Gegevensverwerkingsovereenkomst

Laatst bijgewerkt: 15 mei 2026

Deze GVO is door verwijzing opgenomen in de Zakelijke Gebruiksvoorwaarden en treedt in werking wanneer de Klant de Zakelijke Gebruiksvoorwaarden aanvaardt of de Dienst voor het eerst gebruikt na bovengenoemde datum, al naargelang welk moment eerder valt. De Klant die een door beide partijen ondertekend exemplaar van deze GVO op bedrijfsbriefpapier wenst te ontvangen, kan dit aanvragen door te schrijven naar [email protected]. EasyWeek zal medeondertekenen zonder wijzigingen in de inhoud van dit sjabloon.

1. Definities

Begrippen met een hoofdletter die niet in deze VAO zijn gedefinieerd, hebben de betekenis die daaraan is gegeven in de Zakelijke Gebruiksvoorwaarden of in de AVG (Algemene Verordening Gegevensbescherming) en de UAVG. In het bijzonder:

• „AVG" — Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming), zoals in Nederland nader uitgewerkt door de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), en, voor zover van toepassing, de UK GDPR en de Zwitserse DSG gelezen met de nodige aanpassingen.
• „Verwerkingsverantwoordelijke", „Verwerker", „Betrokkene", „Persoonsgegevens", „Inbreuk in verband met persoonsgegevens", „Verwerking", „Subverwerker", „Toezichthoudende autoriteit" — zoals gedefinieerd in AVG art. 4.
• „Persoonsgegevens van de Klant" — Persoonsgegevens die de Klant of diens gemachtigde gebruikers indienen bij of genereren via de Service en die door EasyWeek worden verwerkt namens de Klant.
• „Standaardcontractbepalingen" — de Standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen krachtens de AVG, vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021.

2. Rollen

De Klant is de Verwerkingsverantwoordelijke van Persoonsgegevens van de Klant. EasyWeek is de Verwerker en verwerkt Persoonsgegevens van de Klant uitsluitend op basis van gedocumenteerde instructies van de Klant en in overeenstemming met deze VVA, de Zakelijke Servicevoorwaarden en het toepasselijke recht op grond van de AVG (Algemene Verordening Gegevensbescherming) en de UAVG.

De partijen erkennen dat EasyWeek de Verwerkingsverantwoordelijke is voor beperkte categorieën persoonsgegevens die EasyWeek voor eigen doeleinden verwerkt — bijvoorbeeld accountgegevens van geautoriseerde gebruikers, factureringsgegevens en gebruikstelemetrie van de Service. Die verwerking wordt beheerst door het Zakelijk Privacybeleid, niet door deze VVA.

3. Onderwerp, duur en doel

Het onderwerp, de aard, het doel, de duur, de categorieën Persoonsgegevens en de categorieën Betrokkenen zijn beschreven in Bijlage I.

De VAW is van kracht zolang EasyWeek Persoonsgegevens van de Klant namens de Klant verwerkt en blijft van kracht na beëindiging van de Zakelijke Gebruiksvoorwaarden voor zolang als nodig is om te voldoen aan Artikel 13.

4. Instructies van de Klant

De Service zelf, de configuratie die de Klant via de gebruikersinterface en API van de Service heeft ingesteld, de Zakelijke Servicevoorwaarden en deze AVV vormen samen de volledige en definitieve gedocumenteerde instructies van de Klant aan EasyWeek met betrekking tot de verwerking van Persoonsgegevens van de Klant. Aanvullende of afwijkende instructies vereisen een schriftelijke overeenkomst en kunnen leiden tot extra kosten.

EasyWeek zal de Klant onverwijld informeren indien naar zijn oordeel een instructie in strijd is met de AVG (Algemene Verordening Gegevensbescherming) of de UAVG of een andere EU- of lidstaatrechtelijke gegevensbeschermingsbepaling, en kan de betreffende instructie opschorten in afwachting van de schriftelijke bevestiging van de Klant.

