Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 13 november 2025

Verwerkersovereenkomst FenoFin

Versie 1.0 - Laatst bijgewerkt: 13 november 2025

Wanneer u (hierna: "Verwerkingsverantwoordelijke") gebruik maakt van de software en diensten van FenoFin (hierna: "Verwerker"), legt u diverse persoonsgegevens van uw klanten, leveranciers en andere relaties vast. In de Algemene Verordening Gegevensbescherming (AVG) wordt u aangemerkt als Verwerkingsverantwoordelijke voor deze gegevens.

FenoFin treedt op als Verwerker, omdat wij deze persoonsgegevens namens u verwerken binnen ons platform. Deze Verwerkersovereenkomst (hierna: "Overeenkomst") is onderdeel van de Gebruikersvoorwaarden tussen u en FenoFin en beschrijft de rechten en plichten met betrekking tot de verwerking van persoonsgegevens.

Artikel 1: Definities

De termen in deze Overeenkomst hebben de betekenis zoals vastgelegd in de AVG.

  • Administratie: De boekhouding die door Verwerkingsverantwoordelijke met behulp van de FenoFin-software wordt gevoerd en waarin Persoonsgegevens worden opgeslagen.
  • Betrokkene: De persoon op wie de Persoonsgegevens betrekking hebben (bijv. uw klanten, leveranciers of relaties).
  • Persoonsgegevens: Alle gegevens in de Administratie die informatie geven over een geïdentificeerde of identificeerbare natuurlijke persoon.
  • Verwerkingsverantwoordelijke: U, de klant van FenoFin, die het doel en de middelen voor de verwerking van de Persoonsgegevens in de Administratie vaststelt.
  • Verwerker: FenoFin (gevestigd te Zuidlaren, e-mail: [email protected]), die de Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.
  • Sub-verwerker: Een derde partij die door Verwerker wordt ingeschakeld om (een deel van) de Persoonsgegevens te verwerken.

Artikel 2: Partijen

Als in deze Overeenkomst 'u' of 'uw' wordt gebruikt, bedoelen we de Verwerkingsverantwoordelijke (de FenoFin-klant). Als 'wij', 'we' of 'ons' wordt gebruikt, bedoelen we FenoFin (de Verwerker).

Artikel 3: Toepasselijkheid en duur

Deze Overeenkomst treedt in werking zodra u de Gebruikersvoorwaarden van FenoFin accepteert en gebruikmaakt van onze diensten. De Overeenkomst blijft van kracht zolang de hoofovereenkomst (uw abonnement) loopt en eindigt automatisch bij beëindiging daarvan.

Artikel 4: Aard en doel van de verwerking

Wij verwerken de Persoonsgegevens uitsluitend in uw opdracht en voor de doeleinden die zijn vastgelegd in de hoofovereenkomst.

  • Doel: Het primaire doel is het leveren van de FenoFin boekhoud- en strategiesoftware, inclusief opslag, bewerking en analyse van de door u ingevoerde administratieve gegevens.
  • Afgeleide doelen:
    1. Het bieden van technische en inhoudelijke ondersteuning (support).
    2. Het beveiligen, monitoren en optimaliseren van het FenoFin-platform.
    3. Het waarborgen van continuïteit (o.a. het maken van back-ups).
    4. Het leveren van (AI-gedreven) analyses en inzichten, zoals boekingsvoorstellen of strategische analyses (indien onderdeel van uw abonnement).
    5. Het (geanonimiseerd) analyseren van data ter verbetering van het platform en het ontwikkelen van nieuwe functionaliteiten.
  • Categorieën Betrokkenen: Debiteuren (klanten), crediteuren (leveranciers) en overige relaties van de Verwerkingsverantwoordelijke.
  • Soorten Persoonsgegevens: Contactgegevens (naam, adres, e-mail), bankgegevens (rekeningnummers), factuurgegevens, en overige financiële en administratieve gegevens die u in het platform invoert.

Artikel 5: Onze verplichtingen als Verwerker

Wij houden ons aan de wet- en regelgeving, waaronder de AVG.

