Verwerkersovereenkomst

Evnyo is geautoriseerd om namens de Klant de persoonsgegevens te verwerken die noodzakelijk zijn voor het verlenen van de Services zoals gedefinieerd in de Algemene Voorwaarden. De kenmerken van deze verwerkingen zijn samengevat in onderstaande tabel, conform de vereisten van artikel 28 AVG:

*Opmerkingen:* De categorieën van betrokkenen voor deze verwerkingen zijn hoofdzakelijk de Gasten aangewezen door de Klant (professionele of particuliere contacten uitgenodigd voor zijn evenementen). De Klant kan ook gegevens invoeren betreffende zijn interne gebruikers (bijv. contactgegevens van een organiserende collega) op het platform – deze Klantgebruikersgegevens hebben in het algemeen betrekking op het Klantaccount zelf en worden verwerkt als onderdeel van serviceoperatie (bijv. toegangsbeheer). Tenslotte worden Klant-specifieke gegevens (zoals factureringsinformatie, inloggegevens) door Evnyo verwerkt als Verwerkingsverantwoordelijke in het kader van beheer van de zakelijke relatie (cf. Evnyo Privacybeleid), en worden hier niet gedetailleerd omdat ze buiten het bereik van deze Overeenkomst vallen.

Het is overeengekomen dat indien de Klant de Services gebruikt om Gegevens of Gegevenscategorieën te verwerken of voor andere doeleinden dan hierboven beschreven, dit op eigen risico gebeurt. Evnyo kan niet aansprakelijk worden gesteld voor compliance-overtredingen voortvloeiend uit door de Partijen niet voorziene verwerkingen. De Klant verbindt zich ertoe het platform alleen te gebruiken voor de doeleinden waarvoor het bestemd is, conform de Algemene Voorwaarden en deze tabel.

Als Verwerkingsverantwoordelijke verbindt de Klant zich ertoe:

• Compliance en gedocumenteerde instructies: Volledig naleven van toepasselijke persoonsgegevensregulatie (AVG, Uitvoeringswet AVG, Telecommunicatiewet) voor verwerkingen uitgevoerd via Evnyo. De Klant bepaalt de doeleinden en middelen van aan Evnyo toevertrouwde verwerkingen en garandeert dat aan Evnyo gegeven instructies gedocumenteerd, contractconform en regulatieconform zijn. Elke Klantinstructie die het Servicebereik overschrijdt of strijdig is met regulaties zal niet door Evnyo worden uitgevoerd. De Klant zal het platform gebruiken conform contractdocumenten en Evnyo niet instrueren om gegevens te verwerken in strijd met wetten.

• Rechtmatigheid van verwerkte gegevens: Verzekeren dat aan Evnyo toevertrouwde persoonsgegevens door de Klant AVG-conform zijn verzameld en verwerkt. Dit omvat, zonder beperking: voorafgaande informatie aan betrokkenen vanaf gegevensverzameling, verstrekking van alle verplichte informatie (identiteit verwerkingsverantwoordelijke, uitnodigingsdoel, rechtsgrond – toestemming of gerechtvaardigd belang, rechten betrokkenen, etc.). De Klant moet Gasten duidelijke informatie verstrekken, bijvoorbeeld via hun eigen privacybeleid of tekst verstrekt bij e-mailverzameling. Wanneer de rechtsgrond van verwerking toestemming is (met name voor het versturen van marketing e-mails/SMS naar particulieren), moet geldige en aantoonbare toestemming van elke betrokkene worden verkregen voorafgaand aan het versturen van uitnodigingen. De Klant moet kunnen bewijzen dat de Gast heeft toegestemd om uitnodigingen te ontvangen, of alternatief, dat verzending berust op een andere geldige rechtsgrond (bijv. gerechtvaardigd belang in B2B met gerespecteerd bezwaarrecht). Bezwaarrechten van betrokkenen in acht nemen (bijv. indien een Gast bezwaar heeft gemaakt tegen het ontvangen van verzoeken, verzekeren dat hij niet langer wordt geïmporteerd of uitgenodigd). In het algemeen via Evnyo alleen adequate, relevante en beperkte gegevens verwerken noodzakelijk met betrekking tot de nagestreefde doeleinden (minimalisatiebeginsel).

