Niet-bindende vertaling ter informatie. Alleen de Duitse versie is rechtsgeldig. /avv
Verwerkersovereenkomst (DPA)
Conform art. 28 AVG
Laatst bijgewerkt: maart 2026
Dit is de volledige verwerkersovereenkomst (DPA) conform art. 28 AVG tussen WiderrufButton (verwerker) en de winkelexploitant (verwerkingsverantwoordelijke). U kunt deze hier volledig inzien en op elk moment als PDF opslaan of afdrukken. Met uw registratie geldt de DPA als gesloten tussen u en WiderrufButton.
1. Onderwerp van de verwerking
Als verwerker verwerkt WiderrufButton in opdracht van de winkelexploitant (verwerkingsverantwoordelijke) persoonsgegevens die door eindklanten (consumenten) worden verstrekt in het kader van een herroepingsverklaring.
Doel van de verwerking: Ontvangst, opslag en doorzending van herroepingsverklaringen conform § 356a van het Duitse Burgerlijk Wetboek (BGB), evenals het versturen van een ontvangstbevestiging per e-mail aan de consument.
2. Categorieën persoonsgegevens
In het kader van de verwerking in opdracht worden de volgende categorieën persoonsgegevens verwerkt:
| Gegevenscategorie | Verplicht | Doel |
|---|---|---|
| Naam van de consument | Ja | Identificatie van de herroepende persoon |
| Contactgegevens (e-mail/telefoon) | Ja | Ontvangstbevestiging, vervolgcontact |
| Bestelreferentie | Nee | Koppeling aan de overeenkomst |
| Vrije-tekstbericht | Nee | Aanvullende informatie |
| IP-adres (gehasht) | – | Misbruikbescherming (rate limiting) |
3. Betrokkenen
eindklanten (consumenten) van de winkelexploitant die via de WiderrufButton-widget een herroepingsverklaring indienen.
4. Duur van de verwerking
De verwerking in opdracht begint bij het sluiten van de overeenkomst en eindigt bij beëindiging van de gebruiksrelatie (opzegging van het WiderrufButton-abonnement).
Na afloop van de overeenkomst worden de herroepingsgegevens bewaard conform de wettelijke bewaarplichten en vervolgens gewist, tenzij de verwerkingsverantwoordelijke om een eerdere verwijdering verzoekt.
5. Technische en organisatorische maatregelen (TOM)
De verwerker treft de volgende maatregelen ter bescherming van de persoonsgegevens:
Versleuteling
TLS/SSL-versleuteling van alle gegevensoverdrachten. Versleuteling van de database in rust. IP-adressen worden vóór opslag gehasht (SHA-256).
Toegangscontrole
Authenticatie via magic link (zonder wachtwoord). Rolscheiding: winkelexploitanten zien alleen hun eigen gegevens. Administratieve toegang uitsluitend voor geautoriseerd personeel.
Hosting in Duitsland
Alle gegevens worden verwerkt en opgeslagen op servers van Hetzner Online GmbH in Duitse datacenters. Geen doorgifte naar derde landen via de hosting.
Gegevensback-up
Dagelijkse geautomatiseerde back-ups van de database (pg_dump). Back-ups worden versleuteld opgeslagen op een afzonderlijke Hetzner Storage Box.
6. Subverwerkers
Voor de uitvoering van de overeenkomst worden de volgende subverwerkers ingeschakeld:
| Onderneming | Doel | Locatie |
|---|---|---|
| Hetzner Online GmbH | Serverhosting, database | Duitsland |
| IONOS SE | E-mailverzending (transactionele ontvangstbevestigingen) | Duitsland |
De verwerkingsverantwoordelijke wordt vooraf geïnformeerd over wijzigingen van de subverwerkers en krijgt de mogelijkheid om bezwaar te maken.
7. Verplichtingen van de verwerker
- Verwerking van de gegevens uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke.
- Waarborgen dat de tot verwerking bevoegde personen zich tot vertrouwelijkheid hebben verbonden.
- Uitvoering van alle technische en organisatorische maatregelen die conform art. 32 AVG vereist zijn.
- Ondersteuning van de verwerkingsverantwoordelijke bij het nakomen van de rechten van betrokkenen (art. 15–22 AVG).
- Ondersteuning bij meldplichten (art. 33 en 34 AVG).
- Verwijdering of teruggave van alle gegevens na afloop van de verwerking.
- Mogelijk maken van audits en inspecties door de verwerkingsverantwoordelijke.
8. Rechten van de verwerkingsverantwoordelijke
- Recht op informatie over de verwerkte gegevens.
- Recht op controle van de technische en organisatorische maatregelen.
- Recht om instructies te geven aan de verwerker.
- Recht op verwijdering of teruggave van de gegevens bij beëindiging van de overeenkomst.
- Recht van bezwaar bij wijzigingen van de subverwerkers.
9. Volledige DPA
Deze DPA is hier volledig beschikbaar. Sla deze op als PDF of druk deze af voor uw administratie. Met de registratie geldt deze als gesloten.
Deze verwerkersovereenkomst conform art. 28 AVG is hier volledig beschikbaar en kan als PDF worden opgeslagen of afgedrukt. Met de registratie geldt deze als gesloten tussen de partijen. Laatst bijgewerkt: juni 2026.