5. Vertrouwelijkheid

EasyWeek zorgt ervoor dat medewerkers die bevoegd zijn om Persoonsgegevens van de Klant te verwerken zich hebben verbonden tot geheimhouding (of onder een passende wettelijke geheimhoudingsverplichting vallen) en gebonden zijn aan toegangscontroles en het beginsel van minimale rechten. Toegang tot Persoonsgegevens van de Klant is beperkt tot medewerkers die deze nodig hebben voor de exploitatie of verbetering van de Dienst.

6. Beveiliging (TOMs)

EasyWeek treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, zoals uiteengezet in Bijlage II. EasyWeek kan zijn TOMs in de loop van de tijd bijwerken, mits het beschermingsniveau niet wordt verlaagd.

7. Subverwerkers

De Klant verleent EasyWeek hierbij een algemene schriftelijke toestemming om Subverwerkers in te schakelen. De lijst van goedgekeurde Subverwerkers per de datum van deze VVO is opgenomen in Bijlage III en wordt bijgehouden op /business/subprocessors.

EasyWeek stelt de Klant ten minste dertig (30) dagen van tevoren in kennis van elke voorgenomen toevoeging of vervanging van Subverwerkers, via het in-app-meldingscentrum en, indien de Klant zich heeft aangemeld, per e-mail. De Klant kan binnen dertig (30) dagen na de kennisgeving bezwaar maken op redelijke, gedocumenteerde gronden voor gegevensbescherming. Indien partijen geen overeenstemming bereiken over een oplossing, kan de Klant de Zakelijke Gebruiksvoorwaarden beëindigen met betrekking tot het deel van de Dienst dat de betwiste Subverwerker vereist, met een pro-rata terugbetaling van vooruitbetaalde vergoedingen voor de resterende looptijd.

EasyWeek legt aan elke Subverwerker bij schriftelijke overeenkomst gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan die welke in deze VVO zijn vastgelegd. EasyWeek blijft jegens de Klant volledig aansprakelijk voor de nakoming van de verplichtingen van zijn Subverwerkers.

8. Internationale doorgiften

Persoonsgegevens van de Klant worden voornamelijk verwerkt binnen de Europese Economische Ruimte. Wanneer Persoonsgegevens van de Klant worden doorgegeven aan een land buiten de EER zonder adequaatheidsbesluit van de Europese Commissie, zijn de Standaardcontractbepalingen (SCB's) van toepassing met de volgende keuzes:

• Module Twee (Verwerkingsverantwoordelijke naar Verwerker) is door verwijzing opgenomen voor doorgiften van de Klant (of diens verwerkingsverantwoordelijke in de EER) naar EasyWeek, wanneer EasyWeek Persoonsgegevens van de Klant verwerkt in een derde land.
• Module Drie (Verwerker naar Verwerker) is door verwijzing opgenomen voor verdere doorgiften van EasyWeek naar Onderverwerkers in een derde land.
• Clausule 7 (Aansluitingsclausule) is opgenomen.
• Clausule 9(a) — Optie 2 (algemene schriftelijke machtiging, kennisgeving van 30 dagen) is van toepassing.
• Clausule 11(a) — een onafhankelijke geschillenbeslechtingsinstantie is niet geselecteerd.
• Clausule 17 — het toepasselijk recht is het recht van Duitsland.
• Clausule 18 — de bevoegde rechter is die van Düsseldorf, Duitsland.
• Bijlage I van de SCB's wordt ingevuld door verwijzing naar Bijlage I van deze VGO.
• Bijlage II van de SCB's wordt ingevuld door verwijzing naar Bijlage II van deze VGO.
• Bijlage III van de SCB's wordt ingevuld door verwijzing naar Bijlage III van deze VGO.

Een Doorgifteeffectbeoordeling met een samenvatting van de evaluatie door EasyWeek van de wetgeving van het bestemmingsland en eventuele aanvullende technische, contractuele of organisatorische maatregelen is op verzoek beschikbaar via [email protected].

