Verwerkersovereenkomst
Laatst bijgewerkt: 19-05-2026
Deze Verwerkersovereenkomst is de leidende Nederlandstalige versie. Een Engelse vertaling is beschikbaar ter informatie; bij verschil tussen versies prevaleert de Nederlandse tekst.
Partijen
Deze Verwerkersovereenkomst (hierna: VWO) wordt gesloten tussen:
- Incredible Good Guys BV, gevestigd te Prinses Catharina-Amaliastraat 32, 2496 XD Den Haag, KvK 94229694 (hierna: Verwerker of GeoMap); en
- De Klant zoals geïdentificeerd in de Hoofdovereenkomst (hierna: Verwerkingsverantwoordelijke of Klant).
Toelichting en activering
Op dit moment biedt GeoMap geen functionaliteit waarmee de Klant zelf persoonsgegevens in het Platform uploadt. Deze VWO is bedoeld als toekomstgerichte sjabloon en wordt automatisch onderdeel van de Hoofdovereenkomst zodra (i) GeoMap functionaliteit voor klantuploads van persoonsgegevens beschikbaar stelt en de Klant daarvan gebruikmaakt, of (ii) GeoMap anderszins persoonsgegevens namens de Klant verwerkt. Tot dat moment fungeert deze VWO als afspraak op afroep en activeren partijen haar door schriftelijke bevestiging.
Begripsbepalingen
- AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
- Persoonsgegevens, Betrokkene, Verwerking, Subverwerker en Datalek hebben de betekenis zoals omschreven in de AVG.
- Hoofdovereenkomst: de Algemene Voorwaarden en eventuele aanvullende afspraken tussen partijen.
- Verwerkingsinstructies: de instructies omschreven in Bijlage 1 alsmede schriftelijke aanvullende instructies van de Verwerkingsverantwoordelijke binnen de reikwijdte van de Dienst.
1. Onderwerp en duur
1.1 Deze VWO regelt de Verwerking van Persoonsgegevens door GeoMap als Verwerker namens de Klant als Verwerkingsverantwoordelijke, in het kader van het gebruik van het Platform.
1.2 De duur van deze VWO is gelijk aan de duur van de Hoofdovereenkomst.
2. Aard, doel en categorieën
Aard, doel, soort Persoonsgegevens en categorieën van Betrokkenen zijn beschreven in Bijlage 1.
3. Instructies
3.1 GeoMap verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, behalve indien een wettelijke verplichting anders bepaalt; in dat geval informeert GeoMap de Klant voorafgaand, tenzij die wet die kennisgeving verbiedt.
3.2 GeoMap stelt de Klant onmiddellijk in kennis indien een instructie naar zijn mening in strijd is met de AVG of andere gegevensbeschermingswetgeving.
4. Beveiliging
4.1 GeoMap neemt passende technische en organisatorische maatregelen zoals beschreven in Bijlage 2, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de Verwerking alsmede de risico's voor de rechten en vrijheden van Betrokkenen.
5. Geheimhouding
GeoMap zorgt ervoor dat tot Verwerking gemachtigde personen zich tot vertrouwelijkheid hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben.
6. Subverwerkers
6.1 De Klant verleent GeoMap algemene toestemming voor het inschakelen van de Subverwerkers genoemd in Bijlage 3. GeoMap legt deze Subverwerkers ten minste dezelfde gegevensbeschermingsverplichtingen op als in deze VWO.
6.2 GeoMap informeert de Klant over voorgenomen wijzigingen in de lijst van Subverwerkers. De Klant kan binnen 30 dagen schriftelijk gemotiveerd bezwaar maken; partijen treden alsdan in overleg.
7. Rechten van Betrokkenen
GeoMap verleent de Klant alle redelijke medewerking, voor zover mogelijk, bij het beantwoorden van verzoeken van Betrokkenen tot uitoefening van hun rechten onder de AVG.
8. Bijstand bij verplichtingen
GeoMap verleent de Klant redelijke bijstand bij het nakomen van zijn verplichtingen onder de artikelen 32 t/m 36 AVG, rekening houdend met de aard van de Verwerking en de aan GeoMap ter beschikking staande informatie.
9. Datalekken
9.1 GeoMap stelt de Klant zonder onredelijke vertraging, doch uiterlijk binnen 48 uur na ontdekking, schriftelijk in kennis van een Datalek dat Persoonsgegevens van de Klant betreft.
9.2 De melding bevat ten minste de informatie zoals bedoeld in artikel 33 lid 3 AVG, voor zover beschikbaar.
9.3 GeoMap neemt redelijke maatregelen om het Datalek te beperken en herhaling te voorkomen.
10. Doorgifte buiten de EER
10.1 GeoMap geeft Persoonsgegevens in beginsel niet door buiten de EER. Voor zover een Subverwerker is gevestigd buiten de EER of doorgifte plaatsvindt naar een derde land, zal dit uitsluitend gebeuren met passende waarborgen, in het bijzonder de Standaardcontractsbepalingen van de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914), die als Bijlage 4 zijn opgenomen.
11. Audit
11.1 GeoMap stelt de Klant op redelijk verzoek de informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen onder artikel 28 AVG worden nagekomen.
11.2 Audits worden vooraf schriftelijk aangekondigd, vinden ten hoogste eenmaal per jaar plaats (behoudens bij een aanwijzing van een tekortkoming of na een Datalek), worden uitgevoerd tijdens kantooruren en op een wijze die de bedrijfsvoering van GeoMap niet onevenredig verstoort. Kosten van een audit komen voor rekening van de Klant, tenzij uit de audit een wezenlijke tekortkoming van GeoMap blijkt.
