Verwerkersovereenkomst (DPA)

Deze Verwerkersovereenkomst (“Overeenkomst”) maakt onderdeel uit van, en is ondergeschikt aan, de hoofdovereenkomst (Terms of Service / abonnement) tussen partijen voor het gebruik van Tesoro CRM (“de Dienst”). Bij strijdigheid over de verwerking van persoonsgegevens prevaleert deze Overeenkomst.

Partijen

1. Verwerkingsverantwoordelijke — de klant (makelaarskantoor) die een account op de Dienst gebruikt, zoals geïdentificeerd in de hoofdovereenkomst (“Verantwoordelijke”).
2. Verwerker — Codificamos S.L., CIF B02641900, gevestigd te Calle Meliso 10, 03739, Jávea, Alicante, Spanje, ingeschreven in het Registro Mercantil de Alicante, Tomo 4329, Folio 65, Hoja A-171807 (“Verwerker” / “Tesoro”).

1. Definities

Begrippen als “persoonsgegevens”, “verwerking”, “betrokkene”, “verwerkingsverantwoordelijke”, “verwerker”, “subverwerker” en “datalek” hebben de betekenis uit de AVG/GDPR (Verordening (EU) 2016/679). “Subverwerker” = een derde die door de Verwerker wordt ingeschakeld om persoonsgegevens te verwerken.

2. Onderwerp, aard en doel

2.1 De Verwerker verwerkt persoonsgegevens uitsluitend namens en in opdracht van de Verantwoordelijke, ten behoeve van het leveren van de Dienst (een CRM voor vastgoedprofessionals).

2.2 Aard, doel, categorieën betrokkenen en persoonsgegevens, en de duur zijn gespecificeerd in Bijlage 1.

2.3 De Verantwoordelijke is en blijft verwerkingsverantwoordelijke; hij staat ervoor in dat er een geldige rechtsgrond bestaat voor de verwerkingen die hij via de Dienst uitvoert.

3. Instructies (art. 28(3)(a))

3.1 De Verwerker verwerkt de persoonsgegevens alleen op gedocumenteerde instructies van de Verantwoordelijke, waaronder deze Overeenkomst en het gebruik van de Dienst conform de documentatie.

3.2 De Verwerker stelt de Verantwoordelijke in kennis indien een instructie naar zijn oordeel inbreuk maakt op de AVG, behoudens wettelijk verbod.

3.3 Verwerkt de Verwerker op grond van een Unierechtelijke of lidstatelijke wettelijke verplichting buiten de instructies om, dan meldt hij dat vooraf, tenzij die wet dit verbiedt.

4. Vertrouwelijkheid (art. 28(3)(b))

De Verwerker waarborgt dat personen die toegang hebben tot de persoonsgegevens tot geheimhouding zijn gehouden.

5. Beveiliging (art. 28(3)(c) jo. art. 32)

5.1 De Verwerker treft passende technische en organisatorische maatregelen; de actuele maatregelen staan in Bijlage 3.

5.2 De maatregelen worden periodiek geëvalueerd (zie de halfjaarlijkse GDPR-audit) en kunnen wijzigen, mits het beschermingsniveau niet verlaagt.

6. Subverwerkers (art. 28(3)(d) jo. (2))

6.1 De Verantwoordelijke geeft algemene toestemming voor het inschakelen van de subverwerkers in Bijlage 2.

6.2 De Verwerker legt elke subverwerker bij overeenkomst dezelfde gegevensbeschermingsverplichtingen op als in deze Overeenkomst.

6.3 Bij een voorgenomen wijziging (nieuwe of vervangende subverwerker) informeert de Verwerker de Verantwoordelijke ten minste 30 dagen vooraf, zodat deze bezwaar kan maken. Bij gegrond bezwaar zoeken partijen een redelijke oplossing; lukt dat niet, dan kan de Verantwoordelijke de betreffende dienst opzeggen.

6.4 De Verwerker blijft jegens de Verantwoordelijke volledig aansprakelijk voor zijn subverwerkers.

7. Internationale doorgifte (Hoofdstuk V)

7.1 De kerngegevens worden binnen de EER opgeslagen en verwerkt (database, bestanden, e-mail, telefonie/opnames, AI — zie Bijlage 2).

7.2 Voor subverwerkers met een Amerikaanse moederonderneming (Cloudflare, Twilio, Mailgun/Sinch, en de vóór eind oktober 2026 uit te faseren diensten Mapbox en Pusher) is, voor zover incidentele toegang vanuit een derde land kan plaatsvinden, het EU-US Data Privacy Framework en/of standaardcontractbepalingen (SCC’s) van toepassing. Een kopie van de waarborgen is op verzoek beschikbaar.

