Verwerkersovereenkomst – Bookairy
Deze Gegevensverwerkingsovereenkomst ("DPA") maakt deel uit van de overeenkomst tussen Bookairy en de Klant. Bookairy wordt geëxploiteerd door Ghekko Development, Willem Buytewechstraat 187 C, 3024 XH Rotterdam, Nederland, KvK-nummer 70485437, vestigingsnummer 000028452003, BTW-nummer NL858338543B01.
1. Rollen en instructies
- De Klant is de verwerkingsverantwoordelijke voor persoonsgegevens die worden ingevoerd of verwerkt via de Bookairy-werkruimte van de Klant.
- Bookairy is de verwerker waarbij zij in opdracht van de Klant persoonsgegevens verwerkt.
- Bookairy verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van de Klant, waaronder de overeenkomst, deze DPA, productconfiguratie en rechtmatige ondersteuningsverzoeken.
- De Klant blijft verantwoordelijk voor de rechtmatigheid van de verwerking, de juistheid van gegevens, informatieve mededelingen, toestemming indien vereist en sectorspecifieke verplichtingen.
- Als Bookairy van mening is dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving inzake gegevensbescherming, zal Bookairy de Klant hiervan op de hoogte stellen, tenzij dit wettelijk verboden is.
2. Onderwerp, duur en doel
Het onderwerp van de verwerking is het ter beschikking stellen, onderhouden, beveiligen en ondersteunen van het boekings-, plannings- en bedrijfsplatform van Bookairy. De verwerking duurt gedurende de looptijd van de overeenkomst en de eventuele redelijke export-, back-up-, verwijderings- of wettelijke bewaartermijn na beëindiging.
Het doel is het bieden van online boekingen, kalenders, klantenbeheer, personeelsbeheer, diensten, evenementen, producten, POS, facturen, aanbetalingen, betalingsstatus, meldingen, rapportage, formulieren, meertalige boekingsstromen, ondersteuning, beveiliging, probleemoplossing en gerelateerde SaaS-functionaliteit.
3. Categorieën persoonsgegevens
- Namen, adressen, e-mailadressen, telefoonnummers en andere contactgegevens.
- Account-, bedrijfs-, personeels-, rol- en toestemmingsgegevens.
- Gegevens over boekingen, kalender, afspraken, wachtlijsten, annuleringen, no-shows en servicegeschiedenis.
- Klantnotities, voorkeuren, formulierantwoorden, geüploade bestanden en communicatie-inhoud.
- Betalingsstatus, transactiereferenties, factuurgegevens, stortingsgegevens en informatie over terugbetaling of terugboeking.
- Apparaat-, installatie-, browser-, app-versie, IP-adres, log-, gebruiks- en beveiligingsgegevens.
- Afhankelijk van de configuratie van de Klant: gezondheids-, behandelings-, welzijns-, intake- of andere gevoelige gegevens ingevoerd door de Klant of Eindklanten.
4. Categorieën betrokkenen
- De cliënten, klanten, patiënten, gasten, deelnemers of andere eindgebruikers van Klant.
- Het personeel, de opdrachtnemers, beheerders en gebruikers van de Klant.
- Contacten, ondersteuningscontacten en gebruikers van openbare boekingspagina's.
5. Beveiligingsmaatregelen
Bookairy implementeert passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek, uitvoeringskosten, aard van de verwerking, omvang, context, doeleinden en risico’s. Maatregelen kunnen zijn:
- HTTPS/TLS-codering voor gegevens die onderweg zijn.
- Op rollen gebaseerde toegangscontroles en authenticatiecontroles.
- Beperkte interne toegang tot productiegegevens.
- Logging, monitoring en preventie van misbruik.
- Veilige cloudinfrastructuur en Firestore, opslag of vergelijkbare beveiligingsregels.
- Logische scheiding van bedrijfsgegevens op basis van bedrijfs- of huurder-ID's.
- Cloudflare of vergelijkbare netwerkbescherming, firewall, botbescherming en DDoS-mitigatie.
- Back-ups, herstel- of exportmechanismen, indien beschikbaar.
- Periodieke applicatie- en infrastructuurupdates.
- Geheimhoudingsverplichtingen voor personen die bevoegd zijn om persoonsgegevens te verwerken.
6. Vertrouwelijkheid
Bookairy zorgt ervoor dat personen die bevoegd zijn om persoonsgegevens te verwerken, gebonden zijn aan geheimhouding of een passende wettelijke geheimhoudingsplicht hebben. De toegang is beperkt tot wat nodig is voor bediening, ondersteuning, beveiliging en onderhoud.