• Juistheid en bijwerking: Zorgen voor juistheid van Gastgegevens en deze indien nodig bijwerken. Evnyo biedt tools die de Klant in staat stellen gegevens te rectificeren of te verwijderen; het is de verantwoordelijkheid van de Klant om eventuele rectificatieverzoeken van betrokkenen te honoreren. Evnyo kan waar mogelijk de Klant assisteren bij het onderhouden van nauwkeurige gegevens volgens zijn instructies.

• Klant-zijdige beveiligingsmaatregelen: Passende Klant-zijdige beveiligingsmaatregelen implementeren om gegevensbescherming te verzekeren bij platformgebruik. Bijvoorbeeld, de Klant moet accounttoegang beveiligen (sterke wachtwoorden, twee-factor authenticatie indien beschikbaar) en vertrouwelijkheid van gegevens verzekeren bij export of download van informatie uit Evnyo.

• Platform-conform gebruik: Evnyo-functionaliteiten niet misbruiken voor verzameling of verwerking van gevoelige of hoogpersoonlijke gegevens zonder voorafgaande Evnyo-overeenkomst. Het platform kan vrije velden bevatten (bijv. mogelijkheid voor de Klant om een gepersonaliseerde boodschap in te voeren) die niet bestemd zijn voor gevoelige gegevens (zoals gezondheidsgegevens, raciale oorsprong, meningen, etc.). De Klant verbindt zich ertoe dergelijke bijzondere gegevens niet te introduceren. Evnyo wijst elke verantwoordelijkheid af voor niet-conform gebruik van deze velden door de Klant.

• Samenwerking: In het algemeen te goeder trouw samenwerken met Evnyo om verwerkingsconformiteit mogelijk te maken. Bijvoorbeeld, bij audit- of informatieverzoeken (zie Sectie 4.5) zal de Klant binnen redelijke grenzen deelnemen.

De Klant erkent dat hij de volledige verantwoordelijkheid behoudt voor de namens hem verwerkte persoonsgegevens. De Klant blijft verantwoordelijk voor algehele verwerkingsconformiteit ten opzichte van betrokkenen en autoriteiten, binnen het kader van zijn verplichtingen als Verwerkingsverantwoordelijke. Evnyo neemt zijn Verwerkerverantwoordelijkheid conform artikel 28 AVG, met name betreffende beveiliging, vertrouwelijkheid en samenwerking. In geval van overtredingen door de Klant van zijn Verwerkingsverantwoordelijke verplichtingen, vallen de daaruit voortvloeiende financiële en juridische gevolgen onder zijn verantwoordelijkheid, behoudens Evnyo's eigen verantwoordelijkheid als Verwerker.

Als Verwerker verbindt Evnyo zich ertoe de volgende verplichtingen na te leven, conform artikel 28 AVG:

4.1. Verwerking conform instructies

Evnyo zal persoonsgegevens van Gasten alleen op gedocumenteerde Klantinstructies verwerken en uitsluitend met het doel de in het Contract gedefinieerde Services te verlenen. Dit omvat noodzakelijke technische operaties zoals hosting, opslag, e-mail/SMS-verzending, uitnodigingsformattering, reactietracking, onderhoud en ondersteuning.

Evnyo zal niet buiten Klantinstructies beslissen over verwerkingsdoeleinden of -middelen. Evnyo zal zich met name onthouden van elk gegevensgebruik voor andere doeleinden (eigen marketing, profilering, etc.), elke verkoop of verhuur van gegevens, en elke samenvoeging van Gastgegevens met andere databases, behalve tegengestelde wettelijke verplichting.

Indien Evnyo een Klantinstructie beschouwt als AVG-overtreding of overtreding van andere toepasselijke bepalingen, zal het de Klant prompt informeren. Evenzo zal Evnyo de Klant vóór verwerking informeren indien het door Unie- of nationaal recht verplicht is tot verwerking die verder gaat dan instructies (bijv. openbaarmaking op gerechtelijk bevel), tenzij de wet dit verbiedt om belangrijke redenen van openbaar belang.

