Verwerkersovereenkomst
Laatst bijgewerkt: mei 2026
Deze verwerkersovereenkomst (hierna: "DPA") is een aanvulling op en maakt integraal onderdeel uit van de Algemene Voorwaarden tussen Salenza en de Klant. De DPA regelt de verwerking van persoonsgegevens van Eindgebruikers in het kader van de Dienst, zoals vereist op grond van artikel 28 AVG.
Verwerker
Salenza (handelsnaam van Servd Marketing)
KvK 86248375
Gevestigd te Zoeterwoude
privacy@salenza.nl
Verwerkingsverantwoordelijke: de Klant, zoals gedefinieerd in de Algemene Voorwaarden.
1. Definities
De begrippen die in deze DPA worden gebruikt hebben dezelfde betekenis als in de Algemene Voorwaarden en in de AVG (Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/679). In aanvulling daarop:
- Persoonsgegevens: alle persoonsgegevens van Eindgebruikers die door Salenza in opdracht van de Klant worden verwerkt in het kader van de Dienst.
- Subverwerker: elke derde die door Salenza wordt ingeschakeld om persoonsgegevens te verwerken in opdracht van de Klant.
- Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
2. Onderwerp en duur van de verwerking
Salenza verwerkt persoonsgegevens uitsluitend in opdracht van de Klant en in het kader van de levering van de Dienst, voor de duur van de Overeenkomst en de daaruit voortvloeiende verplichtingen.
3. Aard en doel van de verwerking
De verwerking heeft als doel het mogelijk maken van geautomatiseerde klantcommunicatie, intake, afsprakenbeheer en aanverwante functionaliteiten van de Dienst. De aard van de verwerking omvat onder meer: het ontvangen, opslaan, doorsturen, analyseren en beantwoorden van berichten van Eindgebruikers, het plannen van afspraken, en het tonen van gegevens in het dashboard.
4. Categorieën persoonsgegevens
Salenza verwerkt in het kader van de Dienst de volgende categorieën persoonsgegevens van Eindgebruikers:
| Categorie | Voorbeelden |
|---|---|
| Identificatie | Naam, voornaam, telefoonnummer, e-mailadres |
| Communicatie | Inhoud van berichten via WhatsApp, Instagram, e-mail of andere kanalen |
| Afspraken | Behandeling, datum, tijdstip, behandelaar |
| Intake | Antwoorden op intake-vragen, voorkeuren, contra-indicaties |
| Technisch | Tijdstip van berichten, kanaal, sessie-informatie |
De Klant bepaalt zelf welke gegevens worden uitgevraagd via de intake en welke gegevensvelden in zijn planningssysteem worden gevuld.
5. Categorieën betrokkenen
De verwerking betreft persoonsgegevens van Eindgebruikers, zijnde de klanten en (potentiële) bezoekers van de salon, kliniek of vergelijkbare onderneming van de Klant.
6. Verplichtingen van Salenza
Salenza:
- verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, waaronder de instructies die voortvloeien uit het gebruik van de Dienst;
- zorgt ervoor dat personen die gemachtigd zijn de persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden;
- neemt passende technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens conform artikel 32 AVG (zie artikel 8);
- verleent de Klant redelijke medewerking bij het voldoen aan zijn verplichtingen onder de AVG, waaronder verzoeken van betrokkenen, datalekken en mogelijke gegevensbeschermingseffectbeoordelingen (DPIA);
- informeert de Klant onverwijld als naar zijn mening een instructie inbreuk oplevert op de AVG of andere toepasselijke wetgeving.
7. Inschakeling subverwerkers
Salenza is gerechtigd subverwerkers in te schakelen voor de uitvoering van de Dienst. De Klant verleent hierbij algemene toestemming voor het inschakelen van subverwerkers, mits Salenza:
- de Klant minimaal 30 dagen vooraf informeert over voorgenomen wijzigingen in de lijst van subverwerkers;
- de Klant het recht geeft binnen die termijn gemotiveerd bezwaar te maken; bij gegrond bezwaar kunnen partijen in overleg een passende oplossing zoeken, waaronder beëindiging van de Overeenkomst;
- met elke subverwerker afspraken maakt die ten minste gelijkwaardig zijn aan de afspraken in deze DPA.
