Verwerkersovereenkomst (DPA)

Deze verwerkersovereenkomst ("DPA") regelt de verwerking van persoonsgegevens door Uitgewist ("Verwerker") namens de eindgebruiker ("Verwerkingsverantwoordelijke") in het kader van de Uitgewist-dienst. De DPA wordt automatisch onderdeel van de serviceovereenkomst zodra een gebruiker een abonnement afsluit en is bedoeld om te voldoen aan Art. 28 AVG.

1. Partijen

Verwerker: Uitgewist, KvK 77593944, BTW NL003211375B12, gevestigd in Nederland. Contact via het contactformulier.

Verwerkingsverantwoordelijke: de natuurlijke persoon die een Uitgewist-account heeft aangemaakt en de algemene voorwaarden + deze DPA heeft geaccepteerd.

2. Doel en aard van de verwerking

Uitgewist verwerkt persoonsgegevens (naam, adres, geboortedatum, e-mail, telefoon, getypte handtekening, IP-adres, browserinformatie) uitsluitend om namens betrokkene AVG-rechten uit te oefenen bij data brokers en bij de Autoriteit Persoonsgegevens, conform de in de Uitgewist-app digitaal ondertekende beperkte volmacht (LPoA).

3. Soorten gegevens en categorieën betrokkenen

• Identificatiegegevens: NAW, geboortedatum, e-mail, telefoon
• Betaalgegevens: via Stripe (sub-processor); Uitgewist slaat geen kaartdetails op
• Communicatiegegevens: inhoud van verstuurde verwijderverzoeken en ontvangen broker-antwoorden
• Audit-gegevens: IP-adres, user-agent, tijdstempels van ondertekening en submissies
• Bewijsstukken: screenshots van data-broker-pagina's vóór en na verwijdering

4. Bewaartermijnen

Persoonsgegevens worden bewaard zolang het abonnement actief is, plus 24 maanden na opzegging voor audit-trail-doeleinden conform Art. 30 AVG. Daarna wordt alles permanent gewist (zie Art. 8 hieronder).

5. Beveiligingsmaatregelen

• TLS 1.3 voor alle verbindingen
• AES-256 encryption-at-rest voor de Postgres-database (Supabase)
• Row-Level Security (RLS) per gebruiker — niemand anders kan jouw rijen lezen
• Service-role keys uitsluitend in backend-omgeving (Railway/Vercel)
• Service-role functies REVOKEd van publieke roles
• Wachtwoorden gecontroleerd tegen HaveIBeenPwned-leaks via Supabase Auth
• 2FA voor admin-accounts (verplicht)
• Kwartaal-roulatie van API-secrets (Stripe, Resend, Supabase service key)

6. Sub-verwerkers

Een actuele lijst van sub-verwerkers staat op uitgewist.nl/sub-processors. Wijzigingen worden 30 dagen vóór ingang per e-mail aangekondigd. Bezwaar is mogelijk binnen die termijn; in dat geval kan de overeenkomst worden ontbonden.

7. Doorgifte buiten de EER

Uitgewist verwerkt persoonsgegevens primair binnen de EER (Supabase EU-region, Resend EU-region). Voor sub-verwerkers buiten de EER (bijv. Stripe Inc. in de VS) gelden de standaardcontractsbepalingen van de Europese Commissie (SCC 2021/914) plus aanvullende technische waarborgen (versleuteling, pseudonimisering).

8. Verwijdering en teruggave

Bij opzegging of na de bewaartermijn worden alle persoonsgegevens binnen 30 dagen permanent gewist uit Supabase (database + Storage-buckets mandates, screenshots, reports, id_documents). Audit-log-rijen die wettelijk verplicht zijn blijven 24 maanden bewaard in een afgeschermde tabel.

9. Datalek-procedure

Bij een datalek meldt Verwerker dit binnen 72 uur aan de Verwerkingsverantwoordelijke en, indien wettelijk vereist, aan de Autoriteit Persoonsgegevens (Art. 33 AVG).

10. Audit-recht

Verwerkingsverantwoordelijke heeft jaarlijks recht op een audit door een onafhankelijke derde, op eigen kosten, na schriftelijke aankondiging van ten minste 30 dagen. Uitgewist levert tevens jaarlijks een SOC 2 Type II-rapport zodra beschikbaar.

11. Aansprakelijkheid

Aansprakelijkheid is beperkt tot het bedrag dat de Verwerkingsverantwoordelijke in de afgelopen 12 maanden aan abonnementskosten heeft betaald, conform de algemene voorwaarden.

12. Toepasselijk recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de rechtbank Amsterdam, tenzij dwingend recht anders bepaalt.