Verwerkersovereenkomst — IT-Compliant MSP Dashboard

1. Definities

Termen die in deze Verwerkersovereenkomst met een hoofdletter zijn geschreven en hier niet zijn gedefinieerd, hebben de betekenis die daaraan is gegeven in de Algemene Voorwaarden of in de AVG.

1. AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
2. UAVG: Uitvoeringswet Algemene Verordening Gegevensbescherming.
3. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 lid 1 AVG).
4. Verwerking: een bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens (artikel 4 lid 2 AVG).
5. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot Persoonsgegevens (artikel 4 lid 12 AVG).
6. Subverwerker: iedere derde partij die door Verwerker wordt ingeschakeld om Persoonsgegevens te verwerken in het kader van de uitvoering van de Diensten.
7. TOMs: technische en organisatorische maatregelen ter beveiliging van Persoonsgegevens, zoals beschreven in Bijlage 2.

2. Onderwerp en duur van de verwerking

1. Onderwerp: de Verwerking van Persoonsgegevens door Verwerker in het kader van de levering van het MSP Dashboard en aanverwante Diensten aan Verwerkingsverantwoordelijke.
2. Duur: deze Verwerkersovereenkomst geldt voor de duur van de Overeenkomst, vermeerderd met een uitloopperiode van negentig (90) dagen waarin Verwerker nog gegevens van Verwerkingsverantwoordelijke onder zich heeft, en vermeerderd met de wettelijke bewaarplichten zoals beschreven in artikel 12.

3. Aard en doel van de verwerking

1. De Verwerking heeft als aard: het opslaan, raadplegen, analyseren en rapporteren over de configuratie en compliance-status van Microsoft 365 omgevingen van de eindklanten van Verwerkingsverantwoordelijke.
2. De Verwerking dient onder andere de volgende doelen: het uitvoeren van geautomatiseerde compliance-scans op verzoek van Verwerkingsverantwoordelijke; het opslaan en presenteren van scanresultaten in het MSP Dashboard; het genereren van rapporten en bewijslast (audit-bundles) voor compliance-doeleinden; het versturen van geautomatiseerde notificaties bij compliance-afwijkingen; het beheren van Accounts en toegangsrechten binnen het MSP Dashboard; en het uitvoeren van technisch beheer, support en facturatie van de Diensten.

4. Soort Persoonsgegevens en categorieën betrokkenen

De volgende categorieën Persoonsgegevens worden verwerkt:

Categorie	Voorbeelden	Bron
Account-gegevens medewerkers Verwerkingsverantwoordelijke	Naam, e-mailadres, Microsoft Entra Object ID, rol (Owner/Engineer/Viewer), login-tijdstippen	Verwerkingsverantwoordelijke
Account-gegevens facturatie-contact	Naam, e-mailadres, telefoonnummer, KvK-nummer	Verwerkingsverantwoordelijke
Audit-gebeurtenissen Verwerkingsverantwoordelijke	Welke gebruiker welke actie uitvoerde, IP-adres, User-Agent, tijdstip	Verwerkingsverantwoordelijke
Configuratie-gegevens Eindklant-Tenants	Tenant-ID (GUID), tenant-naam, gekoppelde service-principal-identifiers	Eindklant-Tenant via Microsoft Graph
Identificerende eindgebruiker-gegevens uit scans	E-mailadressen, displaynaam, security-groepslidmaatschap, MFA-status, sign-in-status, device-identifiers	Eindklant-Tenant via Microsoft Graph
Pseudonimiseerde scan-gegevens	Geaggregeerde scan-resultaten, hash-codes voor referentie	Verwerker

Categorieën betrokkenen: medewerkers van Verwerkingsverantwoordelijke met toegang tot het MSP Dashboard; medewerkers van Eindklanten waarvan de Microsoft 365 omgeving wordt gescand; contactpersonen van Verwerkingsverantwoordelijke voor facturatie en support.

Geen bijzondere categorieën van Persoonsgegevens (artikel 9 AVG) worden verwerkt. Indien Verwerker constateert dat dergelijke gegevens onvermijdelijk worden meegescand (bijv. groepsnamen die religie of vakbondslidmaatschap impliceren), worden deze in de scan-output gepseudonimiseerd en wordt Verwerkingsverantwoordelijke geïnformeerd.

