Verwerkersovereenkomst (DPA)

1. Partijen

Deze verwerkersovereenkomst wordt gesloten tussen:

• Verwerker — FactuurNu VOF, Amsterdam, KvK 42052707, info@factuurnu.com.
• Verwerkingsverantwoordelijke— de Klant zoals geïdentificeerd in zijn FactuurNu-account (bedrijfsnaam, KvK, vestigingsadres, contactgegevens uit het Profiel).

2. Onderwerp en duur

Onderwerp is de verwerking van persoonsgegevens door FactuurNu namens de Verwerkingsverantwoordelijke, in het kader van het gebruik van de Dienst. De DPA geldt voor de duur van het abonnement en eindigt automatisch bij beëindiging daarvan, behoudens de verplichtingen uit sectie 10.

3. Aard en doel van de verwerking

FactuurNu verwerkt persoonsgegevens uitsluitend om de Dienst te leveren:

• Opslaan en bewerken van klant- en relatiegegevens
• Genereren en versturen van facturen, offertes en herinneringen
• Registreren van kosten, uren en kilometers
• BTW-overzichten en financiële rapportages
• Boekhoudkundige exports (CSV, Excel, PDF, XAF)
• AI-ondersteunde bon-scan en chatbot (alleen na opt-in van de Klant)

FactuurNu verwerkt geen gegevens voor eigen doeleinden buiten de Dienst (bv. profiling, advertenties of doorverkoop).

4. Categorieën persoonsgegevens en betrokkenen

Betrokkenen: klanten en relaties van de Verwerkingsverantwoordelijke.

Categorieën persoonsgegevens:

• NAW-gegevens (naam, adres, postcode, plaats, land)
• Contactgegevens (e-mail, telefoon)
• Bedrijfsgegevens (KvK, BTW-nummer)
• Financiële gegevens (factuurregels, betalingen, bankrekening voor incasso/uitbetaling)
• Eventueel: notities, bijlagen of foto's die de Klant toevoegt aan facturen of kosten

FactuurNu verwerkt geen bijzondere categorieën (gezondheid, ras, politieke overtuiging, etc.) en is daar ook niet voor bedoeld. Voeg dit soort gegevens niet toe.

5. Verplichtingen van de verwerker

FactuurNu verbindt zich tot:

• Verwerking uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke (= het gebruik van de Dienst).
• Vertrouwelijkheid bij alle medewerkers en sub-processors (geheimhoudingsplicht).
• Toepassen van passende technische en organisatorische maatregelen (zie sectie 7).
• Verlenen van bijstand bij verzoeken van betrokkenen (inzage/rectificatie/verwijdering) — de meeste verzoeken zijn zelfbedieningsfuncties in de Dienst.
• Beschikbaar stellen van alle informatie die nodig is om naleving van AVG art. 28 aan te tonen.
• Onverwijld inlichten van de Verwerkingsverantwoordelijke wanneer een instructie naar mening van FactuurNu in strijd is met de AVG.

6. Sub-processors

De Verwerkingsverantwoordelijke verleent algemene toestemming voor het inschakelen van sub-processors, mits deze AVG-conform werken. De actuele lijst sub-processors staat in het Privacybeleid.

Wijzigt de sub-processor-lijst? Dan kondigt FactuurNu dit minimaal 30 dagen vooraf aan per e-mail. De Verwerkingsverantwoordelijke kan bezwaar maken en in dat geval de Overeenkomst beëindigen voor de ingangsdatum.

Met elke sub-processor is een AVG-conforme DPA afgesloten (links staan in het Privacybeleid).

7. Beveiliging

FactuurNu past de volgende technische en organisatorische maatregelen toe:

• TLS 1.2+ voor alle dataverkeer tussen client en server.
• Encryption at rest voor database (Supabase Postgres) en storage (file-uploads, bonnen).
• Row Level Security (RLS) op alle tabellen — gebruikers zien uitsluitend hun eigen rijen.
• Wachtwoorden gehasht met industrie-standaard (bcrypt via Supabase Auth).
• Toegang tot productie-systemen alleen met MFA en least-privilege.
• Versleutelde back-ups, retentie maximaal 30 dagen.
• Periodieke security-audits en dependency-scans.

8. Datalek-protocol

In geval van een datalek (security-incident met (mogelijk) persoonsgegevens):

• FactuurNu meldt het lek binnen 72 uur na ontdekking aan de Verwerkingsverantwoordelijke per e-mail.
• De melding bevat: aard van het lek, getroffen categorieën, geschatte aantallen, gevolgen en getroffen maatregelen.
• De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor melding aan de Autoriteit Persoonsgegevens (binnen 72u) en eventueel aan betrokkenen.
• FactuurNu levert alle informatie en bijstand die nodig is voor deze meldingen.

9. Audit-recht

De Verwerkingsverantwoordelijke heeft het recht om maximaal één keer per jaar een audit uit te voeren naar de naleving van deze DPA, op basis van een schriftelijk verzoek met redelijke aankondiging (minimaal 30 dagen vooraf).

In de praktijk volstaat een actuele lijst van certificeringen en DPA's van sub-processors. Voor een on-site audit dragen partijen elk hun eigen kosten, tenzij de audit naleving aantoont van een ernstige schending (in welk geval FactuurNu de redelijke kosten vergoedt).

10. Beëindiging en data-verwijdering

Bij beëindiging van het abonnement worden alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen 90 dagen verwijderd uit productie-systemen en binnen maximaal 30 dagen daarna ook uit back-ups.

De Verwerkingsverantwoordelijke kan vóór die termijn een volledige export downloaden via de Dienst (CSV/Excel/PDF/XAF). FactuurNu kan op schriftelijk verzoek een eerdere verwijdering uitvoeren.

11. Aansprakelijkheid

De aansprakelijkheid van FactuurNu onder deze DPA volgt de beperking uit de Algemene Voorwaarden (sectie 8, art. 6:233 BW): beperkt tot het bedrag dat de Verwerkingsverantwoordelijke in de 3 maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan Abonnementsgelden heeft betaald.

Deze beperking geldt niet bij opzet of bewuste roekeloosheid, en evenmin bij boetes die de Autoriteit Persoonsgegevens rechtstreeks aan FactuurNu oplegt voor schending van haar eigen verplichtingen als verwerker.

12. Toepasselijk recht

Op deze DPA is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

FactuurNu VOF
Amsterdam · KvK 42052707
info@factuurnu.com