Naar hoofdinhoud
Buurtplatform.nl logoBuurtplatform.nl
Verwerkersovereenkomst

Verwerkersovereenkomst (DPA)

Afspraken tussen jouw organisatie en Buurtplatform B.V. over de verwerking van persoonsgegevens conform AVG artikel 28.

Terug naar juridisch overzicht

Versie 2.0 — mei 2026

PDF downloaden

Verwerkersovereenkomst

Artikel 28 AVG · versie 2.0 — mei 2026

De afspraken tussen jouw organisatie en Buurtplatform B.V. over de verwerking van persoonsgegevens bij gebruik van het Buurtplatform.

Partijen

Verwerkingsverantwoordelijke

  • Naam: [Naam van uw organisatie]
  • Adres: [straat, postcode, plaats]
  • KvK-nummer: [KvK-nummer]
  • Vertegenwoordigd door: [naam en functie]

en

Verwerker

  • Naam: Buurtplatform B.V.
  • Bezoekadres: Kerkstraat 2a, 5735 BZ Aarle-Rixtel
  • KvK-nummer: 42045383
  • Vertegenwoordigd door: Tibbe Naarding, co-owner
  • Contact: info@buurtplatform.nl · +31 6 1302 2191

Hierna gezamenlijk te noemen: Partijen.

1. Achtergrond

  1. Partijen hebben een overeenkomst gesloten op basis waarvan Verwerker het Buurtplatform ter beschikking stelt aan Verwerkingsverantwoordelijke voor bewonersparticipatie rondom projecten in de openbare ruimte (hierna: Hoofdovereenkomst).
  2. Bij de uitvoering van de Hoofdovereenkomst verwerkt Verwerker persoonsgegevens namens Verwerkingsverantwoordelijke. Partijen sluiten deze verwerkersovereenkomst (hierna: Overeenkomst) om te voldoen aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).
  3. Bij strijdigheid tussen deze Overeenkomst en de Hoofdovereenkomst prevaleert deze Overeenkomst voor zover het de verwerking van persoonsgegevens betreft.

2. Onderwerp en doeleinden

  1. Verwerker verwerkt persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders bepaalt.
  2. De verwerking vindt plaats voor de volgende doeleinden:
    • het ter beschikking stellen en onderhouden van het Buurtplatform;
    • het verzamelen, opslaan en tonen van input van bewoners (vragenlijsten, keuze-onderzoeken, reacties, optionele locatiedata);
    • het versturen van projectupdates en nieuwsbrieven aan ingeschreven bewoners;
    • het genereren van samenvattingen en rapportages, deels met behulp van AI;
    • het beveiligen van het platform en voorkomen van misbruik.
  3. De rechtsgrondslag waarop Verwerkingsverantwoordelijke de verwerking baseert, wordt door haar zelf bepaald. Voor publieke organisaties is dit doorgaans de uitvoering van een publieke taak (art. 6 lid 1 sub e AVG).

3. Soorten persoonsgegevens en categorieën betrokkenen

3.1 Categorieën betrokkenen

  • Bewoners en andere belanghebbenden die deelnemen aan projecten via het platform;
  • Beheerders namens Verwerkingsverantwoordelijke (zoals projectleiders, communicatiemedewerkers en adviseurs).

3.2 Categorieën persoonsgegevens

  • Contactgegevens: naam, e-mailadres, optioneel telefoonnummer;
  • Inhoud van reacties en antwoorden op vragenlijsten en keuze-onderzoeken;
  • Optionele locatiegegevens (adres, coördinaten of buurt-/gebiedscode), wanneer een bewoner hier per submissie expliciet voor kiest;
  • Accountgegevens van beheerders (e-mailadres, naam, wachtwoord-hash, sessie-informatie);
  • IP-adres en browsergegevens, kortstondig voor beveiligings- en duplicaatdetectie;
  • Gebruiks- en logbestandgegevens (audit-trail, foutlogs).

3.3 Bijzondere persoonsgegevens

Het platform vraagt zelf geen bijzondere persoonsgegevens uit. Indien Verwerkingsverantwoordelijke via eigen vragen toch dergelijke gegevens uitvraagt, blijft zij verantwoordelijk voor een geldige grondslag en de bijbehorende waarborgen.