4.2. Gegevensvertrouwelijkheid

Evnyo garandeert dat voor de Klant verwerkte persoonsgegevens strikt vertrouwelijk worden behandeld. Hiertoe verbindt Evnyo zich ertoe:

• Gastgegevens alleen bekend te maken aan medewerkers, onderverwerkers of dienstverleners die toegang nodig hebben voor Service-uitvoering, en alleen voor zover strikt noodzakelijk voor hun betrokkenheid.
• Te verzekeren dat deze geautoriseerde personen onderworpen zijn aan een wettelijke of contractuele vertrouwelijkheidsplicht. Evnyo integreert vertrouwelijkheidsclausules conform de vereisten van deze Overeenkomst in arbeidscontracten of dienstverleningsovereenkomsten.
• Gastgegevens niet te kopiëren, reproduceren of gebruiken voor andere dan in het Contract voorziene doeleinden en geen gegevenskopieën te bewaren buiten wat noodzakelijk is voor de service of wettelijke naleving.
• Te verzekeren dat gegevensverwerkend personeel getraind is in gegevensbeschermingsvereisten en gesensibiliseerd voor het belang van vertrouwelijkheid.

Deze vertrouwelijkheidsverplichting duurt voort zelfs na contractbeëindiging.

4.3. Verwerkingsbeveiliging

Evnyo zal alle passende technische en organisatorische beveiligingsmaatregelen implementeren om een beveiligingsniveau aangepast aan het risico te garanderen, conform artikel 32 AVG. Evnyo verbindt zich ertoe een beveiligingsniveau conform de stand der techniek te handhaven. Rekening houdend met de stand van kennis, implementatiekosten en gegevensnature, neemt Evnyo met name de volgende maatregelen:

• Logische gegevensbeveiliging: Bescherming van servers en databases tegen inbreuken (firewalls, intrusion detection systems), communicatieversleuteling (bijv. TLS voor webinterfaces, veilige SMTP voor uitgaande e-mails), strikte toegangscontrolebeleid (gegevenstoegang gereserveerd voor hierboven genoemde geautoriseerde personen, met sterke authenticatie). Gastgegevens opgeslagen op servers worden gehost in een veilige omgeving die industriestandaarden respecteert (beveiligde datacenters, 24/7 bewaking, etc.).
• Fysieke beveiliging: Gegevens worden gehost via cloud hosting services erkend voor hun beveiliging (zie Onderverwerking hieronder).
• Veerkracht en integriteit: Regelmatige gegevensback-ups (backups) om gegevensverlies te voorkomen, integriteitstests, disaster recovery plan bij grote incidenten, om Klantgegevensbeschikbaarheid waar mogelijk te verzekeren.
• Beveiligingstests en audits: Evnyo voert periodiek beveiligingsbeoordelingen van zijn platform uit (interne tests, externe audits indien nodig) om kwetsbaarheden te identificeren en corrigeren. Deze tests worden vertrouwelijk uitgevoerd en resultaten kunnen aan de Klant worden gecommuniceerd op legitiem verzoek, onder voorbehoud van vertrouwelijkheid.

Evnyo verbindt zich ertoe de Klant elke inbreuk in verband met persoonsgegevens (beveiligingsincident dat per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of ongeautoriseerde toegang tot persoonsgegevens) te melden waarvan het kennis krijgt en die Klantgegevens betreft. Deze melding zal plaatsvinden binnen 72 uur na incidentontdekking. Evnyo zal de Klant alle relevante informatie verstrekken over de aard van de inbreuk, potentieel getroffen gegevens, waarschijnlijke gevolgen en genomen corrigerende maatregelen, om de Klant indien nodig in staat te stellen dit incident te melden aan de bevoegde gegevensbeschermingsautoriteit (Autoriteit Persoonsgegevens) en/of aan betrokkenen, conform artikelen 33 en 34 AVG. De Partijen zullen te goeder trouw samenwerken bij incidenten om effecten te verzachten.

4.4. Onderverwerking (Onderverwerkers)

De Klant stemt er uitdrukkelijk mee in dat Evnyo onderverwerkers (ook genaamd ondergeschikte verwerkers of externe dienstverleners) kan inschakelen voor specifieke verwerkingsactiviteiten namens de Klant, in het kader van Serviceverlening. Dit kan met name de volgende categorieën omvatten: cloud hosting, e-mail en SMS-verzenddiensten, technische analysetools, AI-gegevenscorrectie, etc.