5. Verplichtingen Verwerker

1. Instructies: Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. Deze Verwerkersovereenkomst en de Algemene Voorwaarden vormen de algemene schriftelijke instructie.
2. Vertrouwelijkheid: Verwerker waarborgt dat de personen die zijn gemachtigd om Persoonsgegevens te verwerken een geheimhoudingsplicht hebben, zowel arbeidsrechtelijk als contractueel.
3. Beveiliging: Verwerker treft de in Bijlage 2 (TOMs) beschreven technische en organisatorische maatregelen om een passend beveiligingsniveau te waarborgen, conform artikel 32 AVG. Verwerker evalueert en actualiseert deze maatregelen periodiek.
4. Subverwerkers: Verwerker schakelt uitsluitend Subverwerkers in conform artikel 6.
5. Bijstand bij betrokkenenrechten: Verwerker biedt Verwerkingsverantwoordelijke de noodzakelijke medewerking bij het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG (inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar). Verwerker draagt zorg voor de technische middelen waarmee Verwerkingsverantwoordelijke deze rechten zelf kan honoreren via het MSP Dashboard.
6. Bijstand bij verplichtingen Verwerkingsverantwoordelijke: Verwerker biedt redelijke bijstand bij het uitvoeren van verplichtingen onder de artikelen 32 tot en met 36 AVG, waaronder DPIA's en voorafgaande raadpleging van toezichthouders.
7. Datalekmelding: Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, en uiterlijk binnen 48 uur, na het bekend worden van een Datalek dat (mogelijk) gevolgen heeft voor Persoonsgegevens van Verwerkingsverantwoordelijke. De melding bevat ten minste de aard, getroffen categorieën en aantallen, waarschijnlijke gevolgen, getroffen of voorgestelde maatregelen en contactgegevens.
8. Verwerker logt elk Datalek intern en bewaart deze logs minimaal twee (2) jaar.
9. Audit-recht: Verwerkingsverantwoordelijke heeft het recht de naleving van deze Verwerkersovereenkomst eenmaal per kalenderjaar te (laten) auditen, mits Verwerker minimaal 30 dagen vooraf schriftelijk geïnformeerd wordt; de audit door Verwerkingsverantwoordelijke zelf of een onafhankelijke derde wordt uitgevoerd onder geheimhoudingsverklaring; de audit op werkdagen tijdens kantooruren plaatsvindt; en Verwerkingsverantwoordelijke de redelijke kosten draagt indien geen tekortkomingen worden geconstateerd.
10. Audit via certificering: Verwerker kan in plaats van een fysieke audit voldoen door overlegging van actuele certificeringen (ISO 27001, SOC 2 Type II) en/of audit-rapporten van Subverwerkers.
11. Verwijdering en teruggave bij beëindiging: bij beëindiging behoudt Verwerker gegevens 90 dagen voor terughaal-acties; biedt op verzoek een export in PDF en JSON; en vernietigt na de uitloopperiode alle Persoonsgegevens onomkeerbaar, behoudens de in artikel 12 genoemde wettelijke bewaarplichten.

6. Subverwerkers

1. Verwerkingsverantwoordelijke verleent Verwerker hierbij algemene voorafgaande toestemming voor het inschakelen van Subverwerkers, mits Verwerker voldoet aan de hieronder genoemde voorwaarden.
2. De actuele lijst van Subverwerkers is opgenomen in Bijlage A van de Algemene Voorwaarden en wordt indien gewijzigd via het MSP Dashboard beschikbaar gesteld.
3. Verwerker informeert Verwerkingsverantwoordelijke ten minste dertig (30) dagen vooraf over voorgenomen toevoegingen of vervangingen van Subverwerkers, via e-mail aan het facturatie-adres van Verwerkingsverantwoordelijke.
4. Verwerkingsverantwoordelijke kan binnen veertien (14) dagen na de aankondiging schriftelijk en gemotiveerd bezwaar maken op grond van een aantoonbaar privacy-risico. In geval van bezwaar zoeken partijen in goed overleg een redelijke oplossing. Indien geen oplossing wordt bereikt, kan iedere partij de Overeenkomst beëindigen tegen het einde van de lopende kalendermaand zonder schadevergoeding.
5. Verwerker legt aan iedere Subverwerker schriftelijk dezelfde verplichtingen op die hij zelf heeft, en blijft jegens Verwerkingsverantwoordelijke aansprakelijk voor de naleving daarvan door de Subverwerker.
6. Voor doorgifte van Persoonsgegevens aan Subverwerkers buiten de EER treft Verwerker passende waarborgen conform hoofdstuk V AVG, in het bijzonder de Standard Contractual Clauses (SCC's).

7. Internationale doorgifte

1. Verwerker verwerkt Persoonsgegevens primair binnen de EER (Microsoft Azure West Europe en Supabase EU Central).
2. Indien Verwerker of een Subverwerker noodzakelijkerwijs Persoonsgegevens verwerkt buiten de EER, vindt doorgifte uitsluitend plaats naar landen met een passend beschermingsniveau in de zin van artikel 45 AVG, of onder passende waarborgen conform artikel 46 AVG (in het bijzonder SCC's). Verwerker informeert Verwerkingsverantwoordelijke vooraf over dergelijke doorgiften en beschrijft de getroffen waarborgen.

