Naar inhoud springen
Upvendo· upvendo.nl

Laatst bijgewerkt: 2026-06-17

The English version of this Data Processing Agreement is the governing version. Translations into Dutch, French and German are provided as a courtesy.

Verwerkersovereenkomst

Laatst bijgewerkt: 17 juni 2026

Partijen

"Upvendo" in deze Verwerkersovereenkomst ("DPA") verwijst naar de juridische entiteit die met de Klant contracteert, bepaald door de plaats van vestiging van de Klant:

  • Upvendo BV (de "EU-entiteit"), een vennootschap naar Belgisch recht met maatschappelijke zetel te Kalvekeetdijk 179, 8300 Knokke-Heist, België, is de contracterende partij voor Klanten gevestigd in de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland.
  • Upvendo, Inc. (de "US-entiteit"), een Delaware corporation met statutaire zetel te 300 Delaware Avenue, Suite 210, Wilmington, DE 19801, Verenigde Staten, is de contracterende partij voor Klanten gevestigd in de Verenigde Staten.
  • Voor Klanten elders gevestigd, is de EU-entiteit de contracterende partij tenzij schriftelijk anders overeengekomen.

Elk wordt in deze DPA aangeduid als "Upvendo" of de "Verwerker" naargelang de entiteit die met de Klant contracteert.

Toepassingsgebied

Deze DPA maakt deel uit van de overeenkomst tussen Upvendo en de klant ("Klant", "Verwerkingsverantwoordelijke") die een abonnement neemt op de diensten van Upvendo (de "Diensten"). Zij regelt de verwerking van persoonsgegevens door Upvendo namens de Klant in verband met de Diensten en maakt integraal deel uit van de hoofdovereenkomst tussen de partijen (de "Overeenkomst").

Door de Overeenkomst te aanvaarden, aanvaardt de Klant deze DPA. Wanneer de Klant gevestigd is in de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland, is deze DPA automatisch van toepassing. Wanneer de Klant elders gevestigd is, is deze DPA van toepassing voor zover Upvendo persoonsgegevens verwerkt die onder de Algemene Verordening Gegevensbescherming 2016/679 ("AVG") of equivalente wetgeving vallen.

1. Definities

De termen in deze DPA hebben de betekenis die de AVG eraan geeft. Zonder daaraan afbreuk te doen:

  • "Persoonsgegevens" betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
  • "Verwerking" heeft de betekenis van artikel 4(2) AVG.
  • "Verwerkingsverantwoordelijke", "Verwerker" en "Sub-verwerker" hebben de betekenis van artikel 4 AVG.
  • "Betrokkene" betekent de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
  • "Inbreuk in verband met persoonsgegevens" heeft de betekenis van artikel 4(12) AVG.
  • "SCC's" betekent de Standaardcontractbepalingen die de Europese Commissie heeft vastgesteld in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.

2. Onderwerp en duur

Upvendo zal Persoonsgegevens namens de Klant verwerken voor de duur van de Overeenkomst en voor zover nodig om de Diensten te leveren. Bij beëindiging van de Overeenkomst blijven de verplichtingen in deze DPA gelden zolang Upvendo Persoonsgegevens van de Klant bewaart.

Het onderwerp, de aard, het doel, de soorten Persoonsgegevens en de categorieën Betrokkenen zijn opgenomen in Bijlage A.

3. Rollen van de partijen

Voor alle Persoonsgegevens die onder de Overeenkomst worden verwerkt, is de Klant de Verwerkingsverantwoordelijke en is Upvendo de Verwerker. De Klant bepaalt de doelen en middelen van de verwerking; Upvendo verwerkt Persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de Klant, waaronder de Overeenkomst, deze DPA en eventuele latere schriftelijke instructies van de Klant.

Upvendo zal de Klant onverwijld informeren indien Upvendo van mening is dat een instructie inbreuk maakt op de toepasselijke gegevensbeschermingswetgeving.

