Juridisch · DPA

Verwerkersovereenkomst

Laatst bijgewerkt: 25 april 2026

Bent u zakelijk klant (gemeente, GGZ-instelling, schuldhulpverleningsorganisatie of bewindvoerderskantoor) en heeft u een verwerkersovereenkomst nodig? Onderstaande standaard-DPA is gebaseerd op het NOREA-model en bedoeld om aan te sluiten op de vereisten van AVG artikel 28. Definitieve afspraken worden per klant vastgelegd.

Download DPA als PDF · Vraag aangepaste DPA aan

Inhoud van de verwerkersovereenkomst

De Fynqo DPA bevat de volgende hoofdpunten conform AVG art. 28 en het NOREA-model:

1. Verantwoordelijkheden verwerker en verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke (de klant) bepaalt het doel en de middelen van de verwerking. Fynqo als verwerker handelt uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke en verwerkt persoonsgegevens niet voor eigen doeleinden.

2. Sub-verwerkers

Fynqo maakt gebruik van sub-verwerkers zoals vermeld op de pagina Sub-verwerkers. Inschakeling van nieuwe sub-verwerkers geschiedt na kennisgeving aan de verwerkingsverantwoordelijke met een termijn van 30 dagen om bezwaar te maken.

3. Beveiliging

Fynqo implementeert passende technische en organisatorische maatregelen zoals versleutelde verbindingen, wachtwoordhashing, toegangscontrole en MFA waar ingericht. Een actueel overzicht van de beveiligingsmaatregelen is beschikbaar op verzoek.

4. Doorgifte buiten de EER

Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte vindt uitsluitend plaats op basis van EU Standard Contractual Clauses of een adequaatheidsbesluit van de Europese Commissie.

5. Aansprakelijkheid

De aansprakelijkheid van Fynqo als verwerker is beperkt tot de schade die het directe gevolg is van een aantoonbare tekortkoming in de nakoming van de DPA, tot een maximum van het abonnementsbedrag betaald in de twaalf maanden voorafgaand aan de schadeveroorzakende gebeurtenis.

6. Beëindiging en verwijdering

Bij beëindiging van de overeenkomst verwijdert of retourneert Fynqo alle persoonsgegevens van de verwerkingsverantwoordelijke binnen 30 dagen, tenzij wettelijke bewaarplichten van toepassing zijn.

7. Audit-recht

De verwerkingsverantwoordelijke heeft het recht om, eenmaal per jaar en na schriftelijke aankondiging met minimaal 30 dagen vooraf, een audit uit te voeren of te laten uitvoeren door een onafhankelijke derde partij ter verificatie van de naleving van de DPA.

8. Datalekprocedure

Fynqo meldt een beveiligingsincident dat mogelijk een datalek constitueert binnen 24 uur na ontdekking aan de verwerkingsverantwoordelijke, met vermelding van de aard van het incident, de betrokken categorieën persoonsgegevens en de te nemen maatregelen. De verwerkingsverantwoordelijke is vervolgens verantwoordelijk voor eventuele melding bij de Autoriteit Persoonsgegevens (termijn: 72 uur na ontdekking, art. 33 AVG).

Contact en vragen

Voor vragen over de verwerkersovereenkomst of voor een aangepaste DPA op maat kunt u contact opnemen via privacy@fynqo.app.

Laatst bijgewerkt: 25 april 2026 · v1.0

Nieuwsbrief

Eén mail per maand, niets meer.

Nieuwe portals, AVG-veranderingen, sociaal-domein-onderzoek. Geen spam. Uitschrijven met één klik.