Verwerkersovereenkomst

Conform artikel 28 Algemene Verordening Gegevensbescherming (AVG)

Laatst bijgewerkt: 29 maart 2026

Preambule

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomst tussen idocx B.V. ("Verwerker") en de Afnemer ("Verwerkingsverantwoordelijke") voor het gebruik van het idocx-platform. Deze overeenkomst regelt de verplichtingen van partijen ten aanzien van de verwerking van persoonsgegevens conform de AVG.

Artikel 1 — Definities

Naast de definities in de Algemene Voorwaarden wordt in deze verwerkersovereenkomst verstaan onder:

  • AVG: De Algemene Verordening Gegevensbescherming (EU) 2016/679.
  • Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
  • Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals verwerkt via het Platform.
  • Verwerking: Elke bewerking van persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.
  • Datalek: Een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.
  • Subverwerker: Een derde partij die door de Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens.

Artikel 2 — Onderwerp en duur

  1. De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht en ten behoeve van de Verwerkingsverantwoordelijke, voor de uitvoering van de Diensten zoals beschreven in de Overeenkomst.
  2. Deze verwerkersovereenkomst treedt in werking op het moment dat de Overeenkomst tot stand komt en eindigt van rechtswege bij beëindiging van de Overeenkomst.

Artikel 3 — Aard en doel van de verwerking

De verwerking betreft de volgende gegevens en doeleinden:

3.1 Categorieën betrokkenen

  • Cliënten van de Verwerkingsverantwoordelijke (partijen in een scheidingsdossier)
  • Kinderen van de cliënten
  • Overige betrokkenen die in een dossier worden vermeld (bijv. werkgevers, nieuwe partners)

3.2 Categorieën persoonsgegevens

  • Identificatiegegevens (naam, geboortedatum, BSN, nationaliteit)
  • Contactgegevens (adres, e-mailadres, telefoonnummer)
  • Financiële gegevens (inkomen, vermogen, schulden, pensioengegevens)
  • Gegevens over de gezinssituatie (kinderen, woonsituatie)
  • Afspraken en regelingen (omgangsregeling, alimentatie, verdeling)

3.3 Doel van de verwerking

Het opslaan, beheren en verwerken van dossiergegevens ten behoeve van het genereren van juridische documenten (ouderschapsplannen, convenanten en vergelijkbare documenten) en het faciliteren van samenwerking tussen de professional en diens cliënten.

Artikel 4 — Verplichtingen van de Verwerkingsverantwoordelijke

  1. De Verwerkingsverantwoordelijke staat ervoor in dat de verwerking van persoonsgegevens via het Platform rechtmatig geschiedt en dat hij beschikt over de vereiste rechtsgronden.
  2. De Verwerkingsverantwoordelijke is verantwoordelijk voor de juistheid, volledigheid en actualiteit van de verstrekte persoonsgegevens.
  3. De Verwerkingsverantwoordelijke informeert betrokkenen over de verwerking van hun persoonsgegevens, waaronder het gebruik van het Platform als verwerkingsmiddel.
  4. De Verwerkingsverantwoordelijke geeft de Verwerker schriftelijke instructies met betrekking tot de verwerking. De Verwerker verwerkt persoonsgegevens uitsluitend op basis van deze instructies.

Artikel 5 — Verplichtingen van de Verwerker

  1. De Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. In dat geval informeert de Verwerker de Verwerkingsverantwoordelijke voorafgaand, tenzij dit wettelijk verboden is.
  2. De Verwerker waarborgt dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.
  3. De Verwerker treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico, waaronder:
    • Versleuteling van persoonsgegevens bij opslag (AES-256) en transport (TLS);
    • Toegangscontrole op basis van rollen en rechten;
    • Regelmatige back-ups met versleutelde opslag;
    • Logging en monitoring van toegang;
    • Periodieke beveiligingsaudits en penetratietesten;
    • Opslag in datacenters binnen de EER.
  4. De Verwerker verleent bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van verplichtingen uit artikel 32 t/m 36 AVG (beveiliging, datalekken, DPIA's en voorafgaande raadpleging).

Artikel 6 — Subverwerkers

  1. De Verwerker maakt gebruik van subverwerkers voor het leveren van de Diensten. Een actueel overzicht van subverwerkers wordt op verzoek aan de Verwerkingsverantwoordelijke verstrekt.
  2. De Verwerker informeert de Verwerkingsverantwoordelijke minimaal 30 dagen vooraf over voorgenomen wijzigingen in de lijst van subverwerkers.
  3. De Verwerkingsverantwoordelijke kan binnen 30 dagen na kennisgeving gemotiveerd bezwaar maken tegen een nieuwe subverwerker. Partijen treden in dat geval in overleg om tot een oplossing te komen.
  4. De Verwerker legt aan iedere subverwerker bij overeenkomst dezelfde verplichtingen op als die welke in deze verwerkersovereenkomst zijn vastgelegd.
  5. De Verwerker blijft volledig aansprakelijk voor het handelen van subverwerkers.