4. Verplichtingen van de Verwerker

Upvendo zal:

  1. Persoonsgegevens uitsluitend verwerken op basis van de gedocumenteerde instructies van de Klant, ook ten aanzien van internationale doorgiftes, tenzij dit door EU- of lidstaatrecht wordt vereist waaraan Upvendo onderworpen is.

  2. Ervoor zorgen dat personen die gemachtigd zijn om de Persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden of door een passende wettelijke geheimhoudingsplicht zijn gebonden.

  3. Alle maatregelen treffen die op grond van artikel 32 AVG vereist zijn (beveiliging van de verwerking), zoals verder beschreven in Bijlage C.

  4. De voorwaarden van artikel 28(2) en (4) AVG eerbiedigen voor het inschakelen van een andere verwerker (Sub-verwerker), zoals verder beschreven in Clausule 6.

  5. De Klant bijstaan bij het vervullen van de verplichtingen van de Klant om verzoeken van Betrokkenen tot uitoefening van hun rechten uit hoofde van hoofdstuk III AVG te beantwoorden, door passende technische en organisatorische maatregelen.

  6. De Klant bijstaan bij het waarborgen van de naleving van artikelen 32 tot en met 36 AVG, ook in verband met de beveiliging van de verwerking, melding van inbreuken, communicatie aan Betrokkenen, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging van toezichthoudende autoriteiten.

  7. Naar keuze van de Klant alle Persoonsgegevens wissen of terugbezorgen aan de Klant na het einde van de dienstverlening, en bestaande kopieën wissen, tenzij EU- of lidstaatrecht opslag vereist. Zie Clausule 11.

  8. De Klant alle informatie ter beschikking stellen die nodig is om de naleving van artikel 28 AVG aan te tonen en audits, met inbegrip van inspecties, mogelijk maken. Zie Clausule 10.

5. Vertrouwelijkheid

Upvendo zal alle Persoonsgegevens strikt vertrouwelijk behandelen. Upvendo zal ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken:

  • toegang hebben op basis van het need-to-know-principe,
  • zich tot vertrouwelijkheid hebben verbonden of door een wettelijke geheimhoudingsplicht gebonden zijn, en
  • opleiding krijgen over de juiste behandeling van Persoonsgegevens en over het beveiligingsbeleid van Upvendo.

Vertrouwelijkheidsverplichtingen blijven van kracht na beëindiging van de Overeenkomst.

6. Sub-verwerkers

De Klant geeft Upvendo een algemene schriftelijke machtiging om Sub-verwerkers in te schakelen voor het verwerken van Persoonsgegevens namens de Klant. De huidige lijst van Sub-verwerkers is opgenomen in Bijlage B.

Upvendo zal:

  1. een schriftelijke overeenkomst sluiten met elke Sub-verwerker waarin gegevensbeschermingsverplichtingen worden opgelegd die niet minder beschermend zijn dan die van deze DPA, in overeenstemming met artikel 28(4) AVG;
  2. volledig aansprakelijk blijven tegenover de Klant voor de nakoming van de verplichtingen van elke Sub-verwerker;
  3. de Klant ten minste dertig (30) dagen vooraf in kennis stellen van elke voorgenomen toevoeging of vervanging van een Sub-verwerker; en
  4. de Klant de mogelijkheid bieden om binnen vijftien (15) dagen bezwaar te maken op redelijke gegevensbeschermingsgronden. Indien het bezwaar niet kan worden opgelost, kan elke partij de getroffen Diensten beëindigen met pro-rata terugbetaling van eventuele vooruitbetaalde maar niet-gebruikte vergoedingen.

7. Internationale doorgiftes

Persoonsgegevens kunnen worden overgedragen aan en verwerkt in landen buiten de Europese Economische Ruimte, waaronder de Verenigde Staten. Dergelijke doorgiftes vinden alleen plaats wanneer een van de volgende rechtmatige doorgiftemechanismen van toepassing is:

  1. Het ontvangende land is onderwerp geweest van een adequaatheidsbesluit van de Europese Commissie op grond van artikel 45 AVG.
  2. De partijen zijn de Standaardcontractbepalingen (Module Twee: Verwerkingsverantwoordelijke naar Verwerker) aangegaan, vastgesteld door de Europese Commissie in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021. Partijen kiezen Optie 1 van Clausule 17 (toepasselijk recht: Belgisch recht) en Clausule 18 (jurisdictie: rechtbanken van Brussel, België).
  3. Een ander door de AVG erkend rechtmatig doorgiftemechanisme.

