Verwerkersovereenkomst (DPA) — Eerlijke Corvee

⚠️ DRAFT — vereist juridische toetsing door een Nederlandse jurist voordat deze wordt aangeboden aan klanten of clubs. Dit is geen juridisch advies. Plaatshouders zoals <...> moeten worden ingevuld voor publicatie. Verifieer alle artikelen tegen de actuele AVG-tekst en de modelbepalingen van de Autoriteit Persoonsgegevens. Deze DPA is bedoeld voor B2B-relaties met sportclubs of grotere afnemers; individuele teammanagers gebruiken de Algemene Voorwaarden en Privacyverklaring zonder aparte DPA.

Versie: 0.1 (draft) — 2026-05-02

1. Partijen

Deze Verwerkersovereenkomst (“DPA”) is gesloten tussen:

Verwerkingsverantwoordelijke (“Klant”):

  • Naam: <NAAM CLUB / RECHTSPERSOON>
  • KvK-nummer: <KVK NUMMER>
  • Adres: <ADRES>
  • Vertegenwoordigd door: <NAAM EN FUNCTIE>

Verwerker (“wij”, “ons”):

  • Naam: <NAAM ONDERNEMING — bijv. Eerlijke Corvee B.V.>
  • KvK-nummer: <KVK NUMMER>
  • Adres: <VESTIGINGSADRES>
  • Vertegenwoordigd door: <NAAM EN FUNCTIE>

Hierna gezamenlijk te noemen: “Partijen”.

2. Achtergrond

De Klant heeft een hoofdovereenkomst (de “Hoofdovereenkomst”) met de Verwerker voor het gebruik van de Eerlijke Corvee Dienst. In het kader van die Dienst verwerkt de Verwerker persoonsgegevens namens de Klant. Deze DPA legt de afspraken over die verwerking vast conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG / GDPR).

In geval van strijdigheid tussen deze DPA en de Hoofdovereenkomst, prevaleert deze DPA voor zaken die de verwerking van persoonsgegevens betreffen.

3. Onderwerp en duur

3.1 Onderwerp

De Verwerker verwerkt persoonsgegevens namens de Klant voor het leveren van de Dienst (corvee-toewijzing, wedstrijd- en trainingsbeheer, communicatie met teamleden).

3.2 Duur

Deze DPA loopt zolang de Hoofdovereenkomst van kracht is, en eindigt automatisch bij beëindiging daarvan. Bepalingen die naar hun aard ook na beëindiging blijven gelden (zoals teruggave/wissen van data, geheimhouding) blijven van toepassing.

4. Aard, doeleinden en categorieën

4.1 Aard van de verwerking

Geautomatiseerde verwerking via cloud-software, waaronder:

  • Opslag in een PostgreSQL-database (gehost op Microsoft Azure, EU)
  • Verzending van transactionele e-mail (via Resend)
  • Verzending van pushmeldingen (via VAPID Web Push, geen tussenpartij)
  • Logboekregistratie en audit
  • Backups

4.2 Doel

Uitsluitend het leveren van de Dienst zoals beschreven in de Hoofdovereenkomst en de Algemene Voorwaarden. De Verwerker verwerkt geen persoonsgegevens voor eigen doeleinden zoals marketing of profilering buiten de Dienst.

4.3 Categorieën van betrokkenen

  • Teammanagers, trainers, coaches
  • Ouders / verzorgers van spelers
  • Spelers (van wie alleen naam en leeftijdscategorie standaard; vanaf 13+ optioneel een eigen account met e-mailadres)

4.4 Categorieën van persoonsgegevens

  • Identificatiegegevens: naam, e-mailadres
  • Rolinformatie binnen het team
  • Voorkeuren en beschikbaarheid (beschikbaarheidsstatus, taakvoorkeuren)
  • Spelersinformatie: naam, leeftijdscategorie, verzorgersrelatie
  • Activiteitsgegevens: corveetoewijzingen, aanwezigheidsregistratie
  • Technische gegevens: IP-adres, browser-user-agent (in logs)

4.5 Geen bijzondere categorieën

De Dienst is niet ontworpen voor verwerking van bijzondere persoonsgegevens (zoals gezondheidsgegevens, ras, religie, politieke overtuiging). Klant verbindt zich om dergelijke gegevens niet via de Dienst te verwerken. Indien Klant per ongeluk dergelijke gegevens invoert (bijv. in een vrij notitievak), draagt Klant de verantwoordelijkheid.

5. Verplichtingen van de Verwerker

De Verwerker:

a. Verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, behalve waar EU-recht of nationaal recht anders voorschrijft.

b. Zorgt dat personen die toegang hebben tot de persoonsgegevens zich hebben verbonden tot vertrouwelijkheid (NDA of vergelijkbaar).

c. Neemt passende technische en organisatorische beveiligingsmaatregelen conform artikel 32 AVG, waaronder ten minste:

  • Encryptie in transit (TLS 1.2+)
  • Encryptie at rest (Azure-niveau)
  • Toegangsbeheer en least-privilege
  • Auditlogging op administratieve handelingen
  • Geheime sleutels in een secrets manager
  • Reguliere backups met versleuteling

d. Helpt de Klant bij verzoeken van betrokkenen (inzage, rectificatie, wissing, etc.) door redelijke ondersteuning te bieden, gegeven de aard van de verwerking.

e. Helpt de Klant bij het naleven van de verplichtingen onder artikelen 32 t/m 36 AVG (beveiliging, datalekmelding, DPIA, voorafgaande raadpleging).

f. Meldt datalekken aan de Klant zonder onredelijke vertraging, en in elk geval binnen 48 uur na constatering, met de informatie die de Klant nodig heeft om aan zijn meldingsverplichtingen te voldoen.

g. Stelt na het einde van de levering van de Dienst, naar keuze van de Klant, alle persoonsgegevens ter beschikking of wist deze, en wist bestaande kopieën, behalve waar Unie- of nationaalrecht opslag verplicht stelt.

h. Stelt aan de Klant alle informatie ter beschikking die nodig is om aantoonbaar aan zijn AVG-verplichtingen te voldoen, en maakt audits mogelijk (zie artikel 7 hieronder).

