Laatst bijgewerkt: 2026-05-27
Deze gegevensverwerkingsovereenkomst (“DPA”) maakt deel uit van de overeenkomst tussen Koalendar (“Verwerker”, “wij”, “ons”) en de klantorganisatie die Koalendar gebruikt (“Klant”, “Verwerkingsverantwoordelijke”, “jij”) en is van toepassing voor zover Koalendar Persoonsgegevens namens de Klant verwerkt bij het leveren van de Koalendar-dienst (de “Dienst”).
Deze DPA is door verwijzing opgenomen in onze algemene voorwaarden. Door een account aan te maken of de Dienst te gebruiken, ga je akkoord met deze DPA.
Voor een algemeen overzicht van hoe Koalendar AVG-gerelateerde vereisten ondersteunt, bekijk je onze AVG-pagina.
1. Definities
Tenzij hier anders gedefinieerd, hebben termen in deze DPA de betekenis die daaraan wordt gegeven in de AVG/GDPR, de CCPA of onze voorwaarden.
- “CCPA” betekent de California Consumer Privacy Act, zoals gewijzigd door de California Privacy Rights Act (CPRA).
- “AVG/GDPR” betekent Verordening (EU) 2016/679.
- “Persoonsgegevens” betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die namens de Klant wordt verwerkt.
- “Verwerking” heeft de betekenis die daaraan in de AVG/GDPR wordt gegeven.
- “Subverwerker” betekent een derde partij die door Koalendar is aangesteld om Persoonsgegevens namens de Klant te verwerken.
2. Rollen en reikwijdte
- De Klant is de Verwerkingsverantwoordelijke voor Persoonsgegevens die aan de Dienst worden verstrekt of via de Dienst worden verzameld voor afspraakplanning, zoals gegevens van genodigden en boekingen.
- Koalendar is de Verwerker van die Persoonsgegevens en verwerkt ze alleen volgens de gedocumenteerde instructies van de Klant, zoals beschreven in deze DPA en de functionaliteit van de Dienst.
Deze DPA is niet van toepassing op:
- Gegevens die Koalendar als zelfstandige verwerkingsverantwoordelijke verwerkt, bijvoorbeeld voor accountbeheer, facturering en marketing waar van toepassing.
- Diensten van derden die de Klant naar keuze inschakelt, zoals Zoom of agendaproviders. Die providers handelen als onafhankelijke derden onder hun eigen voorwaarden en privacybeleid.
3. Details van de verwerking (artikel 28(3))
De details van de verwerking staan beschreven in Bijlage 1: onderwerp, duur, aard en doel van de verwerking, soorten Persoonsgegevens en categorieën betrokkenen.
4. Verplichtingen van de Verwerker
Koalendar zal:
- Verwerken op instructie. Persoonsgegevens alleen verwerken volgens gedocumenteerde instructies van de Klant, zoals geïmplementeerd via de functionaliteit van de Dienst, inclusief doorgiften van Persoonsgegevens naar een derde land of internationale organisatie, tenzij toepasselijke wetgeving anders vereist. In dat geval informeren we de Klant, tenzij dit verboden is.
- Vertrouwelijkheid waarborgen. Ervoor zorgen dat personen die bevoegd zijn Persoonsgegevens te verwerken, zich tot vertrouwelijkheid hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen.
- Beveiliging bieden. Passende technische en organisatorische maatregelen implementeren om Persoonsgegevens te beschermen (zie Bijlage 1 voor een samenvatting).
- Subverwerkers beheren. Subverwerkers alleen gebruiken zoals beschreven in Sectie 5.
- De Klant ondersteunen. Redelijke ondersteuning bieden bij het beantwoorden van verzoeken van betrokkenen en het naleven van AVG-verplichtingen, zoals beschreven in Sectie 7.
- Datalekken melden. De Klant zonder onredelijke vertraging informeren nadat Koalendar kennis heeft gekregen van een Inbreuk in verband met Persoonsgegevens die Persoonsgegevens van de Klant raakt, zoals beschreven in Sectie 8.
- Verwijderen of teruggeven. Persoonsgegevens verwijderen of teruggeven aan het einde van de dienstverlening, zoals beschreven in Sectie 9.
- Informatie en audits. Informatie beschikbaar stellen die redelijkerwijs nodig is om naleving van deze DPA aan te tonen en audits toestaan zoals beschreven in Sectie 10.