Voor doorgiftes naar het Verenigd Koninkrijk integreren partijen het UK International Data Transfer Addendum bij de SCC's. Voor doorgiftes naar Zwitserland integreren partijen de Zwitserse aanvullende FADP-clausules.

Upvendo zal, waar dit door de toepasselijke wetgeving wordt vereist, een transfer impact assessment uitvoeren en aanvullende maatregelen treffen.

8. Rechten van Betrokkenen

Upvendo zal de Klant bijstaan bij het vervullen van de verplichting van de Klant om verzoeken van Betrokkenen uit hoofde van hoofdstuk III AVG te beantwoorden (rechten op inzage, rectificatie, wissing, beperking van verwerking, overdraagbaarheid van gegevens, bezwaar en rechten in verband met geautomatiseerde individuele besluitvorming).

Indien Upvendo een Betrokkenenverzoek rechtstreeks ontvangt dat betrekking heeft op Persoonsgegevens die namens de Klant worden verwerkt, zal Upvendo:

  1. de Klant onverwijld op de hoogte stellen en niet rechtstreeks reageren tenzij gemachtigd; en
  2. de Klant op redelijk verzoek bijstaan bij het beantwoorden van het verzoek binnen de door de AVG vereiste termijnen.

9. Melding van inbreuken

Upvendo zal de Klant onverwijld, en in elk geval binnen tweeënzeventig (72) uur, op de hoogte stellen na kennisname van een inbreuk in verband met persoonsgegevens die de Persoonsgegevens van de Klant treft. De kennisgeving zal:

  1. de aard van de inbreuk beschrijven, met inbegrip van de categorieën en het geschatte aantal betrokken Betrokkenen en records;
  2. de naam en contactgegevens van het contactpunt voor gegevensbescherming van Upvendo meedelen;
  3. de waarschijnlijke gevolgen beschrijven; en
  4. de getroffen of voorgestelde maatregelen beschrijven.

Indien het niet mogelijk is om de informatie tegelijkertijd te verstrekken, kan de informatie zonder verdere onnodige vertraging in fasen worden verstrekt.

10. Auditrechten

Op redelijk verzoek van de Klant en niet vaker dan eenmaal per jaar (tenzij vereist door een bevoegde toezichthoudende autoriteit of na een inbreuk), zal Upvendo de Klant alle informatie ter beschikking stellen om de naleving van deze DPA en artikel 28 AVG aan te tonen.

De Klant kan, op eigen kosten en met redelijke tussenpozen, een on-site audit aanvragen. On-site audits moeten:

  1. ten minste dertig (30) dagen vooraf schriftelijk worden aangevraagd;
  2. tijdens normale kantooruren worden uitgevoerd;
  3. onderworpen zijn aan een geheimhoudingsovereenkomst;
  4. beperkt zijn tot informatie die strikt noodzakelijk is om de naleving van deze DPA te verifiëren; en
  5. geen toegang verlenen tot gegevens van andere klanten of tot bedrijfsgeheimen van Upvendo.

Upvendo kan aan de auditverplichting voldoen door bestaande auditverslagen van derden te verstrekken (zoals ISO 27001- of SOC 2-rapporten, zodra beschikbaar), in plaats van een on-site audit.

11. Teruggave en wissing van Persoonsgegevens

Naar keuze van de Klant zal Upvendo bij beëindiging of afloop van de Overeenkomst:

  1. alle Persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat aan de Klant teruggeven; of
  2. alle Persoonsgegevens wissen en bestaande kopieën wissen,

tenzij EU- of lidstaatrecht opslag van de Persoonsgegevens vereist.