Huidige onderverwerkers die Evnyo inschakelt omvatten (niet-uitputtende lijst):

• Supabase – Database & Bestandshosting: Supabase is onze applicatie-infrastructuurprovider. Rol: hosting van de PostgreSQL-database met Evnyo-gegevens (accounts, evenementen, uitnodigingen, reacties, etc.), en opslag van geassocieerde bestanden (bijv. afbeeldingen van uw evenementen) in een toegewijde ruimte. Locatie: Europese Unie. We gebruiken Supabase's Europese servers (EU-regio) zodat alle gegevens en bestanden exclusief in Europa worden gehost. Opgeslagen gegevens zijn versleuteld in rust en alleen toegankelijk voor Evnyo-applicaties en onze geautoriseerde beheerders.

• Vercel – Frontend hosting: Vercel is het hostingplatform voor onze applicatie frontend (Evnyo website en gebruikersinterface). Rol: distributie van de webapplicatie en statische inhoud aan eindgebruikers, via een wereldwijd content delivery network (CDN) voor optimale prestaties. Locatie: hoofdzakelijk Verenigde Staten (Vercel Inc.), met een CDN wereldwijd (inclusief servers in Europa). Overdrachtsgaranties: Vercel is gecertificeerd voor het EU-US Data Privacy Framework en biedt een standaard Data Processing Agreement conform de AVG.

• Postmark – Transactionele e-mailverzending: e-mailservice gebruikt voor het routeren van door Evnyo gegenereerde e-mails. Rol: betrouwbare verzending van transactionele e-mails gerelateerd aan evenementen (bijv. uitnodigingen, inschrijvingsbevestigingen, herinneringen, post-evenement follow-ups) namens de organisator. Locatie: hoofdzakelijk Verenigde Staten, met redundante infrastructuren. Overdrachtsgaranties: Postmark biedt een standaard Data Processing Agreement (DPA) conform AVG-vereisten en contractuele garanties voor internationale overdrachten.

• Twilio – Transactionele SMS-verzending: platform gebruikt voor SMS-verzending (bijv. uitnodigingen of SMS-herinneringen, verificatieberichten) naar deelnemers die een telefoonnummer hebben verstrekt. Rol: SMS routeren naar telecomoperators van contacten. Locatie: Twilio Inc. is een Amerikaans bedrijf, maar heeft aanwezigheid in de EU. Overdrachtsgaranties: Twilio heeft Binding Corporate Rules (BCR) goedgekeurd door Europese autoriteiten en biedt een Data Processing Agreement conform de AVG.

• CookieYes – Consent Management Platform: cookie toestemmingsbeheertool. CookieYes implementeert de cookiebanner op onze site en registreert elke gebruiker's keuzes betreffende cookies. Rol: garanderen dat niet-essentiële trackers alleen worden geactiveerd met toestemming, en bewijs bewaren van gebruikerstoestemming of weigering. Locatie: CookieYes Limited is een in het VK geregistreerd bedrijf.

• OpenAI – Kunstmatige Intelligentie: geavanceerde AI-service die we via API gebruiken voor specifieke functionaliteiten (bijv. correctie van slecht geformatteerde gegevens, beeldgeneratie op aanvraag). Rol: algoritmische verwerking van ingediende inhoud om een resultaat te produceren (gecorrigeerd bestand of gegenereerde afbeelding) teruggegeven aan Evnyo. Locatie: Verenigde Staten (OpenAI, Inc.). Garanties: Conform OpenAI API-gebruiksvoorwaarden worden overgedragen gegevens niet door OpenAI gebruikt om hun AI-modellen te trainen en worden automatisch verwijderd uit hun systemen binnen maximaal 30 dagen na verwerking.

• OVH – Domeinnaam & DNS-beheer: OVHcloud is onze registrar en DNS-host voor het domein evnyo.com. Rol: technisch beheer van de domeinnaam, DNS-records en hosting van bepaalde hulpfuncties. Locatie: Frankrijk (OVH, Frans bedrijf). Persoonsgegevens: minimale gegevens werkelijk – OVH verwerkt hoofdzakelijk technische gegevens (DNS-queries van bezoekers).

