Verwerkersovereenkomst

Laatst bijgewerkt: 2 juli 2026

Dit is de verwerkersovereenkomst op grond van artikel 28 AVG, die de verplichte onderdelen met volledige operationele bepalingen dekt. Zij vormt geen juridisch advies; een laatste toetsing aan je concrete omstandigheden vóór ingebruikname is raadzaam. De overeenkomst is opgesteld om door verwijzing te worden opgenomen in de gebruiksvoorwaarden van de Dienst en bindend te worden zodra de klant deze voorwaarden aanvaardt.

Deze verwerkersovereenkomst (”Overeenkomst”) maakt deel uit van de gebruiksvoorwaarden van de Dienst tussen SDHC AS, organisatienummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noorwegen (”Verwerker”, ”wij”) en de klant die de voorwaarden aanvaardt (”Verwerkingsverantwoordelijke”, ”jij”). Zij regelt onze verwerking van persoonsgegevens die zijn vervat in de inhoud die je naar de Dienst uploadt, en is van toepassing waar en voor zover de AVG op die verwerking van toepassing is.

Waar deze Overeenkomst in strijd is met de gebruiksvoorwaarden van de Dienst voor wat betreft de verwerking van persoonsgegevens, prevaleert deze Overeenkomst.

Met een hoofdletter geschreven termen die in deze Overeenkomst worden gebruikt maar er niet in zijn gedefinieerd, hebben de betekenis die daaraan in de gebruiksvoorwaarden van de Dienst is toegekend.


1. Rollen van de partijen

Voor de persoonsgegevens die in je inhoud zijn vervat (met inbegrip van beelden die identificeerbare personen en voertuigen kunnen tonen), ben jij Verwerkingsverantwoordelijke en is SDHC Verwerker. Jij bepaalt de doeleinden en middelen van die verwerking; SDHC verwerkt de gegevens uitsluitend namens jou.

(Voor account-, abonnements-, facturatie- en website-analysegegevens is SDHC zelfstandig verwerkingsverantwoordelijke, zoals beschreven in het privacybeleid; deze gegevens vallen niet onder deze Overeenkomst.)


2. Onderwerp, duur, aard en doel


3. Soorten persoonsgegevens en categorieën van betrokkenen

Je mag niet bewust bijzondere persoonsgegevens (artikel 9 AVG) uploaden of de Dienst gebruiken om dergelijke gegevens stelselmatig te verwerken, tenzij afzonderlijk en schriftelijk anders is overeengekomen. Onze geautomatiseerde ”mens aanwezig”-detectie identificeert geen personen en is niet bedoeld om biometrische of andere bijzondere persoonsgegevens te verwerken.


4. Instructies en verplichtingen van de Verwerkingsverantwoordelijke

Wij verwerken persoonsgegevens uitsluitend volgens jouw gedocumenteerde instructies, met inbegrip van die welke in deze Overeenkomst en in je gebruik van de functies van de Dienst zijn vastgelegd, tenzij wij op grond van Noors of EER-recht verplicht zijn te handelen (in welk geval wij je informeren, tenzij dit wettelijk verboden is).

Je garandeert dat: (a) je een geldige rechtsgrond hebt voor de verwerking die je opdraagt; (b) je hebt voldaan aan alle toepasselijke informatie-, aanduidings- en toestemmingsverplichtingen jegens de vastgelegde personen; en (c) je instructies in overeenstemming zijn met het toepasselijke recht. Je bent verantwoordelijk voor de rechtmatigheid van de persoonsgegevens en instructies die je verstrekt.

Als wij vaststellen dat een instructie de AVG of andere toepasselijke gegevensbeschermingswetgeving schendt, informeren wij je daarover.


5. Vertrouwelijkheid

Wij zorgen ervoor dat de personen die gemachtigd zijn de persoonsgegevens te verwerken, gebonden zijn aan een passende geheimhoudingsplicht en op de hoogte zijn gesteld van de vertrouwelijke aard van de gegevens.


6. Beveiliging

Rekening houdend met de stand van de techniek, de kosten en de aard, de omvang, de context en de doeleinden van de verwerking, treffen wij passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG), naargelang de omstandigheden met inbegrip van:

Wij toetsen deze maatregelen met regelmatige tussenpozen en werken ze zo nodig bij. Een actueel overzicht is op verzoek beschikbaar.