Voor doorgiften naar het Verenigd Koninkrijk is het UK International Data Transfer Addendum bij de SCB's (uitgegeven door de ICO en van kracht vanaf 21 maart 2022) van toepassing. Voor doorgiften naar Zwitserland worden de SCB's gelezen met de vervangingen die door de FDPIC zijn vereist.

9. Verzoeken van betrokkenen

De Service biedt self-servicefuncties waarmee de Klant kan voldoen aan verzoeken van betrokkenen inzake inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar. Wanneer een betrokkene rechtstreeks contact opneemt met EasyWeek, stuurt EasyWeek het verzoek zonder onnodige vertraging door naar de Klant en reageert EasyWeek niet op de betrokkene, behalve om de ontvangst te bevestigen en het verzoek naar de Klant door te geleiden.

EasyWeek zal de Klant, rekening houdend met de aard van de verwerking, door middel van passende technische en organisatorische maatregelen bijstaan bij het nakomen van de verplichting van de Klant om te reageren op verzoeken van betrokkenen op grond van AVG Art. 12 tot en met 22.

10. Inbreuk in verband met persoonsgegevens

EasyWeek stelt de Klant zonder onredelijke vertraging en in ieder geval binnen tweeënzeventig (72) uur nadat EasyWeek kennis heeft gekregen van een Inbreuk in verband met persoonsgegevens die betrekking heeft op Persoonsgegevens van de Klant, hiervan in kennis. De kennisgeving omvat ten minste de informatie die vereist is op grond van AVG Art. 33 lid 3, voor zover deze bekend is: de aard van de Inbreuk, de categorieën en het geschatte aantal getroffen Betrokkenen en getroffen records, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.

EasyWeek neemt redelijke stappen om de Inbreuk in te dammen en te verhelpen en om de Klant de informatie te verstrekken die de Klant nodig heeft om zijn eigen kennisgevingsverplichtingen jegens de Autoriteit Persoonsgegevens (AP) (https://autoriteitpersoonsgegevens.nl/) en jegens de getroffen Betrokkenen na te komen.

11. Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

EasyWeek zal de Klant redelijke bijstand verlenen bij elke Gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging die de Klant verplicht is uit te voeren op grond van AVG Art. 35 of 36, voor zover dergelijke bijstand redelijkerwijs vereist is en de informatie bij EasyWeek aanwezig is.

12. Audit

EasyWeek zal de Klant alle informatie ter beschikking stellen die nodig is om de naleving van deze VGO aan te tonen, waaronder:

• Actuele kopieën van de meest relevante certificeringen en auditrapportages (zoals ISO 27001 waar beschikbaar, SOC 2 type II-rapporten van relevante Onderauftragsverwerkers).
• Schriftelijke antwoorden op een redelijke beveiligingsvragenlijst, eenmaal per periode van twaalf maanden, kosteloos.

Indien de bovenstaande informatie niet toereikend is en de Klant door zijn Toezichthoudende Autoriteit verplicht is een audit ter plaatse uit te voeren, mag de Klant zelf een audit uitvoeren of een onafhankelijke auditor opdracht geven een audit uit te voeren op kosten van de Klant, met inachtneming van ten minste zestig (60) dagen schriftelijke kennisgeving, tijdens kantooruren, niet vaker dan eenmaal per periode van twaalf maanden (tenzij er een Inbreuk in verband met Persoonsgegevens heeft plaatsgevonden), onder redelijke vertrouwelijkheidsverplichtingen, en zonder de bedrijfsactiviteiten van EasyWeek of de beveiliging van andere klanten te verstoren. De reikwijdte van de audit is beperkt tot de verificatie van de naleving door EasyWeek van deze VGO.