Artikel 7 — Rechten van betrokkenen

  1. De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het afhandelen van verzoeken van betrokkenen op grond van hoofdstuk III AVG (recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar).
  2. Indien de Verwerker rechtstreeks een verzoek van een betrokkene ontvangt, stuurt de Verwerker dit verzoek onverwijld door naar de Verwerkingsverantwoordelijke.
  3. De kosten voor bijstand bij verzoeken van betrokkenen die buitenproportioneel zijn, kunnen door de Verwerker in rekening worden gebracht tegen de dan geldende tarieven.

Artikel 8 — Datalekken

  1. De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en uiterlijk binnen 48 uur, op de hoogte van een datalek dat betrekking heeft op persoonsgegevens die in het kader van deze overeenkomst worden verwerkt.
  2. De melding bevat ten minste:
    • De aard van het datalek, inclusief de categorieën en het geschatte aantal betrokkenen;
    • De waarschijnlijke gevolgen van het datalek;
    • De maatregelen die zijn genomen of worden voorgesteld om het datalek te verhelpen en de nadelige gevolgen te beperken;
    • De contactgegevens van de functionaris of contactpersoon bij de Verwerker.
  3. De Verwerker verleent alle medewerking aan de Verwerkingsverantwoordelijke bij het melden van het datalek aan de Autoriteit Persoonsgegevens en/of betrokkenen.

Artikel 9 — Audits

  1. De Verwerker stelt alle informatie ter beschikking die nodig is om de nakoming van deze verwerkersovereenkomst aan te tonen, en werkt mee aan audits en inspecties door of namens de Verwerkingsverantwoordelijke.
  2. Een audit wordt minimaal 30 dagen van tevoren aangekondigd en vindt plaats tijdens kantooruren.
  3. De kosten van een audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een tekortkoming aan het licht brengt.
  4. De Verwerker kan in plaats van een fysieke audit een onafhankelijk auditrapport (zoals ISO 27001 of SOC 2) overleggen, mits dit rapport niet ouder is dan 12 maanden.

Artikel 10 — Doorgifte buiten de EER

  1. De Verwerker verwerkt en bewaart persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER).
  2. Indien doorgifte naar een derde land noodzakelijk is, geschiedt dit uitsluitend met voorafgaande toestemming van de Verwerkingsverantwoordelijke en onder passende waarborgen conform hoofdstuk V AVG (zoals EU-standaardcontractbepalingen of een adequaatheidsbesluit).

Artikel 11 — Teruggave en verwijdering van gegevens

  1. Na beëindiging van de Overeenkomst verwijdert de Verwerker alle persoonsgegevens binnen 90 dagen, tenzij de Verwerkingsverantwoordelijke verzoekt om teruggave of een wettelijke bewaarplicht anders vereist.
  2. De Verwerkingsverantwoordelijke kan binnen 30 dagen na beëindiging een verzoek tot export van persoonsgegevens indienen. De Verwerker verstrekt de gegevens in een gangbaar, machineleesbaar formaat.
  3. Na verwijdering bevestigt de Verwerker schriftelijk dat alle persoonsgegevens zijn verwijderd, inclusief eventuele kopieën en back-ups.

Artikel 12 — Aansprakelijkheid

  1. De aansprakelijkheid van de Verwerker onder deze verwerkersovereenkomst valt onder de aansprakelijkheidsbeperkingen zoals opgenomen in de Algemene Voorwaarden.
  2. Elke partij is zelfstandig verantwoordelijk voor de nakoming van haar verplichtingen onder de AVG. Administratieve boetes opgelegd aan een partij door een toezichthoudende autoriteit worden gedragen door de partij aan wie de boete is opgelegd.

Artikel 13 — Slotbepalingen

  1. Bij tegenstrijdigheid tussen deze verwerkersovereenkomst en de Algemene Voorwaarden prevaleert deze verwerkersovereenkomst voor wat betreft de verwerking van persoonsgegevens.
  2. Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
  3. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar idocx is gevestigd.

Vragen over deze verwerkersovereenkomst?

Neem contact op via privacy@idocx.nl of bekijk onze Privacyverklaring en Algemene Voorwaarden.