De Klant kan binnen dertig (30) dagen na beëindiging om teruggave of wissing verzoeken. Na die periode zal Upvendo Persoonsgegevens wissen overeenkomstig zijn standaardbewaarschema.

Upvendo zal de Klant op verzoek schriftelijk bevestigen dat de Persoonsgegevens zijn gewist.

12. Aansprakelijkheid en slotbepalingen

De aansprakelijkheid van elke partij voortvloeiend uit of in verband met deze DPA is onderworpen aan de beperkingen van aansprakelijkheid die in de Overeenkomst zijn opgenomen.

Indien een bepaling van deze DPA ongeldig of niet-afdwingbaar is, blijft de rest van de DPA van kracht. In geval van strijdigheid tussen deze DPA en de Overeenkomst, prevaleert deze DPA voor zover er een conflict is en alleen voor zaken die de gegevensbescherming betreffen.

Toepasselijk recht en bevoegdheid volgen de contracterende Upvendo-entiteit zoals geïdentificeerd in het Partijen-gedeelte hierboven:

  • Wanneer de EU-entiteit (Upvendo BV) de contracterende Verwerker is, wordt deze DPA beheerst door het Belgisch recht en hebben de rechtbanken van Brussel, België exclusieve bevoegdheid om kennis te nemen van en te beslissen over elk geschil dat voortvloeit uit of verband houdt met deze DPA.
  • Wanneer de US-entiteit (Upvendo, Inc.) de contracterende Verwerker is, wordt deze DPA beheerst door het recht van de staat Delaware, Verenigde Staten, en hebben de staats- of federale rechtbanken in het District of Delaware exclusieve bevoegdheid.

Het bovenstaande geldt onverminderd een dwingende bevoegdheid op grond van de toepasselijke consumentenbescherming of gegevensbeschermingswetgeving.

Bijlage A: Verwerkingsgegevens

Onderwerp van de verwerking: De levering door Upvendo van software voor self-service bestelzuilen, online bestellen en QR-bestellen aan de Klant, met inbegrip van de integraties tussen Upvendo en het kassasysteem (POS) van de Klant.

Duur van de verwerking: Voor de duur van de Overeenkomst, plus de bewaarperiodes vermeld in deze DPA en de Privacyverklaring.

Aard en doel van de verwerking: Om eindgebruikers (consumenten) van de Klant in staat te stellen bestellingen te plaatsen in de zaak van de Klant; om die bestellingen door te geven aan het kassasysteem van de Klant; om de Klant operationele analyses te bezorgen; en om Upvendo in staat te stellen de Diensten te onderhouden, te ondersteunen en te verbeteren.

Soorten Persoonsgegevens die worden verwerkt:

  • Bestelgegevens van eindgebruikers (bestelde items, modifiers, prijs, tijdstip)
  • Contactgegevens van eindgebruikers indien verstrekt (e-mail of telefoon voor bevestiging, loyaltykoppeling)
  • Betaalreferenties van eindgebruikers (transactie-ID's, laatste vier cijfers van de kaart, betaalmethode — nooit ruwe kaartnummers)
  • Personeelsaccountgegevens van de Klant (naam, zakelijk e-mailadres, rol)
  • Zakelijke contactgegevens van de Klant (naam, e-mail, telefoon, factuuradres)
  • Technische gegevens nodig voor dienstverlening (IP-adres, browser fingerprint, apparaatidentificatoren)

Categorieën Betrokkenen:

  • Eindgebruikers/klanten van de Klant (consumenten die bestellingen plaatsen)
  • Personeel van de Klant (operatoren, managers, boekhouders)
  • Gemachtigde vertegenwoordigers van de Klant

Bijzondere categorieën Persoonsgegevens: Geen door Upvendo by design verwerkt.

Bijlage B: Lijst van Sub-verwerkers

Upvendo schakelt de volgende Sub-verwerkers in. De Klant kan de meest recente lijst opvragen via privacy@upvendo.com.