5. Subverwerkers
5.1 Geautoriseerde subverwerkers
De Klant machtigt Koalendar om Subverwerkers in te schakelen om Persoonsgegevens namens de Klant te verwerken. Een lijst van huidige Subverwerkers staat in Bijlage 2.
5.2 Verplichtingen van subverwerkers
Koalendar zal:
- Gegevensbeschermingsvoorwaarden opleggen aan Subverwerkers die niet minder beschermend zijn dan deze DPA, inclusief passende verplichtingen rond vertrouwelijkheid en beveiliging.
- Verantwoordelijk blijven voor de uitvoering van verplichtingen van Subverwerkers voor zover toepasselijke wetgeving dat vereist.
5.3 Wijzigingen in subverwerkers
Koalendar kan Subverwerkers van tijd tot tijd bijwerken. Als we een Subverwerker toevoegen of vervangen, werken we Bijlage 2 bij. Als de Klant een redelijk bezwaar heeft dat verband houdt met gegevensbescherming, kan de Klant ons daar tijdig van op de hoogte stellen. Als de partijen het probleem niet kunnen oplossen, kan de Klant het getroffen deel van de Dienst niet langer gebruiken of het getroffen deel van de Dienst of de Dienst beëindigen volgens de voorwaarden.
6. Internationale gegevensdoorgiften
De Klant erkent dat sommige Subverwerkers Persoonsgegevens buiten de EER, het Verenigd Koninkrijk of Zwitserland kunnen verwerken.
Wanneer de AVG/GDPR een doorgiftemechanisme voor zulke doorgiften vereist, komen de partijen overeen dat:
- Koalendar ervoor zorgt dat een passend doorgiftemechanisme van toepassing is, zoals de EU Standard Contractual Clauses (Module Two, controller to processor) en, waar van toepassing, het UK Addendum.
- Koalendar, indien vereist, aanvullende maatregelen implementeert die passen bij het doorgifterisico.
7. Ondersteuning bij verzoeken van betrokkenen en AVG/CCPA-verplichtingen
Rekening houdend met de aard van de verwerking en de informatie waarover Koalendar beschikt, bieden we de Klant redelijke ondersteuning bij:
- Het beantwoorden van verzoeken van betrokkenen, zoals inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar onder de AVG/GDPR en vergelijkbare wetgeving.
- Het beantwoorden van consumentenverzoeken onder de CCPA, zoals Right to Know, Right to Delete en Right to Correct, waar Koalendar Persoonsgegevens namens de Klant verwerkt.
- Beveiliging, melding van datalekken en gegevensbeschermingseffectbeoordelingen waar van toepassing.
De Klant blijft verantwoordelijk voor het beantwoorden van verzoeken van betrokkenen en consumenten. Verzoeken kunnen worden ingediend via dpo@koalendar.com met voldoende details om het relevante account en de boekingspagina te identificeren.
8. Inbreuk in verband met Persoonsgegevens
Koalendar informeert de Klant zonder onredelijke vertraging nadat Koalendar kennis heeft gekregen van een Inbreuk in verband met Persoonsgegevens die Persoonsgegevens van de Klant raakt en verstrekt redelijk beschikbare informatie over:
- De aard van de inbreuk.
- De waarschijnlijke gevolgen.
- De genomen of voorgestelde maatregelen om de inbreuk aan te pakken.
9. Bewaring, verwijdering en teruggave
De Klant kan gegevens via de Dienst verwijderen, waar beschikbaar, of verwijdering aanvragen via dpo@koalendar.com.
Na beëindiging of afloop van de Dienst verwijdert Koalendar Persoonsgegevens van de Klant of geeft deze terug in overeenstemming met de standaardpraktijken voor bewaring en verwijdering van de Dienst, tenzij toepasselijke wetgeving opslag van de Persoonsgegevens vereist.
10. Audits en nalevingsinformatie
Koalendar stelt informatie beschikbaar die redelijkerwijs nodig is om naleving van deze DPA aan te tonen. Als de Klant een audit nodig heeft, moet de Klant redelijke voorafgaande kennisgeving geven en moet de audit:
- Beperkt blijven tot informatie die relevant is voor Persoonsgegevens van de Klant.
- De activiteiten van Koalendar niet onredelijk verstoren.
- Onderworpen zijn aan passende vertrouwelijkheidsverplichtingen.
