Juridisch

Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 14 mei 2026

Deze pagina vat onze standaard verwerkersovereenkomst (Data Processing Agreement, DPA) samen op grond van artikel 28 AVG. Als opdrachtgever (verwerkingsverantwoordelijke) en The Agency CRM (verwerker) gegevens uitwisselen, gelden de onderstaande voorwaarden naast onze algemene voorwaarden.

Vraag een getekende DPA aan Privacybeleid

1. Onderwerp en duur

The Agency CRM verwerkt persoonsgegevens uitsluitend in opdracht van de opdrachtgever en alleen voor zover dat nodig is om de overeengekomen diensten te leveren (matchmaking tussen merken en bureaus, projectcommunicatie en facturatie). De verwerking start zodra u een account aanmaakt en eindigt zodra het account wordt opgezegd, met de in artikel 7 genoemde bewaartermijn.

2. Soort gegevens en categorieën betrokkenen

Contactgegevens van medewerkers van de opdrachtgever (naam, e-mail, telefoonnummer).
Projectinhoud die u of bureaus uploaden (briefings, offertes, communicatie).
Betaalgegevens (alleen verwerkt door Stripe, wij zien geen kaartnummers).

3. Verplichtingen van The Agency CRM

Wij verwerken gegevens uitsluitend op gedocumenteerde instructie van de opdrachtgever, behoudens een wettelijke verplichting.
Iedereen die bij ons toegang heeft tot uw gegevens is gebonden aan geheimhouding.
We passen de in artikel 32 AVG voorgeschreven beveiligingsmaatregelen toe. Zie /security voor details.
Bij een datalek informeren wij u zonder onredelijke vertraging, en in elk geval binnen 48 uur.

4. Subverwerkers

We schakelen onderstaande subverwerkers in. U gaat hiermee akkoord bij het aangaan van deze DPA. Substantiële wijzigingen kondigen we 30 dagen vooraf aan, met de mogelijkheid om de overeenkomst op te zeggen als u bezwaar maakt.

Subverwerker	Doel	Locatie	DPA
Coolify (selfhosted)	Applicatie-hosting (API + databases)	Finland (Hetzner)	link
Vercel Inc.	Storefront hosting + CDN	Verenigde Staten / EU edge	link
Resend	Transactionele e-mail (login, wachtwoord-reset)	Verenigde Staten	link
Stripe Payments Europe Ltd.	Betalingsverwerking (abonnementen, eenmalige betalingen)	Ierland	link

5. Doorgifte buiten de EER

Voor doorgifte naar de Verenigde Staten (Vercel, Resend) vertrouwen we op de standaardcontractbepalingen van de Europese Commissie van 4 juni 2021 en, waar van toepassing, het EU-US Data Privacy Framework. Voor doorgifte binnen de EER zijn geen aanvullende waarborgen nodig.

6. Hulp bij verzoeken van betrokkenen

Krijgt u een verzoek tot inzage, correctie of verwijdering van een betrokkene, dan helpen wij u met technische en organisatorische middelen om binnen de wettelijke termijn van een maand te reageren. Wij brengen hier geen extra kosten voor in rekening.

7. Bewaartermijn en teruggave

Na opzegging bewaren wij de data nog 90 dagen voor herstelmogelijkheid. Daarna worden ze definitief verwijderd, behalve gegevens waarvoor een wettelijke bewaarplicht geldt (zoals fiscale gegevens, 7 jaar). Op verzoek leveren we voor verwijdering een geëncrypteerde export aan in JSON-formaat.

8. Audits

De opdrachtgever mag eenmaal per kalenderjaar, op redelijke termijn en op eigen kosten, een audit (laten) uitvoeren naar onze naleving van deze DPA. Wij delen op verzoek onze SOC 2-rapportages en pen-test samenvattingen om audits zo licht mogelijk te houden.

9. Aansprakelijkheid

De aansprakelijkheid uit hoofde van deze DPA volgt de aansprakelijkheidsbepalingen in onze algemene voorwaarden. Niets in deze DPA ontslaat een partij van zijn directe verplichtingen onder de AVG.

Een ondertekende kopie nodig?

Stuur ons een mail op privacy@theagencycrm.nl met uw bedrijfsgegevens en de naam van de tekenbevoegde. U ontvangt binnen twee werkdagen een DocuSign-link.