Verwerkersovereenkomst

Deze verwerkersovereenkomst (Data Processing Agreement, DPA) maakt onderdeel uit van onze algemene voorwaarden en geldt automatisch zodra je als B2B-klant een dienst afneemt waarbij wij persoonsgegevens van jouw eindgebruikers verwerken namens jou (artikel 28 AVG). Je hoeft niks apart te tekenen — accepteren van de algemene voorwaarden = accepteren van deze DPA.

1. Partijen en rolverdeling

Verwerkingsverantwoordelijke: jij, als klant (de "Klant").

Verwerker: InternalHost (eenmanszaak Xaviero Kajafas, KvK 90174720, "InternalHost").

InternalHost verwerkt persoonsgegevens uitsluitend op instructie van de Klant en alleen voor zover noodzakelijk om de overeengekomen diensten te leveren (hosting, opslag, mail, netwerk).

2. Onderwerp en duur

• Onderwerp: het verwerken van persoonsgegevens in het kader van de IT-infrastructuurdiensten die wij leveren.
• Aard van de verwerking: opslag, doorgifte (binnen onze infrastructuur), back-up — geen actieve verwerking van inhoudelijke data van eindgebruikers door ons.
• Doel: het beschikbaar stellen van de overeengekomen IT-diensten.
• Categorieën betrokkenen: zoals door de Klant bepaald. Wij hebben hier geen zicht op (we kijken niet in jouw databases).
• Soorten persoonsgegevens: zoals door de Klant bepaald. Bijzondere persoonsgegevens (gezondheid, religie, etc.) zijn toegestaan mits de Klant zelf passende technische en organisatorische maatregelen treft.
• Duur: zolang de hoofdovereenkomst loopt, plus 14 dagen recovery-periode na beëindiging.

3. Beveiligingsmaatregelen

InternalHost treft minimaal de volgende technische en organisatorische maatregelen:

• Versleuteling in transit: TLS 1.2+ op alle publieke endpoints, WireGuard voor interne mesh.
• Versleuteling at-rest: LUKS op alle storage-volumes. Customer-niveau encryptie is de verantwoordelijkheid van de Klant.
• Toegangsbeheer: SSH alleen via ed25519-keys, MFA verplicht voor admin-toegang, principle of least privilege.
• Logging: toegang tot infrastructuur is gelogd (90 dagen).
• Backups: dagelijkse encrypted snapshots van klantvolumes, 7d/4w/12m retention (van onze kant — applicatie-backup is Klantverantwoordelijkheid).
• Fysieke beveiliging: Qupra DC heeft 24/7 bemenste toegang, ISO 27001 + 9001 gecertificeerd, biometrie + mantrap.
• Software-updates: security-patches binnen 7 dagen na release, kritieke binnen 24 uur.
• Monitoring: CrowdSec + fail2ban op alle exposed services.

Een actueel overzicht van technische maatregelen kun je opvragen via [email protected].

4. Sub-verwerkers

Wij gebruiken de volgende sub-verwerkers. Allemaal in de EU. Bij vervanging melden we dit minimaal 30 dagen vooraf, zodat de Klant bezwaar kan maken.

5. Doorgifte buiten EU

Wij geven geen persoonsgegevens door naar landen buiten de EU/EER, behalve waar Cloudflare als CDN noodzakelijk routeert via niet-EU PoPs in geval van DDoS. In dat geval gelden de Standard Contractual Clauses tussen ons en Cloudflare.

6. Datalek-procedure

Bij een datalek dat de persoonsgegevens van de Klant betreft, melden wij dit binnen 24 uur na ontdekking aan de Klant (via het opgegeven e-mailadres) met:

• Aard van het lek
• Categorieën en aantal betrokken personen
• Waarschijnlijke gevolgen
• Genomen of voorgestelde maatregelen

De Klant beslist zelf of er een melding aan de Autoriteit Persoonsgegevens vereist is. Wij ondersteunen waar nodig.

7. Beëindiging en data-teruggave

Na beëindiging van de hoofdovereenkomst:

• De Klant heeft 14 dagen om alle data te downloaden (via SSH/SFTP, of via export-aanvraag).
• Daarna worden alle persoonsgegevens definitief verwijderd, behalve waar wettelijke bewaarplicht geldt (fiscaal: factuurgegevens 7 jaar).
• Op verzoek leveren wij een schriftelijke verklaring van vernietiging.

Voor specifieke contracten (groot B2B, healthcare, financiële sector) kunnen we een aangepaste DPA tekenen. Mail [email protected].