Verwerkersovereenkomst
Laatst bijgewerkt: 2 juli 2026
Dit is de verwerkersovereenkomst op grond van artikel 28 AVG, die de verplichte onderdelen met volledige operationele bepalingen dekt. Zij vormt geen juridisch advies; een laatste toetsing aan je concrete omstandigheden vóór ingebruikname is raadzaam. De overeenkomst is opgesteld om door verwijzing te worden opgenomen in de gebruiksvoorwaarden van de Dienst en bindend te worden zodra de klant deze voorwaarden aanvaardt.
Deze verwerkersovereenkomst (”Overeenkomst”) maakt deel uit van de gebruiksvoorwaarden van de Dienst tussen SDHC AS, organisatienummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noorwegen (”Verwerker”, ”wij”) en de klant die de voorwaarden aanvaardt (”Verwerkingsverantwoordelijke”, ”jij”). Zij regelt onze verwerking van persoonsgegevens die zijn vervat in de inhoud die je naar de Dienst uploadt, en is van toepassing waar en voor zover de AVG op die verwerking van toepassing is.
Waar deze Overeenkomst in strijd is met de gebruiksvoorwaarden van de Dienst voor wat betreft de verwerking van persoonsgegevens, prevaleert deze Overeenkomst.
Met een hoofdletter geschreven termen die in deze Overeenkomst worden gebruikt maar er niet in zijn gedefinieerd, hebben de betekenis die daaraan in de gebruiksvoorwaarden van de Dienst is toegekend.
1. Rollen van de partijen
Voor de persoonsgegevens die in je inhoud zijn vervat (met inbegrip van beelden die identificeerbare personen en voertuigen kunnen tonen), ben jij Verwerkingsverantwoordelijke en is SDHC Verwerker. Jij bepaalt de doeleinden en middelen van die verwerking; SDHC verwerkt de gegevens uitsluitend namens jou.
(Voor account-, abonnements-, facturatie- en website-analysegegevens is SDHC zelfstandig verwerkingsverantwoordelijke, zoals beschreven in het privacybeleid; deze gegevens vallen niet onder deze Overeenkomst.)
2. Onderwerp, duur, aard en doel
- Onderwerp: de verwerking van persoonsgegevens die zijn vervat in de beelden en bijbehorende inhoud die je naar de Dienst uploadt.
- Duur: voor de duur van het abonnement en tot de wissing of teruggave van de gegevens overeenkomstig onderdeel 10.
- Aard en doel: het hosten, opslaan, ordenen en geautomatiseerd analyseren (classificatie van wild en detectie van de aanwezigheid van mensen/voertuigen) van de geüploade inhoud, alsmede het beschikbaar stellen van de resultaten aan jou en de teamleden aan wie je toegang verleent.
3. Soorten persoonsgegevens en categorieën van betrokkenen
- Soorten persoonsgegevens: beelden die identificeerbare personen en voertuigen kunnen bevatten; locatiecoördinaten van de camera; metagegevens van de beelden (datum, tijd, cameranaam, cameramerk); resultaten van geautomatiseerde detectie.
- Categorieën van betrokkenen: personen die toevallig door je camera's worden vastgelegd (bijvoorbeeld voorbijgangers, bezoekers of anderen binnen het bereik van de camera).
Je mag niet bewust bijzondere persoonsgegevens (artikel 9 AVG) uploaden of de Dienst gebruiken om dergelijke gegevens stelselmatig te verwerken, tenzij afzonderlijk en schriftelijk anders is overeengekomen. Onze geautomatiseerde ”mens aanwezig”-detectie identificeert geen personen en is niet bedoeld om biometrische of andere bijzondere persoonsgegevens te verwerken.
4. Instructies en verplichtingen van de Verwerkingsverantwoordelijke
Wij verwerken persoonsgegevens uitsluitend volgens jouw gedocumenteerde instructies, met inbegrip van die welke in deze Overeenkomst en in je gebruik van de functies van de Dienst zijn vastgelegd, tenzij wij op grond van Noors of EER-recht verplicht zijn te handelen (in welk geval wij je informeren, tenzij dit wettelijk verboden is).
Je garandeert dat: (a) je een geldige rechtsgrond hebt voor de verwerking die je opdraagt; (b) je hebt voldaan aan alle toepasselijke informatie-, aanduidings- en toestemmingsverplichtingen jegens de vastgelegde personen; en (c) je instructies in overeenstemming zijn met het toepasselijke recht. Je bent verantwoordelijk voor de rechtmatigheid van de persoonsgegevens en instructies die je verstrekt.
Als wij vaststellen dat een instructie de AVG of andere toepasselijke gegevensbeschermingswetgeving schendt, informeren wij je daarover.
5. Vertrouwelijkheid
Wij zorgen ervoor dat de personen die gemachtigd zijn de persoonsgegevens te verwerken, gebonden zijn aan een passende geheimhoudingsplicht en op de hoogte zijn gesteld van de vertrouwelijke aard van de gegevens.
6. Beveiliging
Rekening houdend met de stand van de techniek, de kosten en de aard, de omvang, de context en de doeleinden van de verwerking, treffen wij passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG), naargelang de omstandigheden met inbegrip van:
- versleuteling van persoonsgegevens tijdens transport (TLS);
- toegangscontrole, authenticatie en het beginsel van minimale rechten voor personeel en systemen;
- bescherming van sessie-inloggegevens, met inbegrip van het gebruik van de attributen HttpOnly, Secure en SameSite in sessiecookies;
- logische scheiding van klantgegevens, zodat de ene klant geen toegang heeft tot de inhoud van een andere klant;
- beperking van beheerinterfaces (bijvoorbeeld door wachtwoord- en IP-gebaseerde toegangscontrole);
- registratie en monitoring van relevante toegang en gebeurtenissen; en
- maatregelen om de beschikbaarheid van en de toegang tot persoonsgegevens na een fysiek of technisch incident te herstellen (back-ups).