Een actueel overzicht van subverwerkers wordt op verzoek aan de Klant verstrekt. Onder de huidige subverwerkers vallen onder meer een AI-aanbieder (voor de AI-functionaliteit), een hostingprovider en aanbieders van berichtenplatforms en planningssoftware.
8. Beveiligingsmaatregelen
Salenza treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, conform artikel 32 AVG. Hieronder vallen onder meer:
- versleuteling van gegevens tijdens verzending (TLS) en in rust waar passend;
- toegangscontrole op basis van rollen en het need-to-know principe;
- logging en monitoring van toegang en verwerking;
- periodieke evaluatie en actualisering van de beveiligingsmaatregelen;
- back-up- en herstelprocedures voor de continuïteit van de Dienst;
- contractuele verplichtingen tot geheimhouding voor medewerkers en subverwerkers.
Op verzoek verstrekt Salenza nadere informatie over de getroffen beveiligingsmaatregelen.
9. Doorgifte buiten de EER
De verwerking vindt hoofdzakelijk plaats binnen de Europese Economische Ruimte (EER). Voor de AI-functionaliteit maakt Salenza gebruik van een aanbieder waarbij doorgifte plaatsvindt naar de Verenigde Staten. Voor deze doorgifte gelden passende waarborgen in de zin van hoofdstuk V AVG, in dit geval het EU-US Data Privacy Framework. Op verzoek verstrekt Salenza nadere informatie over de toegepaste waarborgen.
10. Verzoeken van betrokkenen
Indien een Eindgebruiker een verzoek doet aan Salenza tot uitoefening van zijn AVG-rechten (zoals inzage, rectificatie, verwijdering, beperking, overdraagbaarheid of bezwaar), stuurt Salenza het verzoek door aan de Klant. De Klant is verantwoordelijk voor de afhandeling van het verzoek. Salenza verleent de Klant op verzoek redelijke medewerking.
11. Datalekken
Salenza informeert de Klant zonder onredelijke vertraging, en uiterlijk binnen 48 uur, nadat zij kennis heeft genomen van een datalek dat persoonsgegevens van Eindgebruikers betreft. Salenza verstrekt daarbij in ieder geval de informatie die de Klant nodig heeft om aan zijn eigen meldplicht jegens de Autoriteit Persoonsgegevens en, indien van toepassing, jegens de betrokkenen te voldoen.
De melding van het datalek door Salenza ontslaat de Klant niet van zijn eigen verantwoordelijkheid en meldplicht onder de AVG.
12. Audit
De Klant heeft het recht om, op eigen kosten en met inachtneming van een redelijke aankondigingstermijn van minimaal 30 dagen, maximaal eenmaal per jaar een audit te (laten) uitvoeren naar de naleving van deze DPA door Salenza. De audit wordt uitgevoerd door een onafhankelijke, gekwalificeerde derde die door beide partijen wordt geaccepteerd en die zich tot vertrouwelijkheid heeft verbonden.
Salenza mag in plaats van een audit een recente, door een onafhankelijke derde uitgevoerde certificering of auditrapportage (zoals ISO 27001 of SOC 2) verstrekken, voor zover die de naleving van deze DPA voldoende aantoont.
13. Bewaartermijn en teruggave
Salenza verwerkt persoonsgegevens niet langer dan nodig is voor de levering van de Dienst of dan vereist is op grond van wettelijke verplichtingen.
Na beëindiging van de Overeenkomst krijgt de Klant gedurende 30 dagen de gelegenheid om een export van zijn data op te vragen in een gangbaar bruikbaar formaat (zoals CSV of JSON). Daarna worden de persoonsgegevens verwijderd, behoudens gegevens die Salenza op grond van een wettelijke verplichting langer moet bewaren (waaronder financiële gegevens gedurende 7 jaar conform de fiscale bewaarplicht).
14. Aansprakelijkheid
Op de aansprakelijkheid van Salenza onder deze DPA is artikel 13 van de Algemene Voorwaarden van toepassing.
15. Slotbepalingen
Bij strijdigheid tussen deze DPA en de Algemene Voorwaarden, prevaleren de bepalingen van deze DPA voor zover het de verwerking van persoonsgegevens betreft.
Op deze DPA is Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter van de Rechtbank Den Haag.
Vragen over deze verwerkersovereenkomst? Neem contact op via privacy@salenza.nl.