Deze overeenkomst maakt automatisch deel uit van de Algemene voorwaarden zodra het reisbureau de Diensten in gebruik neemt. Een aparte ondertekening is niet vereist; door gebruik te maken van het Dashboard accepteert het reisbureau deze overeenkomst.
Artikel 1 — Partijen en rollen
- Verwerker: Reis Nood Contact, Willemspoort 314, 5223 WX \'s-Hertogenbosch, Nederland, KvK 80068359.
- Verwerkingsverantwoordelijke: het reisbureau dat een overeenkomst heeft gesloten met Verwerker en dat persoonsgegevens van zijn reizigers laat verwerken via de Diensten.
Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Verwerker voert de verwerking uit volgens schriftelijke instructies van Verwerkingsverantwoordelijke (deze overeenkomst is zo'n schriftelijke instructie).
Artikel 2 — Onderwerp van de verwerking
Verwerker verwerkt namens Verwerkingsverantwoordelijke persoonsgegevens van Reizigers met als enig doel het mogelijk maken van VoIP-gesprekken en het bijhouden van metadata daarvan voor Verwerkingsverantwoordelijke.
Artikel 3 — Categorieën van persoonsgegevens en betrokkenen
Betrokkenen
- Reizigers / klanten van het reisbureau die de App gebruiken.
Gegevenscategorieën
- Voornaam / vriendelijke naam (zoals door Verwerkingsverantwoordelijke ingevoerd).
- Geboortedatum (gebruikt voor authenticatie).
- Toegekende toegangscode.
- Telefoonnummers waarheen wordt gebeld.
- Belmetadata: tijdstip, duur, status en bestemming van gesprekken.
- Tijdelijk: IP-adres tijdens inloggen (voor rate-limiting).
Geen audio-opnames van gesprekken. Geen gevoelige bijzondere persoonsgegevens.
Artikel 4 — Verwerkingsdoeleinden
- Het opzetten en routeren van VoIP-gesprekken.
- Het bijhouden van een belgeschiedenis voor Verwerkingsverantwoordelijke.
- Facturatie van de Diensten aan Verwerkingsverantwoordelijke.
- Beveiligingsmaatregelen (rate-limiting, fraudedetectie).
Artikel 5 — Beveiligingsmaatregelen
Verwerker neemt minimaal de volgende technische en organisatorische maatregelen:
- Versleutelde verbindingen (HTTPS / TLS 1.2+).
- End-to-end versleutelde gesprekken (DTLS-SRTP via WebRTC).
- Gehashte opslag van wachtwoorden (bcrypt of vergelijkbaar).
- HMAC-SHA256 ondertekende sessietokens met korte geldigheidsduur.
- Toegang tot productie beperkt tot bevoegd personeel met multifactor-authenticatie.
- Logging van toegang tot persoonsgegevens.
- Reguliere security-updates van software en dependencies.
- Backup-strategie met versleutelde back-ups en getest herstel.
Artikel 6 — Subverwerkers
Verwerker mag voor de uitvoering van de Diensten gebruik maken van subverwerkers. De huidige lijst is:
| Subverwerker | Functie | Locatie | Beveiligingsbasis |
|---|---|---|---|
| Twilio Inc. | VoIP-gespreksrouting | Verenigde Staten | EU-US Data Privacy Framework + SCC's |
| Hosting partij (EU) | Webhosting en database | Europese Unie | AVG van toepassing |
Verwerker informeert Verwerkingsverantwoordelijke schriftelijk minimaal 30 dagen vooraf bij wijziging of toevoeging van een subverwerker. Verwerkingsverantwoordelijke heeft dan het recht de overeenkomst op te zeggen indien hij gegronde bezwaren heeft.
Artikel 7 — Doorgifte buiten de EER
Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte vindt alleen plaats met een passend beschermingsniveau (adequaatheidsbesluit, Standard Contractual Clauses, of een vergelijkbaar mechanisme). De doorgifte naar Twilio Inc. (VS) gebeurt op basis van het EU-US Data Privacy Framework.
Artikel 8 — Geheimhouding
Verwerker zorgt dat personen die toegang hebben tot persoonsgegevens een geheimhoudingsplicht hebben, hetzij contractueel, hetzij wettelijk.
Artikel 9 — Verzoeken van betrokkenen
Wanneer een Reiziger zich rechtstreeks tot Verwerker wendt met een verzoek (bijvoorbeeld inzage, correctie, verwijdering), zal Verwerker dit verzoek doorsturen naar Verwerkingsverantwoordelijke en hem ondersteunen bij de afhandeling.
Artikel 10 — Datalekken
Verwerker meldt een datalek met betrekking tot de persoonsgegevens van Verwerkingsverantwoordelijke zonder onnodige vertraging, maar uiterlijk binnen 48 uur na ontdekking, schriftelijk aan Verwerkingsverantwoordelijke. De melding bevat in elk geval:
- Aard van het datalek en aantal getroffen betrokkenen.
- Mogelijke gevolgen.
- Genomen of voorgestelde maatregelen.
- Contactgegevens van de functionaris voor gegevensbescherming of contactpersoon.
Artikel 11 — Audits
Verwerkingsverantwoordelijke heeft het recht maximaal eenmaal per jaar een audit uit te laten voeren door een onafhankelijke deskundige, op eigen kosten, om de naleving van deze overeenkomst te controleren. De audit wordt minimaal 30 dagen vooraf aangekondigd en mag de bedrijfsvoering van Verwerker niet onnodig verstoren.
Artikel 12 — Beëindiging
Bij beëindiging van de hoofdovereenkomst:
- Worden alle persoonsgegevens binnen 60 dagen gewist of geanonimiseerd, behalve gegevens die Verwerker wettelijk moet bewaren (bijvoorbeeld facturen — 7 jaar fiscaal).
- Op verzoek levert Verwerker een export van het belgespreksoverzicht in CSV-formaat.
Artikel 13 — Aansprakelijkheid en boete
Voor aansprakelijkheid gelden de bepalingen van de Algemene voorwaarden van Verwerker, met inachtneming van artikel 82 AVG. Bij toerekenbare schending van deze overeenkomst kan Verwerkingsverantwoordelijke schadevergoeding vorderen volgens de regels van het Burgerlijk Wetboek en de AVG.
Artikel 14 — Toepasselijk recht
Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd.
Vragen of een aangepaste DPA op papier nodig? Mail patrick@reisnoodcontact.nl. Wij sturen op verzoek een ondertekende PDF-versie.