4. Verplichtingen van Verwerker

  1. Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke.
  2. Verwerker waarborgt dat personen die gemachtigd zijn om persoonsgegevens te verwerken, tot geheimhouding verplicht zijn.
  3. Verwerker neemt passende technische en organisatorische maatregelen, waaronder:
    • versleutelde verbindingen (TLS/HTTPS) met HSTS;
    • versleutelde opslag van persoonsgegevens bij de hosting-leverancier;
    • toegangscontrole op basis van rollen en projectniveau;
    • tweestapsverificatie beschikbaar voor beheerders als optionele extra beveiliging;
    • security headers (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy);
    • geautomatiseerde back-ups naar een gescheiden opslaglocatie;
    • rate limiting en bot-bescherming op publieke endpoints;
    • logging, monitoring en audit-logs van handelingen op persoonsgegevens, met gehashte IP-adressen;
    • geautomatiseerde retentie- en anonimiseringsprocessen.
  4. Verwerker stelt Verwerkingsverantwoordelijke in staat om binnen redelijke termijn te voldoen aan verzoeken van betrokkenen tot inzage, rectificatie, wissing, beperking, dataportabiliteit en bezwaar.
  5. Verwerker ondersteunt Verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) wanneer dat nodig is, op basis van redelijk verzoek.

5. Sub-verwerkers

Verwerker maakt voor de uitvoering van de dienstverlening gebruik van de hieronder genoemde sub-verwerkers:

Sub-verwerkerDoel van verwerkingLocatie / Waarborg
Vercel Inc.Hosting en CDN van het platformEU-regio bij voorkeur; eventuele doorgifte onder Standard Contractual Clauses
RailwayDatabase-hosting (PostgreSQL) en backupsEU-regio bij voorkeur; eventuele doorgifte onder Standard Contractual Clauses
ResendVersturen van transactionele e-mail en nieuwsbrievenEU (Dublin) via AWS SES onder Standard Contractual Clauses
Stripe PaymentsBetaalverwerking voor abonnementenEU/VS onder Standard Contractual Clauses
UploadThingBestandsopslag voor afbeeldingen en bijlagenEU/VS onder Standard Contractual Clauses
MapboxReverse geocoding en kaarttegels voor locatiefunctionaliteitEU/VS onder Standard Contractual Clauses
CloudflareTurnstile (bot-bescherming) en netwerkbeschermingEU/VS onder Standard Contractual Clauses
n8nWorkflow-orkestratie voor AI-flows (samenvattingen, planning, onboarding)Door Verwerker beheerd; PII-redactie waar technisch mogelijk
OpenAI en/of AnthropicLLM-verwerking achter AI-flows voor samenvattingen en planningEU/VS onder Standard Contractual Clauses; geen training op gebruikersdata
  1. Verwerker informeert Verwerkingsverantwoordelijke vooraf over voorgenomen wijzigingen in sub-verwerkers. Verwerkingsverantwoordelijke kan binnen veertien (14) dagen schriftelijk en gemotiveerd bezwaar maken. Bij gegrond bezwaar zoeken Partijen in redelijkheid naar een passende oplossing.
  2. Verwerker heeft met haar sub-verwerkers contractuele afspraken die ten minste gelijkwaardig zijn aan deze Overeenkomst, voor zover deze sub-verwerkers persoonsgegevens namens Verwerker verwerken.

Transparantie over AI. AI-flows worden uitsluitend ingezet voor functionele samenvatting en analyse van projectinhoud. Voor uitgaande payloads worden e-mailadressen en telefoonnummers waar technisch mogelijk geredacteerd. AI-providers gebruiken de aangeleverde data niet voor het trainen van hun eigen modellen.

Geen tracking-cookies. Het platform plaatst geen tracking- of advertentiecookies; uitsluitend functionele cookies die strikt nodig zijn voor de dienstverlening (sessie, inloggen, CSRF) worden gebruikt. Bezoekersstatistieken lopen via Vercel Analytics, dat cookieless en first-party werkt: Vercel maakt per dag server-side een hash van IP-adres en user-agent voor geaggregeerde paginastatistieken, zonder apparaat-IDs en zonder tracking-cookies. Hierdoor is geen toestemming op grond van artikel 11.7a Telecommunicatiewet (ePrivacy) of artikel 6 lid 1 sub a AVG vereist voor het analytics-gebruik.