8. Aansprakelijkheid

1. Voor de aansprakelijkheid van partijen onder deze Verwerkersovereenkomst gelden de bepalingen van artikel 12 van de Algemene Voorwaarden, met dien verstande dat de uitsluitingen en beperkingen in dat artikel niet van toepassing zijn op bestuurlijke boetes opgelegd door de Autoriteit Persoonsgegevens of een andere toezichthouder die voortvloeien uit een tekortkoming van Verwerker; en op vorderingen van betrokkenen op grond van artikel 82 AVG, voor zover deze toerekenbaar zijn aan een tekortkoming van Verwerker.
2. Indien beide partijen verantwoordelijk zijn voor de schade, draagt iedere partij de schade naar rato van het eigen aandeel in de overtreding.

9. Wijzigingen Verwerkersovereenkomst

1. Wijzigingen van deze Verwerkersovereenkomst gelden alleen indien schriftelijk overeengekomen tussen partijen.
2. Verwerker is gerechtigd deze Verwerkersovereenkomst eenzijdig te wijzigen indien dit noodzakelijk is op grond van wetswijzigingen, jurisprudentie of bindende richtsnoeren van de Autoriteit Persoonsgegevens of de European Data Protection Board (EDPB), mits Verwerker dit minimaal dertig (30) dagen vooraf aankondigt.
3. Bij niet-acceptatie van een eenzijdige wijziging door Verwerkingsverantwoordelijke heeft Verwerkingsverantwoordelijke het recht de Overeenkomst te beëindigen tegen de ingangsdatum van de wijziging.

10. Overige bepalingen

1. Deze Verwerkersovereenkomst maakt integraal deel uit van de Overeenkomst. Bij strijdigheid tussen deze Verwerkersovereenkomst en de Algemene Voorwaarden prevaleert deze Verwerkersovereenkomst voor zover het privacy-aangelegenheden betreft.
2. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter conform artikel 17 van de Algemene Voorwaarden.

11. Contactpersoon Privacy

• IT-Compliant B.V. — t.a.v. Privacy Officer
• Henegouwenlaan 21, 9501 RX Stadskanaal
• E-mail: privacy@it-compliant.nl
• Telefoon: 085-0606980

12. Wettelijke bewaartermijnen na beëindiging

In afwijking van artikel 5.11 bewaart Verwerker de volgende gegevens ook na beëindiging:

• Facturatie-gegevens: zeven (7) jaar conform artikel 52 Algemene wet inzake rijksbelastingen;
• Audit-log van security-relevante events: minimaal twee (2) jaar voor incident-onderzoek;
• Akkoord op de Algemene Voorwaarden (incl. IP-adres en User-Agent): zeven (7) jaar als bewijs van overeenkomst.

Deze gegevens worden gescheiden bewaard van de operationele systemen en zijn alleen toegankelijk voor expliciet daartoe geautoriseerde medewerkers van Verwerker.

Bijlage 2 — Technische en Organisatorische Maatregelen (TOMs)

Voor de actuele en gedetailleerde beschrijving van de door Verwerker getroffen technische en organisatorische maatregelen wordt verwezen naar het Security Overview versie 2026-05-03, dat als bijlage bij deze Verwerkersovereenkomst is gevoegd.

De maatregelen omvatten ten minste:

Technisch:

• Encryptie at-rest (AES-256-GCM voor opgeslagen gegevens)
• Encryptie in-transit (TLS 1.2 minimaal, TLS 1.3 waar mogelijk, met HSTS)
• Multi-factor authenticatie verplicht voor alle MSP-medewerkers met admin-rechten
• Rolgebaseerde toegangscontrole (RBAC) met principe van minste privilege
• Geautomatiseerde patching van besturingssystemen en runtime-componenten
• Continue monitoring van veiligheid- en performance-events via Application Insights
• Pseudonimisering van eindgebruiker-identificeerbare gegevens in scan-output waar mogelijk

Organisatorisch:

• Geheimhoudingsplicht voor alle medewerkers in arbeidsovereenkomst
• Periodieke security-awareness-training
• Incident response plan met 48-uurs interne meldtermijn voor mogelijke datalekken
• Wijzigingsbeheer met code-review verplicht voor productie-wijzigingen
• Periodieke vulnerability-scans van afhankelijkheden en infrastructuur
• Backup-procedures met regelmatige restore-tests
• Periodieke evaluatie van Subverwerker-compliance via certificeringen en audits

Bijlage 3 — Subverwerkers

De actuele lijst van Subverwerkers is opgenomen in Bijlage A van de Algemene Voorwaarden en wordt bij wijziging conform artikel 6 van deze Verwerkersovereenkomst gecommuniceerd.