Concept — ter juridische review. Dit document is opgesteld als basis voor afstemming met een jurist. Definitieve versie volgt na review.
Versie 0.9 · Laatst bijgewerkt: 21 mei 2026 · HF IT B.V., KvK 80810489
Partijen
Verwerker: HF IT B.V. (handelsnaam: CyberBase MKB / Holland Firewall IT), gevestigd te Kampenringweg 45D, 2803 PE Gouda, ingeschreven in het Handelsregister onder nummer 80810489.
Verwerkingsverantwoordelijke: de Opdrachtgever zoals omschreven in de hoofdovereenkomst (hierna: "Klant").
Partijen komen het volgende overeen ter uitvoering van artikel 28 AVG.
Art. 1 Onderwerp en duur
- Deze verwerkersovereenkomst maakt onlosmakelijk deel uit van de hoofdovereenkomst tussen Verwerker en Klant.
- Verwerker verwerkt persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Klant, zoals nader gespecificeerd in deze overeenkomst.
- De duur van deze verwerkersovereenkomst is gelijk aan die van de hoofdovereenkomst.
Art. 2 Aard, doel en categorieën van de verwerking
2.1 Aard en doel
Verwerker levert cybersecurity-monitoring, endpoint-protection, netwerk-beveiliging, e-mailbeveiliging, kwetsbaarheidsscans en incident-response. In het kader hiervan worden binnen de IT-omgeving van Klant gegenereerde logs, telemetrie en netwerkmetadata verwerkt voor het detecteren, voorkomen en afhandelen van beveiligingsincidenten.
2.2 Categorieën persoonsgegevens
| Categorie | Voorbeelden |
| Identificerende gegevens | gebruikersnamen, e-mailadressen, IP-adressen |
| Apparaat- en netwerkgegevens | device IDs, MAC-adressen, hostnames, geo-IP |
| Gedrag/event-metadata | login-tijden, bestandstoegang, processuitvoering (in security-context) |
2.3 Categorieën betrokkenen
- Medewerkers van Klant
- Externe gebruikers van Klants IT-systemen (klanten, leveranciers met toegang)
2.4 Bijzondere categorieën
De verwerking ziet niet op bijzondere categorieën persoonsgegevens (art. 9 AVG) of strafrechtelijke gegevens (art. 10 AVG), tenzij Klant zelf bijzondere gegevens in scope brengt door deze in te brengen in de gemonitorde systemen. Klant is in dat geval verantwoordelijk voor een geldige rechtsgrond.
Art. 3 Verplichtingen Verwerker
- Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant, behoudens wanneer een wettelijke verplichting de verwerking voorschrijft.
- Verwerker stelt Klant onmiddellijk in kennis indien een instructie naar haar oordeel een schending van de AVG inhoudt.
- Verwerker zorgt dat haar medewerkers die toegang hebben tot persoonsgegevens, zijn gebonden aan een schriftelijke geheimhoudingsplicht.
- Verwerker assisteert Klant op verzoek bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, dataportabiliteit) en bij data protection impact assessments (DPIA's).
Art. 4 Beveiligingsmaatregelen
Verwerker treft passende technische en organisatorische maatregelen (TOM) om een op het risico afgestemd beveiligingsniveau te garanderen, waaronder:
- Versleuteling — TLS 1.2+ voor data in transit, AES-256 voor data at rest waar passend.
- Toegangsbeheer — least-privilege, MFA voor alle medewerkers, role-based access control, automatische sessie-timeouts.
- Logging & monitoring — centrale audit logging van alle administratieve handelingen, geautomatiseerde anomalie-detectie.
- Backups — versleutelde, geografisch gespreide backups binnen Nederland/EU, met regelmatige restore-tests.
- Patch & vulnerability management — kritieke patches binnen 72 uur, periodieke vulnerability scans.
- Personeel — VOG-screening, security awareness training, geheimhoudingsverklaringen.
- Fysieke beveiliging — datacenters met ISO 27001-niveau beveiliging (Fibermax Networks, NL).
- Incident response — gedocumenteerde procedures, oefeningen, 24/7 SOC-monitoring.
Art. 5 Datalekken
- Verwerker informeert Klant onverwijld (uiterlijk binnen 48 uur na ontdekking) over elke inbreuk in verband met persoonsgegevens, ongeacht of meldplicht bij de AP geldt.
- De melding bevat ten minste: aard van de inbreuk, categorieën en geschat aantal betrokkenen, waarschijnlijke gevolgen, en getroffen en voorgenomen maatregelen.
- Verwerker assisteert Klant bij het beoordelen van de meldplicht en de communicatie richting betrokkenen en de Autoriteit Persoonsgegevens.
Art. 6 Subverwerkers
- Klant verleent Verwerker een algemene voorafgaande toestemming om gebruik te maken van subverwerkers. Verwerker waarborgt dat subverwerkers gehouden zijn aan ten minste dezelfde verplichtingen als in deze overeenkomst opgenomen.
- De huidige subverwerkers zijn:
| Subverwerker | Locatie | Doel | Datadoorgifte |
| Fibermax Networks B.V. |
Nederland |
Hosting van platform en data |
Binnen EER |
| ActiveCampaign Postmark |
Verenigde Staten |
Transactionele e-mail (formulier-bevestigingen, notificaties) |
SCC's + aanvullende maatregelen |
- Verwerker stelt Klant ten minste 30 dagen voor wijziging schriftelijk in kennis bij toevoeging of vervanging van subverwerkers. Klant heeft het recht om binnen die termijn gemotiveerd bezwaar te maken.
Art. 7 Doorgifte buiten de EER
Indien persoonsgegevens worden doorgegeven naar landen buiten de EER, zorgt Verwerker voor passende waarborgen conform Hoofdstuk V van de AVG (in het bijzonder Standard Contractual Clauses 2021/914 van de Europese Commissie) en treft zij aanvullende technische en organisatorische maatregelen waar nodig conform de richtsnoeren van de EDPB.
Art. 8 Audit en controle
- Verwerker stelt Klant in staat de naleving van deze overeenkomst te controleren door, op redelijk verzoek, relevante informatie en documentatie ter beschikking te stellen (bv. ISO 27001-certificaten, SOC 2-rapporten, pentest-overzichten).
- Daarnaast staat Verwerker een audit toe, uitgevoerd door Klant of een door Klant aangewezen onafhankelijke auditor, ten hoogste eenmaal per kalenderjaar, op kosten van Klant en met inachtneming van een aankondigingstermijn van ten minste 4 weken.
Art. 9 Beëindiging en data-vernietiging
- Na beëindiging van de hoofdovereenkomst draagt Verwerker, naar keuze van Klant, alle persoonsgegevens over aan Klant of vernietigt deze, tenzij wettelijke bewaarplicht anders voorschrijft.
- Vernietiging vindt plaats binnen 60 dagen na beëindiging, tenzij anders overeengekomen. Verwerker overlegt op verzoek schriftelijke bevestiging van vernietiging.
Art. 10 Aansprakelijkheid
Op de aansprakelijkheid in verband met deze verwerkersovereenkomst is artikel 12 van de Algemene Voorwaarden van Verwerker van toepassing, behoudens dwingendrechtelijke bepalingen van de AVG.
Art. 11 Toepasselijk recht en geschillen
Op deze overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Den Haag.