voorwaarden is van
overeenkomstige toepassing op deze verwerkersovereenkomst, behoudens voor zover
dwingend recht anders bepaalt.
15.2 Het bepaalde in dit artikel doet geen afbreuk aan de rechten van
Betrokkenen op grond van de AVG, noch aan de aansprakelijkheidsverdeling als
bedoeld in artikel 82 AVG.
Artikel 16. Slotbepalingen
16.1 Meet b. is gerechtigd deze verwerkersovereenkomst aan te passen indien een
wijziging van wet- of regelgeving daartoe noopt, met inachtneming van een
redelijke aankondigingstermijn.
16.2 Indien een bepaling nietig of vernietigbaar is, blijven de overige
bepalingen van kracht.
16.3 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement
Zeeland-West-Brabant.
Bijlage 1. Specificatie van de verwerking
Onderwerp: het verwerken van persoonsgegevens ten behoeve van
de zakelijke dienstverlening van de Verantwoordelijke via het Platform.
Aard en doel: het hosten, weergeven, verzamelen, opslaan en
ter beschikking stellen van persoonsgegevens in het kader van de bedrijfspagina,
de leads- en CRM-functionaliteit, de exportfunctie en de communicatiefuncties
van het Platform.
Duur: voor de duur van de abonnementsverhouding.
Categorieen Betrokkenen
- zakelijke contactpersonen en leads die door of namens de Verantwoordelijke worden verzameld;
- medewerkers en teamleden die aan de bedrijfspagina van de Verantwoordelijke zijn gekoppeld;
- overige personen van wie de Verantwoordelijke gegevens via het Platform verwerkt.
Soorten Persoonsgegevens
- identificatie- en contactgegevens (naam, functie, e-mailadres, telefoonnummer, bedrijfsnaam);
- professionele profielgegevens en interactiegegevens (volgers, connecties, berichten, bekeken content);
- leadscoring- en engagementgegevens voor zover door de Verantwoordelijke gegenereerd.
Het Platform is niet bestemd voor het verwerken van bijzondere categorieen van
persoonsgegevens als bedoeld in artikel 9 AVG. De Verantwoordelijke onthoudt
zich van het verwerken van dergelijke gegevens via het Platform.
Bijlage 2. Technische en organisatorische maatregelen
Meet b. treft ten minste de volgende maatregelen overeenkomstig artikel 32 AVG.
Toegang en authenticatie
- toegangsbeheer op basis van rollen en het principe van minimale rechten;
- meervoudige authenticatie (2FA) voor accounts;
- versleutelde opslag van wachtwoorden en gevoelige inloggegevens.
Versleuteling en transport
- versleuteling van gegevens tijdens transport (TLS/HTTPS);
- versleuteling van gegevens in rust waar passend.
Beschikbaarheid en herstel
- periodieke back-ups en geteste herstelprocedures;
- gescheiden productie-, staging- en testomgevingen.
Organisatorisch
- geheimhoudingsverplichtingen voor medewerkers en sub-verwerkers;
- logging en monitoring van toegang tot persoonsgegevens;
- een procedure voor het herkennen, beoordelen en afhandelen van datalekken;
- geautomatiseerde content-moderatie met menselijke beoordeling op verzoek.
Bijlage 3. Sub-verwerkers
De exacte rechtspersonen, vestigingslanden en verwerkingslocaties worden
geverifieerd aan de hand van de actuele documentatie van iedere Sub-verwerker.
De KVK en Wikimedia worden uitsluitend als publieke databron geraadpleegd en
zijn geen verwerker in de zin van deze overeenkomst.
| Sub-verwerker | Dienst | Locatie verwerking | Overdrachtsmechanisme |
|---|---|---|---|
| Bunny.net (BunnyWay d.o.o.) | Videohosting en CDN | EU | Binnen EER |
| Mux, Inc. | Videostreaming en -encoding | EU | SCC’s |
| OpenAI (OpenAI Ireland Ltd. / OpenAI, L.L.C.) | Spraak-naar-tekst transcriptie | EU en VS (EU only in aanvraag) | SCC’s |
| Anthropic, PBC | AI-moderatie en metadata-generatie | VS (EU in aanvraag) | SCC’s |
| Ably (Ably Realtime Ltd.) | Realtime berichten | VK (EU in aanvraag) | Adequaatheidsbesluit VK / SCC’s |
| Mailgun (Sinch / Mailgun Technologies Inc.) | E-mailbezorging | EU | SCC’s |
| Stripe (Stripe Payments Europe Ltd. / Stripe, Inc.) | Betalingsverwerking | EU en VS | SCC’s / adequaatheid |
| WP Engine, Inc. | Webhosting | EU | SCC’s |
Versie 1.2 · Ingangsdatum: 1 juni 2026