Waar mogelijk kan Koalendar auditverzoeken afhandelen door certificeringen van derden, auditrapporten of samenvattingen te verstrekken.
11. Overige bepalingen
- Voorrang. Als er een conflict is tussen deze DPA en de voorwaarden over de verwerking van Persoonsgegevens, heeft deze DPA voorrang.
- Aansprakelijkheid. De aansprakelijkheidsbepalingen in de voorwaarden zijn van toepassing op deze DPA voor zover wettelijk toegestaan.
Bijlage 1: Verwerkingsdetails
A. Onderwerp
Het leveren van de Dienst, inclusief workflows voor afspraakplanning en communicatie.
B. Duur
De duur van het gebruik van de Dienst door de Klant, plus eventuele beperkte bewaartermijnen die nodig zijn voor beveiliging, back-ups, geschillenbeslechting of wettelijke naleving.
C. Aard en doel van de verwerking
- Boekingspagina’s en afspraken aanmaken en beheren.
- Boekingsgerelateerde meldingen verzenden, zoals e-mail en sms waar geconfigureerd.
- Klantenservice bieden.
- Misbruik en fraude voorkomen.
- Service-analytics leveren en prestaties verbeteren.
D. Categorieën betrokkenen
- Eindgebruikers van de Klant, zoals genodigden en andere deelnemers.
- Gebruikers en beheerders van de Klant.
E. Soorten Persoonsgegevens
Afhankelijk van de configuratie door de Klant en hoe de Dienst wordt gebruikt:
- Identiteits- en contactgegevens, zoals naam, e-mailadres en telefoonnummer.
- Boekings- en planningsmetadata, zoals afspraakdatum, duur, eventnaam en antwoorden op boekingsformulier-vragen.
- Technische gegevens, zoals IP-adres, apparaat- en browsermetadata en logs.
- Integratiemetadata, zoals agenda-afspraak-ID’s en vergaderlinks, indien ingeschakeld.
De Klant mag geen bijzondere categorieën persoonsgegevens indienen zoals bedoeld in artikel 9 AVG/GDPR, tenzij dit strikt noodzakelijk is en door de Klant op eigen verantwoordelijkheid is geconfigureerd.
F. Beveiligingsmaatregelen (samenvatting)
Koalendar onderhoudt een beveiligingsprogramma dat is ontworpen om Persoonsgegevens te beschermen, waaronder maatregelen zoals:
- Versleuteling tijdens overdracht (TLS) en versleuteling in rust voor klantgegevens die in Koalendar-databases zijn opgeslagen.
- Toegangscontroles voor productiesystemen.
- Rolgebaseerde toegangscontroles en multi-factor authenticatie voor bevoorrechte toegang.
- Logging en monitoring.
- Veilige ontwikkel- en change-managementpraktijken.
Beveiligingsmaatregelen kunnen van tijd tot tijd worden bijgewerkt volgens industrienormen.
Bijlage 2: Subverwerkers
Koalendar kan de volgende Subverwerkers gebruiken om de Dienst te leveren. De hieronder genoemde verwerkingslocaties zijn gebruikelijk; sommige leveranciers kunnen gegevens in extra regio’s verwerken, afhankelijk van configuratie en operationele behoeften.
| Subverwerker | Doel | Gebruikelijke verwerkingslocatie |
|---|---|---|
| Google Cloud Platform (inclusief Firebase) | Applicatiehosting, gegevensopslag, logs en achtergrondverwerking | Verenigde Staten en EER |
| Twilio | Sms-bezorging en berichten | Verenigde Staten en andere regio’s |
| Amazon Web Services (SES) | E-mailbezorging | Verenigde Staten en andere regio’s |
| Mixpanel | Productanalytics | Verenigde Staten |
| Microsoft (Clarity) | Sessieanalytics en diagnostiek | Verenigde Staten en EER |
| Help Scout | Klantenservice en helpdesk | Verenigde Staten |
| HubSpot | Sales- en contactbeheer | Verenigde Staten en EER |
| Stripe | Betalings- en factuurverwerking | Verenigde Staten en EER |
| OpenAI | Geautomatiseerde contentmoderatie en AI-ondersteunde functies waar ingeschakeld | Verenigde Staten en andere regio’s |
| Slack | Interne meldingen voor support en operations | Verenigde Staten en andere regio’s |
| Tally | Optionele formulieren, zoals kortingsaanvragen en feedback | België |