Evnyo verzekert dat alle zijn niet-EU onderverwerkers beschikken over gevalideerde overdrachts mechanismen (BCR, Standaardcontractbepalingen, adequaatheidsbesluit) en hun standaard DPA's voldoen aan artikel 28 AVG-vereisten. Evnyo verbindt zich ertoe dat elke onderverwerker voldoende garanties biedt betreffende implementatie van passende technische en organisatorische maatregelen, zodat verwerking voldoet aan AVG-vereisten en bescherming van rechten van betrokkenen garandeert. Evnyo sluit met elk van deze onderverwerkers een schriftelijk contract dat gegevensbeschermingsverplichtingen oplegt gelijkwaardig aan die van deze Overeenkomst, met name betreffende vertrouwelijkheid, beveiliging en inbreukmelding.

Evnyo blijft volledig verantwoordelijk jegens de Klant voor uitvoering door zijn onderverwerkers van gegevensbeschermingsverplichtingen. Evnyo zal deze onderverwerkers superviseren en blijft het enige contactpunt van de Klant.

Informatie en bezwaarrecht: Evnyo zal de Klant informeren over geplande wijzigingen betreffende toevoeging of vervanging van belangrijke onderverwerkers die Klantpersoonsgegevensverwerking betreffen. Deze informatie zal worden verstrekt via een melding (bijv. in de Klant admin interface of per e-mail) minimaal 15 dagen vóór de wijziging. De Klant kan redelijke en legitieme bezwaren tegen deze wijzigingen uiten binnen deze 15-dagen periode. Een bezwaar moet te goeder trouw gemotiveerd zijn, bijvoorbeeld indien de Klant meent dat een nieuwe onderverwerker onvoldoende compliance-garanties biedt.

Bij onopgelost bezwaar betreffende een nieuwe onderverwerker kan Evnyo naar eigen keuze ofwel afzien van inschakeling van deze onderverwerker ofwel een alternatieve oplossing aan de Klant voorstellen. Indien geen acceptabele oplossing wordt gevonden, kan de Klant het contract beëindigen zonder boete vanwege dit bezwaar. Deze beëindiging zal worden beschouwd als legitiem en niet-foutief aan de kant van Evnyo.

Bij beëindiging van de contractuele relatie, d.w.z. bij beëindiging of afloop van de Algemene Voorwaarden, heeft de Klant de mogelijkheid om alle namens hem verwerkte persoonsgegevens via Evnyo te verkrijgen. Evnyo verstrekt, op Klantverzoek, de gegevens in een standaard leesbaar formaat (bijv. CSV-export van gastenlijsten en reacties).

De Klant moet deze restitutieoptie uitoefenen vóór het contracteinde of uiterlijk binnen 15 dagen erna. Daarbuiten zal Evnyo overgaan tot volledige verwijdering van nog in zijn bezit zijnde Klantpersoonsgegevens volgens het volgende schema:

• Onmiddellijke actieve verwijdering: Onmiddellijk na contracteinde maakt Evnyo Klantgegevens ontoegankelijk op het platform (account gedeactiveerd). Gegevens kunnen tijdelijk bewaard worden in systeemback-ups.
• Definitieve wissing: Bij afwezigheid van tegenstrijdige Klantinstructie wist Evnyo alle Klantpersoonsgegevens binnen maximaal 90 dagen na evenementeinde of contractbeëindiging, afhankelijk van wat het eerst optreedt. Dit omvat verwijdering van actieve databases en overschrijving of versleuteling van back-ups die nog dergelijke gegevens bevatten. Op schriftelijk Klantverzoek kan Evnyo effectieve gegevensvernietiging schriftelijk bevestigen zodra deze gerealiseerd is.

Indien de Klant gegevensrestitutie vóór verwijdering wenst, kan Evnyo assisteren (deze service kan gefactureerd worden indien dit aanzienlijke kosten genereert). In elk geval behoudt Evnyo geen Klantpersoonsgegevens buiten de genoemde periode, behalve langere wettelijke bewaarplicht. Bijvoorbeeld, Evnyo kan verbindings- of transactielogs bewaren die incidenteel persoonsgegevens bevatten indien de wet dit oplegt, maar in dit geval blijven deze gegevens beschermd en afzonderlijk gearchiveerd.

