Verwerkersovereenkomst
DPA — Data Processing Agreement · Versie 2026.1
This legal page is only available in Dutch. For an English summary or an officially translated version, email privacy@craftbon.nl.
Korte samenvatting
Als jij Craftbon gebruikt om persoonsgegevens van je klanten te verwerken (bv. namen, adressen, e-mails op offertes en facturen), ben jij verwerkingsverantwoordelijke en zijn wij verwerker. Deze verwerkersovereenkomst legt onze afspraken daarover vast conform AVG art. 28.
1. Onderwerp
Deze DPA is van toepassing op alle verwerking van persoonsgegevens die Craftbon B.V. ("Verwerker") uitvoert in opdracht van de klant ("Verwerkingsverantwoordelijke") in het kader van het gebruik van het Craftbon-platform.
2. Aard, doel en categorieën
- Aard: opslag, ordening, raadpleging, gebruik, verstrekking en wissing van persoonsgegevens.
- Doel: levering van het SaaS-platform — offertes, facturen, werkbonnen, klantbeheer, Wkb-dossiers.
- Categorieën persoonsgegevens: NAW-gegevens, contactgegevens, financiële gegevens (factuurbedragen), projectgegevens, foto's en handtekeningen op werkbonnen.
- Categorieën betrokkenen: klanten van de verwerkingsverantwoordelijke (eindklanten), medewerkers van de verwerkingsverantwoordelijke.
3. Subverwerkers
Craftbon schakelt onderstaande subverwerkers in. Met elk van hen is een verwerkersovereenkomst gesloten. Bij wijzigingen informeren we de verwerkingsverantwoordelijke minimaal 30 dagen vooraf.
| Subverwerker | Doel | Locatie |
|---|---|---|
| Neon (PostgreSQL) | Database-hosting (klant-, offerte-, factuur-, dossierdata) | EU (Frankfurt) |
| AWS Frankfurt | Compute, file-storage, backups | EU (Frankfurt) |
| Clerk | Authenticatie + sessie-beheer (e-mail, naam) | EU + US (DPF-gecertificeerd) |
| Postmark | Transactionele e-mails (offerte/factuur/notificaties) | EU + US (DPF-gecertificeerd) |
| Mollie | Betalingen + abonnementen | EU (NL) |
| Vercel | Edge hosting (statische assets, API-routes) | EU + US (DPF-gecertificeerd) |
4. Beveiligingsmaatregelen
- Versleutelde verbindingen (HTTPS/TLS) voor al het verkeer tussen browser en platform.
- Database-encryptie at-rest via onze hosting-leveranciers (Neon + AWS Frankfurt) volgens EU-standaarden.
- Wachtwoorden worden nooit plaintext opgeslagen — authenticatie loopt via Clerk (industry-standard hashing + 2FA-optie voor accounts).
- Audit-logs op data-mutaties die kritisch zijn voor klant- en financiële data, beschikbaar voor account-eigenaars.
- Dagelijkse database-backups met retentie via Neon.
- Toegang tot productie-omgeving alleen via 2FA-beveiligde accounts; geen permanent SSH-toegang voor medewerkers.
Voor specifieke beveiligings-eisen (ISO 27001, SOC2, penetratie-test rapporten) op aanvraag — we zijn open over wat we wel en nog niet hebben.
5. Datalek-meldplicht
Bij een datalek dat persoonsgegevens van de verwerkingsverantwoordelijke betreft, melden we dit binnen 24 uur na ontdekking via security@craftbon.nl.
6. Rechten van betrokkenen
Verzoeken tot inzage, correctie of verwijdering kunnen rechtstreeks worden uitgevoerd via de instellingen in het platform. Voor complexere verzoeken (bv. dataportabiliteit) helpen we binnen 30 dagen via privacy@craftbon.nl.
7. Onderaanneming + audit
De verwerkingsverantwoordelijke heeft het recht om eens per kalenderjaar audits uit te (laten) voeren onder redelijke voorwaarden. Voor de ondertekende, juridisch bindende DPA-PDF (incl. handtekening) en voor onze actuele beveiligings- documentatie kun je contact opnemen.
Vraag ondertekende DPA aan8. Geldigheid
Deze DPA geldt zolang er een actieve abonnementsovereenkomst is en wordt automatisch beëindigd 30 dagen na het opzeggen van het abonnement. Persoonsgegevens worden binnen die 30 dagen geanonimiseerd of verwijderd, tenzij wettelijke bewaarplicht (bijvoorbeeld 7 jaar fiscale administratie) anders voorschrijft.
Vragen over deze DPA? Mail legal@craftbon.nl of bel ons via de contactpagina.