Verwerkersovereenkomst
1.1
3 december 2025
Deze Verwerkersovereenkomst (“DPA”) vormt een integraal onderdeel van de overeenkomst tussen:
Vanoirbeek Consulting BV
Stekelbesstraat 1, 3511 Hasselt – België
Ondernemingsnummer BE 0702.958.901
(“Verwerker”)
en
De organisatie die gebruikmaakt van Visit Portal
(“Verwerkingsverantwoordelijke” of “Klant”).
1. Onderwerp
Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Klant, voor het leveren en ondersteunen van het Visit Portal SaaS-platform voor digitale bezoekersregistratie.
2. Rollen onder GDPR
Klant = Verwerkingsverantwoordelijke
Leverancier = Verwerker
De Klant bepaalt de doeleinden en middelen van de verwerking.
3. Categorieën persoonsgegevens & betrokkenen
Betrokkenen:
Bezoekers van de Klant
Gebruikers die Visit Portal beheren
Persoonsgegevens (afhankelijk van configuratie):
Identificatie: naam, voornaam
Contact: e-mail, telefoon
Bedrijf/organisatie, host
Check-in/out tijdstip
Reden van bezoek
Eventueel: foto, badge, voertuiginfo
Authenticatiegegevens: e-mailadres + loggegevens van gebruikers
4. Locatie en infrastructuur
Alle verwerking gebeurt binnen de Europese Unie via cloudproviders:
Vercel – hosting & edge delivery (EU – Parijs)
Supabase – database, opslag en gebruikersauthenticatie (EU – Parijs)
Er is geen doorgifte buiten de EER zonder gepaste waarborgen.
5. Verplichtingen Verwerker
Verwerker:
verwerkt enkel volgens instructies van de Klant
neemt beveiligingsmaatregelen (zie Bijlage 1)
zorgt voor vertrouwelijkheid van personeel
voert geen wijzigingen uit aan gegevens zonder opdracht
6. Vertrouwelijkheid
Personen die gegevens verwerken zijn contractueel tot geheimhouding verplicht.
7. Subverwerkers
Verwerker mag subverwerkers inzetten mits:
zij GDPR-conform werken,
de Klant geïnformeerd wordt bij wijzigingen,
de Klant bezwaar kan maken wanneer gepast.
Huidige subverwerkers: zie Bijlage 2.
8. Datalekken (Incidentrespons)
Bij een incident met mogelijke impact op persoonsgegevens:
➡️ Verwerker verwittigt de Klant zonder onredelijke vertraging
➡️ Verwerker levert info zodat de Klant meldplichten kan naleven
Klant blijft verantwoordelijk voor meldingen aan autoriteiten/betrokkenen.
9. Assistentie Klant
Verwerker ondersteunt de Klant bij:
rechten van betrokkenen,
beveiligingsaudits (redelijke inspanning),
DPIA’s (indien relevant)
Extra werk kan vergoed worden.
10. Aansprakelijkheid
Zoals bepaald in de Algemene Voorwaarden:
beperkt tot de laatste 3 maanden abonnementswaarde
geen aansprakelijkheid voor indirecte schade
11. Einde van de verwerking
Bij stopzetting:
Klant kan export van data opvragen
Verwerker verwijdert gegevens definitief na een redelijke periode volgens interne back-upprocedures
12. Toepasselijk recht
Uitsluitend Belgisch recht
Rechtbanken: Limburg – afdeling Hasselt
Deze overeenkomst is automatisch van kracht zodra de Klant Visit Portal gebruikt.
Bijlage 1 – Technische & Organisatorische Maatregelen
Domein | Maatregelen |
|---|---|
Encryptie | TLS-encryptie in transit; encryptie-at-rest op database en opslag |
Authenticatie | Supabase Auth → unieke accounts; wachtwoordhashing; optioneel MFA |
Toegangsbeheer | Least-privilege; rolgebaseerde toegangscontrole; logging van beheeracties |
Fysieke beveiliging | Datacenters beheerd door subverwerkers met internationale certificeringen |
Back-ups | Dagelijkse back-ups + 7 dagen retentie + Point-In-Time Recovery |
Monitoring | Loganalyse en uptime-monitoring via hostingproviders |
Patch management | Regelmatige updates, kwetsbaarheidsbeheer |
Incidentrespons | Procedure voor detectie en melding aan Klant |
Gegevensisolatie | Logische isolatie per klant binnen multi-tenant architectuur |
Minimale toegang | Alleen bevoegde medewerkers kunnen toegang krijgen voor support, enkel indien nodig |
Bijlage 2 – Subverwerkerslijst
Deze bijlage maakt deel uit van de Verwerkersovereenkomst (DPA) – Visit Portal v1.1
Naam subverwerker | Rol | Locatie verwerking | Reden / Doel |
|---|---|---|---|
Vercel Inc. | Hosting & edge delivery | EU – Parijs | Beschikbaar stellen van de webapplicatie |
Supabase | Database, opslag & gebruikersauthenticatie | EU – Parijs | Opslag van persoonsgegevens + auth services |
Wanneer subverwerkers onderliggende infrastructuur of cloudservices gebruiken (bv. AWS), blijft verwerking binnen de EU en onder dezelfde GDPR-bescherming.
Procedure bij wijzigingen
Leverancier zal:
de Klant vooraf informeren over wijzigingen aan deze lijst,
een bezwaarperiode geven wanneer er een nieuw risico ontstaat,
enkel doorgaan met nieuwe subverwerkers als dat redelijk aanvaardbaar is onder GDPR.
Bijlage 3 – Gegevensretentie & verwijdering
Deze bijlage maakt deel uit van de Verwerkersovereenkomst (DPA) – Visit Portal v1.1
1. Bewaartermijnen
De Klant bepaalt zelf de bewaartermijnen van persoonsgegevens in Visit Portal.
Verwijdering van gegevens kan op elk moment door de Klant worden geïnitieerd.
2. Verwijdering na beëindiging
Na beëindiging van het abonnement:
heeft de Klant tot aan het einde van de abonnementsperiode om data te exporteren
worden gegevens vervolgens onomkeerbaar verwijderd
back-ups worden volgens de standaardretentie automatisch overschreven
3. Back-ups
Dagelijkse back-ups
Bewaartermijn: 7 dagen
PITR (Point-In-Time Recovery) beschikbaar binnen deze periode
Back-ups zijn versleuteld en niet toegankelijk voor klanten, behalve voor herstel bij incidenten.
4. Logging & systeemdata
Logs en diagnostische gegevens worden bewaard:
uitsluitend voor beveiliging, foutanalyse en performantie
niet langer dan noodzakelijk om die doeleinden te vervullen
automatisch verwijderd volgens interne rotatieprocedures
© 2025 - Visit Portal