6. Sub-verwerkers

6.1 Toestemming

De Klant geeft hierbij algemene toestemming voor de inschakeling van sub-verwerkers, mits:

  • De Verwerker een lijst van sub-verwerkers actueel houdt en op verzoek deelt
  • De Klant ten minste 30 dagen vooraf wordt geïnformeerd over wijzigingen, en de mogelijkheid heeft om gemotiveerd bezwaar te maken
  • Met elke sub-verwerker een verwerkersovereenkomst is afgesloten met ten minste dezelfde beschermingsmaatregelen als deze DPA

6.2 Lijst van sub-verwerkers (per 2026-05-02)

Sub-verwerkerDoelVerwerkingslocatie
Microsoft Azure (Container Apps + PostgreSQL)Hosting + databaseEU (North Europe — Ierland)
ResendTransactionele e-mail<VERIFIEER REGIO>
CloudflareDNS, statische marketingsite, DDoS-mitigatieWereldwijd edge-netwerk
Tikkie / ABN AMRO (interim)BetalingsverwerkingNederland / EU
Mollie (na 50+ teams)BetalingsverwerkingEU (Nederland)
Plausible Analytics (optioneel)Anonieme analytics op marketingsiteEU (Duitsland)

Een actuele lijst is beschikbaar op <DOMEIN>/dpa/subprocessors.

7. Audits en informatieverzoeken

7.1 Audit

De Klant heeft het recht om eenmaal per kalenderjaar (en vaker indien aanleiding bestaat na een datalek of vermoeden van inbreuk) een audit uit te voeren naar de naleving van deze DPA, op eigen kosten.

7.2 Praktische invulling

Audits worden uitgevoerd:

  • Met ten minste 30 dagen vooraankondiging
  • Tijdens reguliere werktijden, op een wijze die de bedrijfsvoering van de Verwerker niet onredelijk verstoort
  • Indien gewenst door een onafhankelijke derde-auditor met geheimhoudingsplicht

7.3 Documentatie als alternatief

De Verwerker kan, in plaats van een fysieke audit, bestaande certificeringen (zoals ISO 27001 van Microsoft Azure) of schriftelijke vragenlijsten aanleveren. Dit ontslaat de Klant niet van het auditrecht, maar kan in onderling overleg een audit overbodig maken.

8. Doorgifte buiten de EER

De Verwerker geeft persoonsgegevens niet door buiten de EER zonder dat een geldige doorgiftegrond bestaat (adequaatheidsbesluit, Standaardcontractbepalingen, of een uitzondering uit artikel 49 AVG).

Cloudflare’s wereldwijde edge-netwerk kan tijdelijk statische marketinginhoud cachen op locaties buiten de EER. Dit betreft geen persoonsgegevens van betrokkenen die de Dienst gebruiken.

9. Aansprakelijkheid

De aansprakelijkheid van Partijen voor schade voortvloeiend uit deze DPA is beperkt tot het bedrag zoals vastgelegd in de Hoofdovereenkomst, met dien verstande dat:

  • Voor schade als gevolg van een toerekenbare tekortkoming in de naleving van de AVG door de Verwerker geldt een hoger maximum van € 1.000 per gebeurtenis, dan wel het in de Hoofdovereenkomst overeengekomen jaarbedrag, indien hoger
  • Aansprakelijkheid voor opzet of bewuste roekeloosheid van een Partij of haar leidinggevenden is niet beperkt
  • Wettelijk dwingende aansprakelijkheid (zoals onder artikel 82 AVG voor materiële en immateriële schade van betrokkenen) blijft onverlet

10. Slotbepalingen

10.1 Wijzigingen

Wijzigingen op deze DPA zijn alleen geldig indien schriftelijk overeengekomen tussen Partijen.

10.2 Toepasselijk recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden bij voorkeur in onderling overleg opgelost; bij gebreke daarvan is de rechtbank <ARRONDISSEMENT> bij uitsluiting bevoegd.

10.3 Strijdigheid

Bij strijdigheid tussen deze DPA en de Privacyverklaring, Algemene Voorwaarden of de Hoofdovereenkomst, prevaleert deze DPA voor zaken die de verwerking van persoonsgegevens betreffen.

10.4 Ondertekening

Deze DPA wordt door beide Partijen elektronisch of fysiek ondertekend. Een gescande, getekende kopie heeft dezelfde rechtskracht als een origineel.

Ondertekening

Klant (Verwerkingsverantwoordelijke):

Naam: ________________________________ Functie: ______________________________ Datum: _______________________________ Handtekening: ________________________

Verwerker (Eerlijke Corvee):

Naam: ________________________________ Functie: ______________________________ Datum: _______________________________ Handtekening: ________________________

Versie: 0.1 (draft) Laatst bijgewerkt: 2026-05-02