13. Teruggave en verwijdering

Binnen dertig (30) dagen na beëindiging van de Zakelijke Servicevoorwaarden kan de Klant Persoonsgegevens van de Klant exporteren via de selfservice-exporttools die door de Service worden aangeboden. Na deze respijtperiode van dertig dagen zal EasyWeek de Persoonsgegevens van de Klant binnen een redelijke termijn en in ieder geval binnen negentig (90) dagen verwijderen of anonimiseren, behalve voor zover EasyWeek op grond van EU-recht of het recht van een lidstaat verplicht is om een deel of alle gegevens te bewaren (in welk geval de bewaarde gegevens onderworpen blijven aan de vertrouwelijkheids- en beveiligingsverplichtingen van deze VGO).

Back-ups die Persoonsgegevens van de Klant bevatten, worden op een doorlopende basis overschreven binnen de standaard bewaartermijn voor back-ups en blijven tot het verstrijken daarvan onderworpen aan deze VGO.

14. Aansprakelijkheid en overige bepalingen

De aansprakelijkheid van elke partij uit hoofde van of in verband met deze VGO is onderworpen aan de aansprakelijkheidsbeperkingen en -uitsluitingen zoals uiteengezet in de Zakelijke Gebruiksvoorwaarden.

Deze VGO maakt deel uit van de Zakelijke Gebruiksvoorwaarden. In geval van enig conflict tussen deze VGO en de Zakelijke Gebruiksvoorwaarden met betrekking tot de verwerking van Persoonsgegevens van de Klant, prevaleert deze VGO. In geval van enig conflict tussen deze VGO en de Standaardcontractbepalingen, prevaleren de Standaardcontractbepalingen.

Deze VGO wordt beheerst door het recht van de Bondsrepubliek Duitsland. De rechters te Düsseldorf, Duitsland, hebben exclusieve bevoegdheid, onverminderd de dwingende bescherming van Betrokkenen op grond van het recht van hun gewone verblijfplaats.

Bijlage I – Beschrijving van de verwerking

Onderwerp De verwerking die noodzakelijk is om de EasyWeek Business Service aan de Klant te leveren.

Duur Voor de looptijd van de Zakelijke Gebruiksvoorwaarden en eventuele na beëindiging geldende bewaringstermijnen die vereist zijn om Sectie 13 uit te voeren.

Aard en doel van de verwerking Hosting, opslag, opvraging, organisatie, wijziging, doorgifte, verwijdering, anonimisering, statistische analyse en andere verwerkingshandelingen die noodzakelijk zijn voor het leveren van online boekingen, klantrelatiebeheer, financiën en facturering, marketingautomatisering, websitebouw, herinneringen en notificaties, marketplace-vermelding, AI-ondersteunde functies en aanvullende functionaliteiten.

Categorieën van betrokkenen

• De eindklanten en potentiële klanten van de Klant
• De werknemers, freelancers, opdrachtnemers en andere geautoriseerde gebruikers van de Klant
• Bezoekers van de online boekingspagina's en ingebedde widgets van de Klant
• Verzenders en ontvangers van communicatie die via de Service wordt gerouteerd

Categorieën van persoonsgegevens

• Identificatiegegevens (naam, foto, geslacht)
• Contactgegevens (e-mail, telefoon, adres)
• Accountgegevens van de geautoriseerde gebruikers van de Klant
• Boekings- en afspraakgeschiedenis
• Aantekeningen, bestanden, foto's en documenten geüpload door de Klant
• Loyaltyprogrammagegevens, cadeaukaartsaldi, klantsegmenten
• Communicatie-inhoud (sms, WhatsApp, e-mailtekst, pushberichttekst, in-app-chat)
• Financiële gegevens (factuurregistraties, betalingsstatus, laatste 4 cijfers van betaalkaarten — volledige kaartgegevens worden rechtstreeks door Stripe verwerkt en worden niet door EasyWeek opgeslagen)
• Technische gegevens (IP-adres, apparaat-ID, browser, taal, tijdstempels)
• Indien de Klant ervoor kiest deze vast te leggen: gezondheidsgerelateerde aantekeningen (in beauty-, wellness-, medische of tandheelkundige contexten). De Klant is verantwoordelijk voor het waarborgen dat hij over een geldige rechtmatige grondslag op grond van AVG art. 9 beschikt alvorens dergelijke gegevens te registreren.

