Data Processing Agreement
Verwerkersovereenkomst conform AVG/GDPR
Laatst bijgewerkt: maart 2026
1. Partijen
Deze verwerkersovereenkomst ("DPA") wordt gesloten tussen:
- De Verwerkingsverantwoordelijke: de Klant die een abonnement heeft afgesloten bij Planviso (hierna "de Klant" of "Verwerkingsverantwoordelijke")
- De Verwerker: Planviso, gevestigd te Wodecq, België (hierna "Planviso" of "Verwerker")
Deze DPA maakt integraal deel uit van de overeenkomst tussen partijen en de Algemene Voorwaarden.
2. Definities
De begrippen in deze DPA hebben dezelfde betekenis als in de Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG/GDPR), tenzij hieronder anders gedefinieerd:
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die door de Klant via het Platform wordt verwerkt.
- Verwerking: elke bewerking van persoonsgegevens, inclusief verzamelen, opslaan, wijzigen, raadplegen, verstrekken en wissen.
- Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.
3. Voorwerp van de verwerking
Planviso verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening aan de Klant, zoals beschreven in de overeenkomst. Het betreft de volgende categorieën:
3.1 Categorieën persoonsgegevens
| Categorie | Voorbeelden |
|---|---|
| Klantgegevens | Naam, e-mail, telefoonnummer, geboortedatum |
| Afspraakgegevens | Datum, tijd, dienst, medewerker, status, notities |
| Communicatielogs | SMS, e-mail, WhatsApp-berichten, AI-telefoongesprekken |
| Betalingsgegevens | Betalingsstatus, bedragen (kaartgegevens worden door Mollie verwerkt) |
| Medische/gevoelige gegevens | Intake-formulieren, behandelnotities (indien van toepassing op sector) |
3.2 Categorieën betrokkenen
- Klanten/patiënten van de Verwerkingsverantwoordelijke
- Medewerkers van de Verwerkingsverantwoordelijke
3.3 Doel van de verwerking
- Het beheren en optimaliseren van de agenda van de Klant
- Het versturen van herinneringen, bevestigingen en communicatie
- Het bieden van online booking-functionaliteit
- Het genereren van rapportages en statistieken
- Het uitvoeren van AI-telefoongesprekken namens de Klant
4. Verplichtingen van de Verwerker
Planviso verbindt zich ertoe:
- Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke
- Geen persoonsgegevens te verwerken voor eigen doeleinden
- Medewerkers die toegang hebben tot persoonsgegevens te binden aan geheimhouding
- Passende technische en organisatorische maatregelen te treffen ter beveiliging van de gegevens
- De Verwerkingsverantwoordelijke bij te staan bij het uitoefenen van de rechten van betrokkenen
- Na beëindiging van de overeenkomst alle persoonsgegevens te verwijderen of terug te geven, naar keuze van de Verwerkingsverantwoordelijke
5. Sub-verwerkers
Planviso maakt gebruik van de volgende sub-verwerkers. De Klant geeft hierbij algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers, mits Planviso:
- de Klant informeert over wijzigingen in sub-verwerkers;
- de Klant de mogelijkheid biedt om binnen 30 dagen bezwaar te maken;
- met elke sub-verwerker een verwerkersovereenkomst sluit.
| Sub-verwerker | Dienst | Locatie |
|---|---|---|
| Hetzner Online GmbH | Hosting en infrastructuur | EU (Duitsland/Finland) |
| Mollie B.V. | Betalingsverwerking | EU (Nederland) |
| MessageBird B.V. | SMS-verzending | EU (Nederland) |
| Brevo (Sendinblue) | E-mailverzending | EU (Frankrijk) |
| Vapi Inc. | AI-telefonie | VS (met EU data processing) |
6. Beveiligingsmaatregelen
Planviso treft de volgende technische en organisatorische maatregelen ter bescherming van persoonsgegevens:
6.1 Technische maatregelen
- Versleuteling van data in transit (TLS 1.3) en at rest (AES-256)
- Schema-isolatie per klant (multi-tenant architectuur met gescheiden PostgreSQL schema's)
- Automatische dagelijkse back-ups met versleuteling
- Firewalls en netwerksegmentatie
- Rate limiting en DDoS-bescherming
- Geautomatiseerde kwetsbaarheidsscans
6.2 Organisatorische maatregelen
- Toegang op basis van need-to-know en role-based access control
- Geheimhoudingsovereenkomsten met alle medewerkers
- Logging en audit trail van alle toegang tot persoonsgegevens
- Regelmatige security awareness training
- Incidentresponsplan en -team
7. Melding van datalekken
7.1. In geval van een datalek informeert Planviso de Verwerkingsverantwoordelijke binnen 72 uur na kennisneming van het lek.
7.2. De melding bevat minimaal:
- De aard van het datalek, inclusief de categorieën en het aantal betrokken personen
- De waarschijnlijke gevolgen van het lek
- De genomen en voorgestelde maatregelen om het lek te verhelpen
- Contactgegevens voor verdere informatie
7.3. Planviso verleent alle medewerking aan de Verwerkingsverantwoordelijke bij het melden van het datalek aan de toezichthoudende autoriteit en/of de betrokkenen.
8. Recht op audit
8.1. De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren of te laten uitvoeren om de naleving van deze DPA te verifiëren.
8.2. Audits worden aangekondigd met een redelijke termijn van minimaal 30 dagen en worden uitgevoerd tijdens normale kantooruren.
8.3. Planviso stelt relevante documentatie, certificeringen en rapportages beschikbaar ter ondersteuning van de audit.
8.4. De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een materiële niet-naleving van deze DPA aantoont.
9. Internationale doorgifte
9.1. Alle persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER).
9.2. In het geval van Vapi (AI-telefonie) kunnen gegevens worden verwerkt in de Verenigde Staten. Hiervoor worden passende waarborgen getroffen, waaronder Standard Contractual Clauses (SCC's) conform besluit (EU) 2021/914.
10. Duur en beëindiging
10.1. Deze DPA treedt in werking bij aanvang van de overeenkomst en blijft van kracht voor de duur van de verwerking van persoonsgegevens door Planviso.
10.2. Bij beëindiging van de overeenkomst verwijdert Planviso alle persoonsgegevens binnen 90 dagen, tenzij de Verwerkingsverantwoordelijke verzoekt om teruggave van de gegevens.
10.3. Planviso verstrekt op verzoek een schriftelijke bevestiging van de verwijdering.
11. Contact
Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen met:
- E-mail: privacy@planviso.com
- Post: Planviso, Wodecq, België