  • Wij verwerken de Persoonsgegevens alleen op basis van uw schriftelijke instructies (vastgelegd in deze Overeenkomst).
  • Wij zullen u onmiddellijk informeren als een instructie van u naar onze mening inbreuk maakt op de AVG.
  • Wij gebruiken de Persoonsgegevens niet voor eigen doeleinden, met uitzondering van geanonimiseerde data voor platformverbetering (zoals beschreven in Artikel 4).
  • Wij waarborgen de geheimhouding van de Persoonsgegevens. Al onze medewerkers en ingeschakelde derden zijn contractueel verplicht tot geheimhouding.

Artikel 6: Inschakelen van Sub-verwerkers

U geeft ons hierbij algemene toestemming om Sub-verwerkers in te schakelen voor het leveren van de dienst. Wij zorgen ervoor dat wij met deze Sub-verwerkers (minimaal) dezelfde contractuele verplichtingen overeenkomen als in deze Overeenkomst.

FenoFin maakt momenteel gebruik van de volgende categorieën Sub-verwerkers:

  • Hosting- en Cloudinfrastructuur: Voor de opslag van data en het draaien van de applicatie.
  • AI-Dienstverleners (Google LLC): Voor het uitvoeren van analyses binnen de Strategiemodule (zie Artikel 7).
  • Betalingsdienstverleners: Voor het verwerken van uw abonnementsbetalingen (deze verwerken uw data, niet die van uw klanten).
  • E-maildienstverleners: Voor het versturen van support- en serviceberichten.

Wij zullen u informeren over wijzigingen (toevoeging of vervanging) in onze Sub-verwerkers. U heeft het recht om binnen 14 dagen na kennisgeving bezwaar te maken. Indien wij geen gehoor kunnen geven aan uw bezwaar, heeft u het recht de hoofovereenkomst te beëindigen.

Artikel 7: Locatie van gegevens (Doorgifte)

Wij streven ernaar alle Persoonsgegevens binnen de Europese Economische Ruimte (EER) te verwerken en op te slaan.

Voor specifieke diensten, met name de AI-functionaliteit binnen de Strategiemodule, maken wij gebruik van diensten van Google LLC. Dit kan een doorgifte van Persoonsgegevens naar de Verenigde Staten (buiten de EER) inhouden. Wij zorgen ervoor dat een dergelijke doorgifte alleen plaatsvindt onder passende waarborgen, zoals vereist door de AVG (bijvoorbeeld op basis van het EU-VS Data Privacy Framework of Standaard Contractuele Clausules).

Artikel 8: Beveiliging (TOMs)

Wij nemen passende technische en organisatorische maatregelen (TOMs) om de Persoonsgegevens in uw Administratie te beveiligen tegen verlies, misbruik, en onbevoegde toegang, conform Artikel 32 van de AVG. Deze maatregelen omvatten, maar zijn niet beperkt tot:

  • Versleuteling (encryptie) van data, zowel tijdens verzending (in transit) als bij opslag (at rest).
  • Strikt toegangsbeheer (rolgebaseerde toegang).
  • Periodieke back-ups en procedures voor tijdig herstel bij een incident.
  • Beveiligingsmonitoring en logging.

Voor vragen over ons beveiligingsbeleid kunt u contact opnemen via [email protected].

Artikel 9: Rechten van Betrokkenen

U, als Verwerkingsverantwoordelijke, bent primair verantwoordelijk voor het afhandelen van verzoeken van uw Betrokkenen (uw klanten) die hun AVG-rechten uitoefenen (zoals inzage, rectificatie of verwijdering).

Wij zullen, voor zover mogelijk, redelijke medewerking verlenen om u in staat te stellen aan uw verplichtingen te voldoen. Wij zullen verzoeken die wij rechtstreeks van uw Betrokkenen ontvangen, direct naar u doorsturen.

Artikel 10: Audits en inspecties

U heeft het recht om periodiek te controleren (auditen) of wij onze verplichtingen onder deze Overeenkomst naleven. Wij zullen alle redelijkerwijs benodigde informatie ter beschikking stellen om dit aan te tonen.