Wij toetsen deze maatregelen met regelmatige tussenpozen en werken ze zo nodig bij. Een actueel overzicht is op verzoek beschikbaar.
7. Subverwerkers
Je verleent een algemene machtiging om subverwerkers in te schakelen voor de levering van de Dienst. Wij maken momenteel gebruik van:
| Subverwerker | Rol | Locatie |
|---|---|---|
| Hosting.com | Hosting / infrastructuur | Duitsland (EER) |
| Cloudflare, Inc. | DNS, CDN en beveiliging | Verenigde Staten |
| Mapbox, Inc. | Interactieve kaart (tegels/stijlen/lettertypen) | Verenigde Staten |
| Paddle.com Market Limited | Betaalverwerking (Merchant of Record) | Verenigd Koninkrijk |
Wij leggen elke subverwerker gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan die in deze Overeenkomst. Wij informeren je ten minste 30 dagen van tevoren over elke voorgenomen toevoeging of vervanging van een subverwerker. Gedurende die periode kun je op redelijke gegevensbeschermingsgronden bezwaar maken; als wij je bezwaar niet kunnen honoreren, kun je als rechtsmiddel het betreffende deel van de Dienst opzeggen.
8. Bijstand aan de Verwerkingsverantwoordelijke
Rekening houdend met de aard van de verwerking, verlenen wij je bijstand door middel van passende technische en organisatorische maatregelen en voor zover mogelijk:
- bij het beantwoorden van verzoeken van betrokkenen die hun rechten uitoefenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). De Dienst stelt je ook in staat geüploade beelden en bijbehorende gegevens zelf te bekijken en te wissen;
- bij het nakomen van je verplichtingen inzake beveiliging (artikel 32), melding van inbreuken (artikelen 33-34) en gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging (artikelen 35-36).
Als wij rechtstreeks een verzoek van een betrokkene met betrekking tot je inhoud ontvangen, beantwoorden wij dit niet zelf (behalve om het passend door te verwijzen) en sturen wij het zonder onredelijke vertraging aan je door.
9. Inbreuk in verband met persoonsgegevens
Wij stellen je zonder onredelijke vertraging in kennis nadat wij kennis hebben gekregen van een inbreuk in verband met persoonsgegevens die betrekking heeft op onder deze Overeenkomst verwerkte persoonsgegevens, en verstrekken de informatie die redelijkerwijs voor ons beschikbaar is om je te helpen je meldingsverplichtingen jegens Datatilsynet (artikel 33) en, waar vereist, jegens de betrokken personen (artikel 34) na te komen. De melding van een inbreuk vormt geen erkenning van aansprakelijkheid.
10. Wissing of teruggave van gegevens
Bij beëindiging van de Dienst of op je verzoek zullen wij alle namens jou verwerkte persoonsgegevens wissen of teruggeven en bestaande kopieën binnen 30 dagen wissen, tenzij Noors of EER-recht bewaring vereist. Je kunt je beelden en bijbehorende gegevens in de Dienst op elk moment wissen. Op een vóór de wissing ingediend verzoek geven wij je de gegevens terug in een gangbaar, machineleesbaar formaat.
11. Audit en informatie
Wij stellen je de informatie ter beschikking die redelijkerwijs nodig is om de naleving van artikel 28 AVG aan te tonen, en maken audits — met inbegrip van inspecties — mogelijk die door jou of een door jou gemachtigde auditor worden uitgevoerd en dragen daaraan bij. Wij reageren binnen 30 dagen op een redelijk schriftelijk auditverzoek, ten hoogste eenmaal per periode van 12 maanden (tenzij vereist door een toezichthoudende autoriteit of naar aanleiding van een inbreuk in verband met persoonsgegevens), onder voorbehoud van een vooraankondiging van ten minste 14 dagen, redelijke geheimhoudingstoezeggingen en het beginsel dat elke partij haar eigen kosten draagt. Audits mogen onze werkzaamheden niet op onredelijke wijze verstoren en de vertrouwelijkheid of beveiliging van de gegevens van andere klanten niet in gevaar brengen.
12. Internationale doorgiften
Persoonsgegevens onder deze Overeenkomst worden binnen de EER (Duitsland) gehost. Waar een subverwerker zich buiten de EER bevindt (zie onderdeel 7):
- vallen doorgiften aan Paddle in het Verenigd Koninkrijk onder het adequaatheidsbesluit van de EER/EU voor het Verenigd Koninkrijk;
- vinden doorgiften aan Cloudflare en Mapbox in de VS plaats volgens een passend, door de AVG erkend doorgiftemechanisme, zoals het EU-VS Data Privacy Framework en/of de modelcontractbepalingen.
Wij geven persoonsgegevens uitsluitend onder dergelijke waarborgen buiten de EER door.
13. Algemene bepalingen
Deze Overeenkomst wordt beheerst door het recht van Noorwegen. Indien een bepaling ongeldig wordt bevonden, blijven de overige bepalingen van kracht. In geval van strijd met de gebruiksvoorwaarden van de Dienst voor wat betreft de verwerking van persoonsgegevens, prevaleert deze Overeenkomst.
SDHC AS — organisatienummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noorwegen — [email protected]