Verwerkersovereenkomst
Laatst bijgewerkt: 23 april 2026
1. Partijen
Verwerker: SyncIT B.V., gevestigd in Nederland, hierna “SyncIT”, handelsnaam voor het product Vakplan. KvK 99552531, BTW NL869037377B01.
Verwerkingsverantwoordelijke: de organisatie die gebruikmaakt van het Vakplan-platform, hierna “Opdrachtgever”.
2. Onderwerp en duur
Deze verwerkersovereenkomst heeft betrekking op alle verwerkingen van persoonsgegevens die SyncIT uitvoert ten behoeve van Opdrachtgever via het Vakplan-platform. De overeenkomst is geldig zolang Opdrachtgever gebruikmaakt van het platform.
3. Aard en doel van verwerking
SyncIT verwerkt persoonsgegevens uitsluitend ten behoeve van:
- Het beschikbaar stellen van het SaaS-platform voor werkbeheer, planning en facturatie
- Het opslaan en verwerken van medewerker-, klant- en projectgegevens
- Het genereren van documenten (offertes, facturen, werkbonnen)
- Het verzenden van e-mailcommunicatie namens Opdrachtgever
- Het maken van back-ups ter bescherming van gegevens
4. Categorieën persoonsgegevens
- Naam, e-mailadres, telefoonnummer van medewerkers en contactpersonen
- Adresgegevens van medewerkers, klanten en werklocaties
- Contractgegevens en uurtarieven van medewerkers
- Urenregistratie en planning
- Financiële gegevens (KvK, BTW-nummer, factuurbedragen)
- Digitale handtekeningen op werkbonnen
- Foto's die tijdens werkzaamheden worden gemaakt
5. Categorieën betrokkenen
- Medewerkers van Opdrachtgever
- Klanten en contactpersonen van Opdrachtgever
- Leveranciers en onderaannemers
6. Verplichtingen van SyncIT
SyncIT verbindt zich tot het volgende:
- Persoonsgegevens uitsluitend verwerken in opdracht van en volgens de instructies van Opdrachtgever
- Medewerkers van SyncIT zijn gebonden aan geheimhouding
- Passende technische en organisatorische beveiligingsmaatregelen treffen (Art. 32 AVG)
- Geen sub-verwerkers inschakelen zonder voorafgaande toestemming van Opdrachtgever
- Opdrachtgever bijstaan bij het nakomen van verplichtingen jegens betrokkenen (Art. 15-22 AVG)
- Opdrachtgever bijstaan bij DPIA's en voorafgaande raadpleging (Art. 35-36 AVG)
- Na beëindiging van de dienstverlening alle persoonsgegevens verwijderen of retourneren
- Alle informatie beschikbaar stellen die nodig is om naleving aan te tonen
7. Beveiligingsmaatregelen
SyncIT treft de volgende maatregelen:
- Gescheiden databases per organisatie (tenant-isolatie)
- Versleutelde wachtwoorden (bcrypt)
- Tweefactorauthenticatie (TOTP)
- Rolgebaseerde toegangscontrole (RBAC)
- Versleutelde communicatie (HTTPS/TLS)
- AES-256-GCM encryptie voor gevoelige credentials
- Rate-limiting en brute-force bescherming
- Regelmatige back-ups
- Audit logging van systeemacties
8. Sub-verwerkers
SyncIT maakt gebruik van de volgende sub-verwerkers:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Hosting-provider (eigen beheer) | Server-infrastructuur en database | EU/EER |
| Resend, Inc. | Transactionele e-mailverzending | EU-servers |
| Cloudflare, Inc. | CDN, WAF, DDoS-bescherming | EU-edge |
9. Datalekken
SyncIT meldt elk datalek onverwijld, indien mogelijk binnen 24 uur, aan Opdrachtgever. De melding bevat minimaal: de aard van het lek, de betrokken categorieën gegevens, de waarschijnlijke gevolgen en de genomen maatregelen.
10. Audit
Opdrachtgever heeft het recht om audits uit te (laten) voeren om naleving van deze overeenkomst te controleren. SyncIT verleent hieraan alle medewerking.
11. Aansprakelijkheid
SyncIT is aansprakelijk voor schade die het gevolg is van niet-naleving van deze overeenkomst of van de AVG, voor zover dit aan SyncIT te wijten is.
Door gebruik te maken van het Vakplan-platform gaat Opdrachtgever akkoord met deze verwerkersovereenkomst.