Frequentie van doorgiften Doorlopend.

Bewaring Persoonsgegevens van de Klant worden bewaard zolang de Klant dat opdraagt en zoals nader beschreven in Sectie 13.

Bijlage II – Technische en organisatorische maatregelen

EasyWeek implementeert ten minste de volgende maatregelen, die van tijd tot tijd kunnen worden bijgewerkt op voorwaarde dat het beschermingsniveau niet wordt verlaagd:

• Pseudonimisering en versleuteling — TLS 1.3 voor gegevens in doorvoer op openbare netwerken; AES-256 voor gegevens in rust (databaseopslag, objectopslag, back-ups); per-tenant versleutelingssleutels voor gevoelige velden waar van toepassing.
• Vertrouwelijkheid — op rollen gebaseerde toegangscontrole met het beginsel van minimale privileges, meervoudige authenticatie vereist voor alle beheerderstoegang, automatische sessietime-out, op IP gebaseerde toegangscontroles voor productiesystemen, schriftelijke geheimhoudingsverplichtingen voor al het personeel.
• Integriteit — wijzigingsbeheer, codereviews, geautomatiseerde afhankelijkheidsscanning, ondertekende implementatieartefacten, integriteitscontroles op back-ups.
• Beschikbaarheid en veerkracht — productiehosting in Hetzner-datacenters in Duitsland met redundante stroomvoorziening en netwerk, Kubernetes-orkestratie met automatisch herstel, dagelijkse back-ups met replicatie over meerdere zones, gedocumenteerd rampherstelplan met jaarlijkse tafeloefeningsoefeningen, statuspagina op status.easyweek.io.
• Herstel — back-upretentie voldoende om de dienst te herstellen na een fysiek of technisch incident; kwartaalstests voor herstel.
• Testen en evaluatie — jaarlijkse penetratietest door derden van de productieomgeving, continue statische en dynamische beveiligingstests van applicaties in CI/CD, kwetsbaarhedenbeheersproces met gedefinieerde herstel-SLA's.
• Netwerksegregatie — productie-, staging- en ontwikkelomgevingen zijn logisch en fysiek gescheiden; beheerderstoegang uitsluitend via bastionhosts.
• Registratie en monitoring — gecentraliseerde auditlogs voor authenticatie, autorisatie, configuratiewijzigingen en gegevensexportgebeurtenissen, bewaard gedurende ten minste één jaar; security information and event monitoring met alertering bij afwijkingen.
• Veilige ontwikkeling — SDLC met dreigingsmodellering, peerreview, scanning op geheimen, naleving van licenties en op OWASP afgestemde coderingsnormen.
• Leveranciersbeheer — schriftelijke overeenkomsten met alle Onderverwerkers die gelijkwaardige verplichtingen opleggen; periodieke evaluatie.
• Personeelsbeveiliging — achtergrondcontroles waar rechtmatig; bewustwordingstraining op het gebied van beveiliging en gegevensbescherming bij indiensttreding en jaarlijks daarna.
• Incidentbeheer — 24/7 bereikbaarheidsdienst; gedocumenteerd incidentrespons-draaiboek; kennisgeving van inbreuken binnen 72 uur overeenkomstig Artikel 10.
• Fysieke beveiliging — fysieke toegang tot verwerkingsfaciliteiten wordt gecontroleerd door de Onderverwerker die de faciliteit beheert (Hetzner, Google Cloud) onder ISO 27001 / SOC 2 gecertificeerde maatregelen.

Bijlage III – Goedgekeurde sub-verwerkers

De actuele lijst van EasyWeek Onderauftragsverwerkers wordt gepubliceerd en bijgehouden op /business/subprocessors. De lijst op die URL wordt hierbij door verwijzing opgenomen in deze VGO en Bijlage III.