6. Doorgifte buiten de EER

  1. Persoonsgegevens worden bij voorkeur verwerkt binnen de Europese Economische Ruimte (EER).
  2. Waar doorgifte buiten de EER plaatsvindt, gebeurt dit uitsluitend op basis van een adequaatheidsbesluit of de Standard Contractual Clauses (SCC) van de Europese Commissie, met aanvullende waarborgen waar passend.

7. Datalekken

  1. Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in elk geval binnen 48 uur nadat Verwerker kennis heeft gekregen van een inbreuk op de beveiliging die leidt of kan leiden tot een risico voor de rechten en vrijheden van betrokkenen.
  2. De melding bevat ten minste:
    • de aard van de inbreuk;
    • de categorieën en geschat aantal betrokkenen en gegevens;
    • de waarschijnlijke gevolgen;
    • de genomen of voorgestelde maatregelen.
  3. Verwerkingsverantwoordelijke is verantwoordelijk voor de eventuele melding aan de Autoriteit Persoonsgegevens en, waar nodig, aan de betrokkenen.

8. Bewaartermijnen en teruggave

  1. Verwerker bewaart persoonsgegevens niet langer dan strikt nodig voor de doeleinden waarvoor ze zijn verzameld.
  2. Standaardbewaartermijnen worden per categorie aangehouden:
    • Reacties van bewoners: standaard 24 maanden, per project aanpasbaar door Verwerkingsverantwoordelijke;
    • Audit-logs: 12 maanden;
    • Accountgegevens beheerders: tot 30 dagen na verzoek tot wissing, gevolgd door geautomatiseerde anonimisering;
    • IP-adres bij keuze-onderzoeken: maximaal 24 uur voor duplicaatdetectie;
    • Demo-data: 48 uur.
  3. Bij beëindiging van de Hoofdovereenkomst verwijdert of retourneert Verwerker, naar keuze van Verwerkingsverantwoordelijke, alle persoonsgegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht anders vereist.

9. Audit en transparantie

  1. Verwerkingsverantwoordelijke heeft het recht de naleving van deze Overeenkomst te controleren via een audit, uit te voeren door een onafhankelijke, door Partijen overeen te komen deskundige.
  2. Naast dit auditrecht stelt Verwerker op schriftelijk verzoek de volgende documentatie beschikbaar voor zover deze bestaat:
    • actuele beveiligings- en privacy-documentatie van het platform;
    • relevante rapportages van uitgevoerde penetratietests en kwetsbaarheidsscans;
    • statements of compliance van sub-verwerkers.
  3. De kosten van een audit worden gedragen door Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat Verwerker zijn verplichtingen niet nakomt.
  4. Partijen stemmen audits op redelijke termijn af en voorkomen onnodige verstoring van de dienstverlening.

10. Aansprakelijkheid

  1. Voor de aansprakelijkheid van Partijen gelden de voorwaarden uit de Hoofdovereenkomst.
  2. Verwerker is niet aansprakelijk voor schade die voortkomt uit instructies van Verwerkingsverantwoordelijke die strijdig zijn met de AVG of andere toepasselijke wet- en regelgeving.
  3. Partijen erkennen dat ieder voor zijn eigen rol en gedragingen aansprakelijk is onder artikel 82 AVG.

11. Duur en beëindiging

  1. Deze Overeenkomst treedt in werking op de ingangsdatum van de Hoofdovereenkomst en eindigt van rechtswege op het moment dat de Hoofdovereenkomst eindigt.
  2. Verplichtingen die naar hun aard bestemd zijn om voort te duren, zoals geheimhouding en aansprakelijkheid, blijven na beëindiging van kracht.

12. Toepasselijk recht

  1. Op deze Overeenkomst is Nederlands recht van toepassing.
  2. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd, tenzij Partijen schriftelijk anders overeenkomen.

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend.

Verwerkingsverantwoordelijke

  • Naam: ______________________________
  • Functie: ______________________________
  • Datum: ______________________________
  • Handtekening: ______________________________

Verwerker — Buurtplatform B.V.

  • Naam: ______________________________
  • Functie: ______________________________
  • Datum: ______________________________
  • Handtekening: ______________________________

Buurtplatform stelt deze verwerkersovereenkomst beschikbaar om te helpen voldoen aan AVG-artikel 28. Het document is afgestemd op de werkelijke situatie van Buurtplatform per mei 2026. Raadpleeg bij vragen of bijzondere risico's de eigen Functionaris voor Gegevensbescherming of een juridisch adviseur.

Terug naar juridisch overzichtPDF downloaden