8. Bijstand aan de Verantwoordelijke

8.1 Betrokkenenrechten (art. 28(3)(e)): de Verwerker assisteert de Verantwoordelijke met passende maatregelen bij verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). Verzoeken die rechtstreeks bij de Verwerker binnenkomen worden doorgestuurd.

8.2 Beveiliging, datalekken en DPIA (art. 28(3)(f) jo. 32-36): de Verwerker verleent bijstand bij beveiliging, melding van datalekken en gegevensbeschermingseffectbeoordelingen.

8.3 Datalekmelding: de Verwerker meldt een datalek zonder onredelijke vertraging en uiterlijk binnen 72 uur na ontdekking, met de in art. 33(3) bedoelde informatie voor zover beschikbaar.

9. Teruggave en verwijdering (art. 28(3)(g))

9.1 Na beëindiging verwijdert of retourneert de Verwerker, naar keuze van de Verantwoordelijke, alle persoonsgegevens.

9.2 De Verantwoordelijke kan gedurende 30 dagen na beëindiging zijn data exporteren. Daarna verwijdert de Verwerker de persoonsgegevens binnen 30 dagen, behoudens back-ups die op een rollende cyclus van 90 dagen worden gewist en gegevens die wettelijk bewaard moeten blijven.

10. Audits (art. 28(3)(h))

10.1 De Verwerker stelt op verzoek de informatie beschikbaar die nodig is om naleving aan te tonen, waaronder de uitkomsten van de halfjaarlijkse interne GDPR-audit en eventuele certificeringen.

10.2 De Verantwoordelijke kan ten hoogste eenmaal per jaar (en na een datalek) een audit laten uitvoeren, met redelijke vooraankondiging, tijdens kantooruren, zonder de bedrijfsvoering onevenredig te verstoren.

11. Aansprakelijkheid en duur

11.1 Aansprakelijkheid volgt de hoofdovereenkomst, met inachtneming van art. 82 AVG (dwingend recht).

11.2 Deze Overeenkomst geldt zolang de Verwerker persoonsgegevens namens de Verantwoordelijke verwerkt.

11.3 Deze Overeenkomst geldt in haar op dat moment geldende versie, die de basis vormt van de afspraken tussen partijen. Codificamos kan de inhoud wijzigen, mits het beschermingsniveau voor betrokkenen niet daalt en met inachtneming van het wijzigingsmechanisme voor subverwerkers (§6.3). De actuele versie is van toepassing.

12. Toepasselijk recht

Spaans recht; bevoegde rechter Alicante, onverminderd dwingende bevoegdheidsregels.

Ondertekening

Aldus overeengekomen. De Verwerkingsverantwoordelijke aanvaardt deze Overeenkomst door ondertekening hieronder, dan wel door aanvaarding van de hoofdovereenkomst bij registratie.

Bijlage 1 — Verwerkingsdetails

Categorieën betrokkenen: eindklanten van de makelaar (kopers, verkopers, eigenaren, leads, portal-users); zakelijke relaties/contactpersonen.

Categorieën persoonsgegevens:

• Identiteit & contact: naam, e-mail, telefoon, WhatsApp-nummer, adres, taal
• Locatie: geolocatie van een contact (indien ingevuld)
• Profiel/voorkeuren: zoekprofiel, budget, dealhistorie, favoriete objecten
• Financieel: commissie, dealwaarde, biedbedragen, kredietvoorwaarden (relaties)
• Communicatie-inhoud: e-mails (+ bijlagen), WhatsApp-berichten (+ media), call-opnames (audio), notities, opmerkingen
• Portal-account: inloggegevens (gehasht), laatste login
• Vrije tekst: omschrijvingen/notities (kunnen incidenteel bijzondere gegevens bevatten — zie beleid)

Bijzondere categorieën (art. 9): niet structureel verzameld. De Verantwoordelijke wordt verzocht geen art. 9-gegevens in vrije-tekstvelden in te voeren, tenzij hij daarvoor een geldige grondslag heeft.

Bijlage 2 — Subverwerkers (stand 2026-06-30)

Klant-gekoppelde mailintegraties (Gmail/Outlook/Zoho/IMAP) zijn geen subverwerkers van Tesoro: de Verantwoordelijke koppelt zijn eigen account en is daarvoor zelf verantwoordelijk.

Bijlage 3 — Technische en organisatorische maatregelen (art. 32)

• Dataresidentie: kerngegevens binnen de EER (zie Bijlage 2).
• Versleuteling: TLS voor transport; encryptie-at-rest bij MongoDB Atlas en Cloudflare R2.
• Toegangsbeheer: rolgebaseerde toegang (admin/employee), multi-tenant scheiding per company.
• Authenticatie: wachtwoorden gehasht met bcrypt; JWT-sessies.
• Webhooks: HMAC-SHA256-ondertekend.
• Logging/monitoring: technische logs met beperkte bewaartermijn; interne halfjaarlijkse GDPR-audit.