Evnyo's vertrouwelijkheids- en beveiligingsverplichtingen blijven van toepassing zolang Evnyo de gegevens bewaart.

Bij noodbeëindiging (onmiddellijke opschorting wegens ernstige overtreding) heeft de Klant 7 dagen om zijn gegevens te verkrijgen via geautomatiseerde export vanuit zijn interface. Na deze periode is de normale verwijderingsprocedure van toepassing (maximaal 90 dagen volgens hierboven gedefinieerde modaliteiten).

Voor vragen of instructies betreffende bescherming van persoonsgegevens in het kader van deze Overeenkomst kan de Klant contact opnemen met Evnyo's referent gegevensbescherming. Deze referent heeft niet de status van functionaris voor gegevensbescherming in de zin van artikel 37 AVG. De contactgegevens staan vermeld in het Privacybeleid en/of op de Evnyo-site (bijv. een toegewijd e-mailadres zoals privacy@evnyo.com).

Evnyo verbindt zich ertoe elk Klantverzoek betreffende deze Overeenkomst zo spoedig mogelijk te behandelen.

7.1. Documenthiërarchie

Deze Overeenkomst vormt onderdeel van de Algemene Voorwaarden. Bij tegenstrijdigheid tussen Voorwaardbepalingen en Overeenkomstbepalingen betreffende persoonsgegevensbescherming, hebben de Overeenkomstbepalingen voorrang. Bij conflict tussen contractdocumenten en dwingende wettelijke verplichtingen hebben laatstgenoemde automatisch voorrang. De andere Voorwaardenbepalingen blijven volledig van toepassing voor alles wat niet in de Overeenkomst wordt behandeld.

7.2. Duur

Evnyo's Verwerkerverplichtingen onder deze Overeenkomst gelden gedurende de gehele duur van Serviceverlening die verwerking van persoonsgegevens namens de Klant behelst, en tot gegevenswissing. Verplichtingen die van nature voortduren (vertrouwelijkheid, assistentie, etc.) overleven zolang nodig na contracteinde.

7.3. Toepasselijk recht en jurisdictie

Deze Overeenkomst is onderworpen aan hetzelfde recht als de Algemene Voorwaarden (zie artikel 9 van de Voorwaarden), met dwingende toepassing van de AVG en Uitvoeringswet AVG. Elk geschil betreffende uitvoering of interpretatie zal geregeld worden volgens geschillenbeslechtingsmodaliteiten voorzien in de Voorwaarden. Niettemin zullen Partijen bij gegevensbeschermings-specifieke geschillen te goeder trouw samenwerken om een regulatie-conforme oplossing te vinden en indien nodig de bevoegde toezichthoudende autoriteit (bijv. Autoriteit Persoonsgegevens) raadplegen voor advies.

7.4. Volledigheid en wijziging

Deze Overeenkomst vormt de volledige overeenkomst van Partijen betreffende gegevensbescherming voor Evnyo Services. Het kan worden aangevuld of gewijzigd door een door beide Partijen ondertekend geschrift (inclusief expliciete elektronische toestemming). Evnyo behoudt zich het recht voor om Overeenkomstupdates voor te stellen bij regulatoire of Service-ontwikkelingen, volgens dezelfde modaliteiten als wijziging van Algemene Voorwaarden. De Klant zal geïnformeerd worden over substantiële wijzigingen en kan deze afwijzen door Servicebeëindiging vóór implementatie indien het hem schaadt.

Bij gerechtelijke nietigverklaring van een clausule verbinden partijen zich ertoe te goeder trouw te onderhandelen over vervanging door een gelijkwaardige en rechtmatige clausule.

Door ondertekening of elektronische acceptatie van de Algemene Voorwaarden erkennen Klant en Evnyo deze Overeenkomst gelezen en begrepen te hebben en verbinden zich tot naleving van alle bepalingen.

Laatst bijgewerkt: Juni 2025 Toepasselijk recht: Frans recht met dwingende Nederlandse bepalingen Jurisdictie: Franse rechtbanken met dwingende Nederlandse bevoegdheid Compliance: AVG, Uitvoeringswet AVG, Telecommunicatiewet