Verwerkersovereenkomst
Standaard verwerkersovereenkomst voor klanten van LeadBron — Versie 1.0 — 5 april 2026
Wanneer is dit van toepassing?
Deze verwerkersovereenkomst (VWO) is van toepassing zodra u als klant gebruik maakt van de Review Funnel of andere diensten waarbij LeadBron persoonsgegevens van uw klanten verwerkt. U bent dan de 'Verwerkingsverantwoordelijke' en LeadBron de 'Verwerker'. Dit document voldoet aan de vereisten van artikel 28 AVG/GDPR.
Door het accepteren van de Algemene Voorwaarden en het gebruik van deze diensten aanvaardt u tevens deze verwerkersovereenkomst. Wilt u een ondertekend exemplaar ontvangen? Mail naar info@leadbron.nl.
Partijen
Verwerkingsverantwoordelijke
De Klant
Zoals geregistreerd bij het aangaan van de overeenkomst met LeadBron.
Hierna te noemen: "Verantwoordelijke"
Verwerker
LeadBron (Andrew Hodgson)
Druten, Nederland
KvK: 09146350
Hierna te noemen: "Verwerker"
Artikel 1 — Onderwerp en doel van de verwerking
De Verwerker verwerkt in opdracht van de Verantwoordelijke persoonsgegevens ten behoeve van de volgende diensten:
| Dienst | Doel verwerking | Categorieën betrokkenen | Soorten gegevens |
|---|---|---|---|
| Review Funnel | Verzamelen en beheren van klantreviews | Klanten van Verantwoordelijke | Naam, e-mailadres, reviewtekst, beoordeling, IP-adres |
| E-mail notificaties | Versturen van review-uitnodigingen | Klanten van Verantwoordelijke | Naam, e-mailadres |
Artikel 2 — Verplichtingen van de Verwerker
De Verwerker verplicht zich:
- Persoonsgegevens uitsluitend te verwerken conform de gedocumenteerde instructies van de Verantwoordelijke en dit beleid.
- Persoonsgegevens nooit te verkopen, te verhuren of te delen met derden voor eigen commerciële doeleinden.
- Passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen (AVG art. 32), waaronder:
- Versleutelde verbindingen (HTTPS/TLS)
- Toegangsbeheer via API-sleutels en sterke authenticatie
- Regelmatige back-ups opgeslagen in Nederland
- Lokale AI-verwerking — geen data naar externe AI-diensten
- Personen die betrokken zijn bij de verwerking te verplichten tot geheimhouding.
- De Verantwoordelijke onmiddellijk (uiterlijk binnen 24 uur) te informeren bij een datalek dat redelijkerwijs gevolgen kan hebben voor de betrokkenen.
- De Verantwoordelijke te ondersteunen bij het afhandelen van verzoeken van betrokkenen (inzage, correctie, verwijdering).
- Na beëindiging van de dienst alle persoonsgegevens van betrokkenen te verwijderen of terug te geven aan de Verantwoordelijke, naar keuze van de Verantwoordelijke.
Artikel 3 — Subverwerkers
De Verwerker maakt gebruik van de volgende subverwerkers voor de in art. 1 beschreven verwerkingen:
Brevo (Sendinblue)
E-mail verzending — EU (FR)
Verwerkt e-mailadressen voor review-uitnodigingen
TransIP B.V.
Serverhosting — NL
Database opgeslagen op server in Nederland
De Verwerker zal de Verantwoordelijke op de hoogte stellen van eventuele wijzigingen met betrekking tot subverwerkers, zodat de Verantwoordelijke bezwaar kan maken.
Artikel 4 — Rechten van betrokkenen
De Verantwoordelijke is primair verantwoordelijk voor het afhandelen van verzoeken van betrokkenen. De Verwerker verleent hieraan medewerking. Verzoeken van betrokkenen die rechtstreeks bij de Verwerker worden ingediend, worden doorgestuurd naar de Verantwoordelijke, tenzij de Verantwoordelijke de Verwerker schriftelijk heeft gemachtigd namens hem te handelen.
Artikel 5 — Bewaartermijnen
Persoonsgegevens van betrokkenen worden bewaard zolang de dienst actief is. Na beëindiging van de overeenkomst worden alle persoonsgegevens binnen 30 dagen verwijderd, tenzij de Verantwoordelijke om retournering verzoekt. Op uitdrukkelijk verzoek van de Verantwoordelijke kunnen gegevens eerder worden verwijderd.
Artikel 6 — Datalekken
Bij een (vermoedelijk) datalek neemt de Verwerker onmiddellijk de nodige maatregelen om verdere schade te beperken en informeert de Verantwoordelijke hierover binnen 24 uur, met tenminste:
- Een beschrijving van de aard van het datalek
- De categorieën en het (geschatte) aantal betrokkenen
- De categorieën en het (geschatte) aantal getroffen persoonsgegevens
- De maatregelen die zijn genomen of voorgesteld
De Verantwoordelijke is verantwoordelijk voor het melden bij de Autoriteit Persoonsgegevens (indien vereist) en het informeren van betrokkenen.
Artikel 7 — Audit en verantwoording
De Verwerker stelt de Verantwoordelijke op verzoek informatie beschikbaar die nodig is om aan te tonen dat aan de verplichtingen uit deze overeenkomst wordt voldaan. De Verwerker draagt bij aan audits die door of namens de Verantwoordelijke worden uitgevoerd, mits deze redelijk van opzet zijn en minimaal 14 dagen van tevoren worden aangekondigd.
Artikel 8 — Duur en beëindiging
Deze verwerkersovereenkomst geldt voor de duur van de hoofdovereenkomst (abonnement). Bij beëindiging van de hoofdovereenkomst eindigt ook deze verwerkersovereenkomst, met dien verstande dat de verplichtingen betreffende verwijdering van persoonsgegevens en geheimhouding na beëindiging van kracht blijven.
Artikel 9 — Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de Rechtbank Gelderland.
Ondertekend exemplaar nodig?
Voor grotere contracten of als uw organisatie een ondertekend exemplaar vereist, sturen wij u graag een PDF-versie van deze verwerkersovereenkomst.
Aanvragen via e-mail →