7. Subverwerkers
De Klant geeft Bookairy algemene toestemming om gebruik te maken van subverwerkers. Bookairy zal gegevensbeschermingsverplichtingen opleggen aan subverwerkers die materieel vergelijkbaar zijn met deze DPA, indien vereist door de AVG.
| Subverwerker | Doel |
|---|---|
| Google Cloud / Firebase | Hosting, database, authenticatie, cloudfuncties, opslag en platforminfrastructuur. |
| Cloudflare | DNS, CDN, beveiliging, DDoS-bescherming, firewallfunctionaliteit, botbescherming, Turnstile, netwerkbescherming en verkeersfiltering. |
| MailerSend | Transactionele e-mail en e-mailmeldingen. |
| Mollie | Online betalingen, stortingen, betalingsstatus, terugbetalingen en betalingsverwerking. |
| DeepL | Automatische vertalingen van door de klant ingevoerde inhoud wanneer vertaalfuncties zijn ingeschakeld. |
| Apple | Distributie van de App Store, platformdiensten en infrastructuur voor pushmeldingen, indien van toepassing. |
| Google Play/Google | App-distributie, platformdiensten en infrastructuur voor pushmeldingen, indien van toepassing. |
| Ondersteunings-, hosting-, monitoring- of communicatiemiddelen | Ondersteuning, operationele communicatie, monitoring, diagnostiek en klantenservice waar gebruikt. |
Bookairy kan subverwerkers updaten wanneer dat nodig is voor de levering, beveiliging of verbetering van de Diensten. De Klant kan op redelijke gronden van gegevensbescherming bezwaar maken binnen vijf (5) Werkdagen na kennisgeving van een belangrijke wijziging in de subverwerker.
8. Internationale overschrijvingen
Persoonsgegevens mogen alleen buiten de Europese Economische Ruimte worden overgedragen als dit is toegestaan onder de AVG. Waar nodig zal Bookairy passende waarborgen hanteren, zoals standaardcontractbepalingen, adequaatheidsbesluiten, overdrachtseffectbeoordelingen en aanvullende maatregelen.
9. Hulp aan de Klant
Rekening houdend met de aard van de verwerking en de informatie waarover Bookairy beschikt, zal Bookairy de Klant redelijkerwijs assisteren met verzoeken van betrokkenen, beveiligingsverplichtingen, gegevensbeschermingseffectbeoordelingen, voorafgaand overleg, onderzoeken naar inbreuken en informatie die nodig is om naleving aan te tonen. Bookairy kan redelijke kosten in rekening brengen voor hulp die verder gaat dan de standaard platformfunctionaliteit of normale ondersteuning.
10. Datalekken
Bookairy zal de Klant zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust wordt van een inbreuk op de persoonsgegevens die van invloed is op persoonsgegevens die namens de Klant worden verwerkt. Indien beschikbaar zal Bookairy informatie verstrekken over de aard van de inbreuk, de getroffen categorieën, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen. De Klant blijft verantwoordelijk voor eventuele meldingen aan toezichthoudende autoriteiten of betrokkenen.
11. Audits en compliance-informatie
Bookairy zal informatie beschikbaar stellen die redelijkerwijs noodzakelijk is om de naleving van deze DPA aan te tonen. Audits vereisen voorafgaande schriftelijke kennisgeving, mogen niet vaker dan één keer per kalenderjaar plaatsvinden, tenzij een ernstig incident anders vereist, moeten tijdens kantooruren worden uitgevoerd door een onafhankelijke deskundige die gebonden is aan geheimhouding en mogen de activiteiten van Bookairy niet op onredelijke wijze verstoren.
12. Terugsturen en verwijderen
Na beëindiging zal Bookairy de namens de Klant verwerkte persoonsgegevens verwijderen of voor export beschikbaar stellen, tenzij wettelijke bewaarplichten voortdurende opslag vereisen. Back-ups kunnen tijdelijk blijven totdat ze worden overschreven of verwijderd volgens de reguliere back-upcyclus.
13. Aansprakelijkheid en voorrang
Op deze DPA zijn de aansprakelijkheidsbeperkingen uit de Algemene Voorwaarden van toepassing, tenzij dwingend recht anders bepaalt. Als deze DPA in strijd is met de Algemene Voorwaarden voor de verwerking van persoonsgegevens, prevaleert deze DPA voor dat verwerkingsconflict.