7. Subverwerkers

Je verleent een algemene machtiging om subverwerkers in te schakelen voor de levering van de Dienst. Wij maken momenteel gebruik van:

SubverwerkerRolLocatie
Hosting.comHosting / infrastructuurDuitsland (EER)
Cloudflare, Inc.DNS, CDN en beveiligingVerenigde Staten
Mapbox, Inc.Interactieve kaart (tegels/stijlen/lettertypen)Verenigde Staten
Paddle.com Market LimitedBetaalverwerking (Merchant of Record)Verenigd Koninkrijk

Wij leggen elke subverwerker gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan die in deze Overeenkomst. Wij informeren je ten minste 30 dagen van tevoren over elke voorgenomen toevoeging of vervanging van een subverwerker. Gedurende die periode kun je op redelijke gegevensbeschermingsgronden bezwaar maken; als wij je bezwaar niet kunnen honoreren, kun je als rechtsmiddel het betreffende deel van de Dienst opzeggen.


8. Bijstand aan de Verwerkingsverantwoordelijke

Rekening houdend met de aard van de verwerking, verlenen wij je bijstand door middel van passende technische en organisatorische maatregelen en voor zover mogelijk:

Als wij rechtstreeks een verzoek van een betrokkene met betrekking tot je inhoud ontvangen, beantwoorden wij dit niet zelf (behalve om het passend door te verwijzen) en sturen wij het zonder onredelijke vertraging aan je door.


9. Inbreuk in verband met persoonsgegevens

Wij stellen je zonder onredelijke vertraging in kennis nadat wij kennis hebben gekregen van een inbreuk in verband met persoonsgegevens die betrekking heeft op onder deze Overeenkomst verwerkte persoonsgegevens, en verstrekken de informatie die redelijkerwijs voor ons beschikbaar is om je te helpen je meldingsverplichtingen jegens Datatilsynet (artikel 33) en, waar vereist, jegens de betrokken personen (artikel 34) na te komen. De melding van een inbreuk vormt geen erkenning van aansprakelijkheid.


10. Wissing of teruggave van gegevens

Bij beëindiging van de Dienst of op je verzoek zullen wij alle namens jou verwerkte persoonsgegevens wissen of teruggeven en bestaande kopieën binnen 30 dagen wissen, tenzij Noors of EER-recht bewaring vereist. Je kunt je beelden en bijbehorende gegevens in de Dienst op elk moment wissen. Op een vóór de wissing ingediend verzoek geven wij je de gegevens terug in een gangbaar, machineleesbaar formaat.


11. Audit en informatie

Wij stellen je de informatie ter beschikking die redelijkerwijs nodig is om de naleving van artikel 28 AVG aan te tonen, en maken audits — met inbegrip van inspecties — mogelijk die door jou of een door jou gemachtigde auditor worden uitgevoerd en dragen daaraan bij. Wij reageren binnen 30 dagen op een redelijk schriftelijk auditverzoek, ten hoogste eenmaal per periode van 12 maanden (tenzij vereist door een toezichthoudende autoriteit of naar aanleiding van een inbreuk in verband met persoonsgegevens), onder voorbehoud van een vooraankondiging van ten minste 14 dagen, redelijke geheimhoudingstoezeggingen en het beginsel dat elke partij haar eigen kosten draagt. Audits mogen onze werkzaamheden niet op onredelijke wijze verstoren en de vertrouwelijkheid of beveiliging van de gegevens van andere klanten niet in gevaar brengen.


12. Internationale doorgiften

Persoonsgegevens onder deze Overeenkomst worden binnen de EER (Duitsland) gehost. Waar een subverwerker zich buiten de EER bevindt (zie onderdeel 7):

Wij geven persoonsgegevens uitsluitend onder dergelijke waarborgen buiten de EER door.


13. Algemene bepalingen

Deze Overeenkomst wordt beheerst door het recht van Noorwegen. Indien een bepaling ongeldig wordt bevonden, blijven de overige bepalingen van kracht. In geval van strijd met de gebruiksvoorwaarden van de Dienst voor wat betreft de verwerking van persoonsgegevens, prevaleert deze Overeenkomst.

SDHC AS — organisatienummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noorwegen — [email protected]