Indien u een inspectie of audit ter plaatse wilt uitvoeren, dient u dit minimaal vier (4) weken van tevoren schriftelijk aan te vragen. Dergelijke audits vinden plaats onder geheimhouding. Alle redelijke kosten die wij maken voor onze medewerking aan een dergelijke audit worden aan u doorbelast.

Artikel 11: Verzoeken van derden

Wij zullen de Persoonsgegevens niet aan derden (zoals overheidsinstanties) verstrekken, tenzij wij hiertoe wettelijk verplicht zijn. Indien wij een dergelijk verzoek ontvangen, zullen wij u hiervan onmiddellijk op de hoogte stellen, tenzij de wet ons dit verbiedt.

Artikel 12: Uw verplichtingen als Verantwoordelijke

U garandeert dat de verwerking van de Persoonsgegevens binnen de FenoFin-applicatie, inclusief de invoer van data, rechtmatig is en geen inbreuk maakt op de rechten van derden. U vrijwaart FenoFin voor alle aanspraken van derden (inclusief Betrokkenen of toezichthouders) die voortvloeien uit het niet naleven van deze garantie.

Artikel 13: Melding van datalekken

Indien wij kennis nemen van een inbreuk in verband met persoonsgegevens (een datalek) die betrekking heeft op uw Administratie, informeren wij u hierover zonder onredelijke vertraging.

Deze melding omvat ten minste:

  • De aard van het datalek.
  • De categorieën Betrokkenen en, indien mogelijk, het aantal.
  • De contactgegevens voor meer informatie.
  • De waarschijnlijke gevolgen van het datalek.
  • De maatregelen die wij hebben genomen of voorstellen om de gevolgen te beperken.

U bent zelf verantwoordelijk voor de eventuele meldplicht aan de Autoriteit Persoonsgegevens en/of het informeren van de Betrokkenen.

Artikel 14: Teruggave en vernietiging van gegevens

U kunt gedurende de looptijd van de hoofovereenkomst uw gegevens exporteren via de daartoe bestemde functies in de software.

Tot drie (3) maanden na beëindiging van de hoofovereenkomst (uw abonnement) stellen wij u in staat uw gegevens te downloaden. Na afloop van deze periode zullen wij alle Persoonsgegevens in uw Administratie permanent vernietigen, tenzij op ons een wettelijke plicht tot langere opslag rust.

Artikel 15: Aansprakelijkheid

Partijen erkennen dat de verwerking van persoonsgegevens risico's met zich meebrengt. Onze aansprakelijkheid voor schade die voortvloeit uit het niet-naleven van deze Verwerkersovereenkomst, of uit enige andere onrechtmatige daad of tekortkoming die aan ons toerekenbaar is, is beperkt.

De beperking van de aansprakelijkheid zoals overeengekomen in de Gebruikersvoorwaarden (hoofdovereenkomst) is van overeenkomstige toepassing op deze Verwerkersovereenkomst. Dit betekent dat onze totale aansprakelijkheid te allen tijde beperkt is tot het maximale bedrag zoals omschreven in de Gebruikersvoorwaarden (doorgaans het bedrag dat u in de 12 maanden voorafgaand aan de gebeurtenis aan FenoFin heeft betaald).

Deze beperking geldt niet in geval van opzet of grove schuld aan de zijde van FenoFin.

Artikel 16: Conflicterende bepalingen

Indien bepalingen uit deze Verwerkersovereenkomst conflicteren met bepalingen uit de Gebruikersvoorwaarden of andere overeenkomsten, prevaleren de bepalingen van deze Verwerkersovereenkomst als het gaat om de verwerking van persoonsgegevens.

Artikel 17: Beëindiging

Deze Overeenkomst wordt beëindigd zodra de hoofovereenkomst (uw abonnement) wordt beëindigd. Bepalingen die naar hun aard bedoeld zijn om na beëindiging van kracht te blijven (zoals geheimhouding, aansprakelijkheid, en vernietiging van gegevens) blijven van kracht.