Sub-verwerker Geleverde dienst Locatie Doorgiftemechanisme
Cloudflare, Inc. (en Cloudflare Ireland Ltd) Hosting, edge compute, D1 database, CDN, WAF, DDoS-bescherming Globaal edge-netwerk met klantgegevens hoofdzakelijk via EU edge nodes EU SCC's (Module 2) voor verwerking buiten de EER, plus Cloudflare's DPA-addendum
Stripe Payments Europe Ltd (en Stripe, Inc.) Betalingsverwerking voor self-serve checkout (alleen .com) Ierland en Verenigde Staten EU SCC's (Module 2) plus Stripe's DPA
GitHub, Inc. Broncodehosting en CI (geen Persoonsgegevens van eindgebruikers) Verenigde Staten EU SCC's voor beperkte Persoonsgegevens van personeel van de Klant

Voor optionele functies (analytics, marketingpixels, e-mailbezorging) zie de actuele lijst in de Klant-backoffice of op verzoek via privacy@upvendo.com. Upvendo brengt de Klant minstens dertig (30) dagen vooraf op de hoogte van wijzigingen.

Bijlage C: Technische en Organisatorische Maatregelen

Upvendo implementeert de volgende technische en organisatorische maatregelen, overeenkomstig artikel 32 AVG.

1. Toegangscontroles (fysiek en logisch)

  • Productiesystemen alleen toegankelijk voor geautoriseerd personeel via individueel toewijsbare accounts.
  • Multi-factor authenticatie vereist voor alle administratieve toegang.
  • Toegang op need-to-know-basis, periodiek geëvalueerd.
  • Cloudflare's edge datacenters hanteren ISO 27001- en SOC 2 Type II-gecertificeerde fysieke beveiligingscontroles.

2. Versleuteling

  • Alle verbindingen versleuteld met TLS 1.3 (HTTPS).
  • Persoonsgegevens in rust in Cloudflare D1 versleuteld met AES-256.
  • Intern service-verkeer op Cloudflare-netwerk automatisch versleuteld.
  • Geheimen in Cloudflare Workers Secrets, nooit in broncode.

3. Pseudonimisering

  • Pseudonimisering toegepast waar technisch haalbaar.

4. Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht

  • Logische isolatie per klant tenant.
  • Cloudflare D1 point-in-time recovery.
  • DDoS-bescherming, WAF en botbeheer.

5. Herstelprocedures

  • Back-ups volgens standaardbewaarschema.
  • Gedocumenteerde procedures minstens jaarlijks getest.
  • RTO's en RPO's gedefinieerd en kwartaal-herzien.

6. Regelmatige tests

  • Verplichte code review.
  • Geautomatiseerde kwetsbaarheidsscan bij elke commit.
  • Statische analyse bij elke commit.
  • Dreigingsmodel jaarlijks herzien.

7. Personeelsbeveiliging

  • Geheimhoudingsverklaringen bij indiensttreding.
  • Achtergrondcontroles waar wettelijk toegestaan.
  • Jaarlijkse beveiligingstraining.

8. Incidentmanagement

  • Gedocumenteerde incidentresponsprocedures.
  • 72-uurs melding aan Klant.
  • Beveiligingsmeldingen via /legal/security/.

9. Beveiliging van Sub-verwerkers

  • Schriftelijke gegevensbeschermingsverplichtingen.
  • Periodieke evaluatie van beveiligingshouding.

10. Compliance en certificeringen

  • ISO 27001:2022-mapping, certificatie-klaar in 2027.
  • SOC 2 Type II op roadmap.
  • Cloudflare en Stripe beschikken over certificeringen in hun trust centres.

Voor vragen of een ondertekende kopie voor enterprise inkoop, contact privacy@upvendo.com.

Cookievoorkeuren

We gebruiken cookies om de site te laten werken, je ervaring te personaliseren, verkeer te meten en relevante advertenties te tonen. Vereiste cookies staan altijd aan; de rest is jouw keuze. Cookiebeleid