12. Beëindiging en teruggave
Bij beëindiging van de Hoofdovereenkomst zal GeoMap, ter keuze van de Klant, alle Persoonsgegevens teruggeven of verwijderen, behoudens wettelijke bewaarverplichtingen. GeoMap bevestigt verwijdering desgevraagd schriftelijk.
13. Aansprakelijkheid
De aansprakelijkheid van GeoMap onder deze VWO is onderworpen aan de aansprakelijkheidsbeperkingen in de Hoofdovereenkomst, met inachtneming van de dwingende bepalingen van de AVG.
14. Slotbepalingen
14.1 Bij strijdigheid tussen deze VWO en de Hoofdovereenkomst prevaleert deze VWO ten aanzien van Verwerkingen van Persoonsgegevens.
14.2 Op deze VWO is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Den Haag.
15. Ondertekening
Deze VWO wordt geacht door de Klant te zijn aanvaard en ondertekend door aanvaarding van de Hoofdovereenkomst en/of door eerste gebruik van functionaliteit waarbij GeoMap Persoonsgegevens namens de Klant verwerkt. Een aparte fysieke handtekening is niet vereist; een digitale aanvaarding (waaronder via DocuSign of klik-acceptatie) is rechtsgeldig.
Bijlage 1 — Onderwerp, aard en categorieën
Onderwerp van de Verwerking
[Bijvoorbeeld: hosting, opslag, en weergave van klantgegevens binnen het Platform]
Aard en doel
[Bijvoorbeeld: levering van het GeoMap-platform en bijbehorende functionaliteiten]
Categorieën Persoonsgegevens
[Bijvoorbeeld: NAW-gegevens, contactgegevens, projectgegevens, accountgegevens]
Categorieën Betrokkenen
[Bijvoorbeeld: medewerkers, contactpersonen, eindklanten van de Klant]
Bewaartermijn
Conform de Privacyverklaring en/of zoals overeengekomen in de Hoofdovereenkomst
Bijlage 2 — Technische en organisatorische maatregelen
- Versleuteling in transit (TLS 1.2 of hoger) en versleuteling at rest voor databases.
- Toegangsbeheer op basis van least privilege; rolgebaseerde rechten; logging van toegang.
- Beveiligde authenticatie; wachtwoorden uitsluitend in gehashte vorm opgeslagen.
- Periodieke back-ups en getest herstelproces.
- Foutmonitoring en logging (Sentry) met passende minimalisering.
- Patch- en kwetsbaarhedenbeheer.
- Hosting in de EU (Vercel/Supabase op AWS Frankfurt).
- Geheimhoudings- en bewustwordingsverplichtingen voor medewerkers.
- Procedure voor datalekken met meldtermijn van 48 uur richting de Klant.
Bijlage 3 — Subverwerkers
| Subverwerker | Doel | Locatie |
|---|---|---|
| Vercel Inc. | Hosting frontend | EU (Frankfurt) |
| Supabase Inc. | Database en authenticatie | EU (Frankfurt, op AWS) |
| Amazon Web Services EMEA SARL | Onderliggende cloudinfrastructuur | EU (Frankfurt) |
| Stripe Payments Europe Ltd. | Betaalverwerking en facturatie | EU (Ierland) |
| Resend, Inc. | Transactionele e-mail | EU/VS — onder SCC |
| Intuit Mailchimp | Marketingcommunicatie (alleen bij opt-in) | VS — onder SCC |
| Google Ireland Ltd. (GA4) | Webanalyse, geanonimiseerd | EU |
| Hotjar Ltd. | Geanonimiseerd gedragsonderzoek | EU (Malta) |
| Functional Software, Inc. (Sentry) | Foutmonitoring | EU-region |
Bijlage 4 — Standaardcontractsbepalingen (SCC) — fallback
Deze bijlage is van toepassing voor zover een Subverwerker of doorgifte van Persoonsgegevens valt buiten de Europese Economische Ruimte zonder dat sprake is van een adequaatheidsbesluit van de Europese Commissie. In dat geval gelden tussen GeoMap (als gegevensexporteur of importeur) en de betreffende Subverwerker de Standaardcontractsbepalingen die zijn vastgesteld door de Europese Commissie in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021. De relevante modules worden gekozen op basis van de hoedanigheid van partijen (controller-to-processor of processor-to-processor).
Op het moment van vaststelling van deze VWO worden geen Persoonsgegevens van Klanten structureel buiten de EER verwerkt. Deze bijlage geldt als fallback voor toekomstige situaties.
De partijen komen overeen dat de volgende elementen van toepassing zijn op het moment dat de SCC worden geactiveerd:
- Module: te bepalen op basis van de feitelijke rollen (typisch Module 3: processor-to-processor).
- Clausule 7 (Docking): wordt opgenomen.
- Clausule 9 (Subverwerkers): optie 2 — algemene schriftelijke toestemming met 30 dagen kennisgevingstermijn.
- Clausule 11 (Geschillen): klacht bij toezichthouder Autoriteit Persoonsgegevens.
- Clausule 17 (Toepasselijk recht): Nederlands recht.
- Clausule 18 (Bevoegde rechter): rechtbank Den Haag.
- Bijlage I, II en III bij de SCC: corresponderen met respectievelijk Bijlage 1, 2 en 3 van deze VWO.