Verwerkersovereenkomst (DPA)
1. Partijen en rolverdeling
Deze verwerkersovereenkomst (hierna: "DPA") wordt gesloten tussen:
| Verwerkingsverantwoordelijke | Verwerker |
|---|---|
| De klant (ondernemer of organisatie die een overeenkomst met IT Live heeft afgesloten) | IT Live (handelsnaam van Aanbod op Maat) Willem Vliegenstraat 30A 6214 AT Maastricht, Nederland D-U-N-S 473783386 |
De klant is verwerkingsverantwoordelijke (controller) voor de persoonsgegevens die hij via het IT Live platform verwerkt. IT Live is verwerker (processor) en handelt uitsluitend op gedocumenteerde instructie van de klant.
2. Doel en duur
IT Live verwerkt persoonsgegevens uitsluitend voor het leveren van de overeengekomen diensten (SaaS-platform, hosting, websitebouw, AI-functionaliteit, CRM, e-mailhosting, marketing-tools). De DPA heeft dezelfde looptijd als de hoofd-overeenkomst en eindigt automatisch bij beëindiging daarvan.
3. Aard, doel en categorieën
Zie Bijlage 1 voor specificatie per dienst-type.
4. Verplichtingen IT Live (verwerker)
IT Live verbindt zich tot:
- Verwerken uitsluitend op gedocumenteerde instructie van de klant (de overeenkomst + portal-instellingen).
- Vertrouwelijkheidsplicht: medewerkers en sub-verwerkers zijn gebonden aan geheimhouding (NDA + arbeidscontract).
- Treffen van passende technische en organisatorische maatregelen (TOM) — zie Bijlage 2.
- Geen inschakeling van sub-verwerkers zonder voorafgaande algemene of specifieke schriftelijke toestemming (lijst sub-verwerkers in Bijlage 3, wijzigingen 30 dagen vooraf gemeld).
- Bijstand verlenen aan klant bij verzoeken van betrokkenen (recht op inzage, correctie, verwijdering, dataportabiliteit, bezwaar).
- Bijstand verlenen aan klant bij DPIA's (gegevensbeschermingseffectbeoordelingen) waar relevant.
- Datalekken melden binnen 72 uur na constatering aan de klant via privacy@itlive.nl + dashboard-banner.
- Op verzoek alle persoonsgegevens teruggeven of verwijderen (na einde overeenkomst).
- Audit-rechten: klant mag jaarlijks (na 30 dagen aankondiging) een audit (laten) uitvoeren op kosten van klant. Pentest-rapporten beschikbaar onder NDA.
5. Internationale doorgifte
Persoonsgegevens worden primair verwerkt in Nederland en België (datacenters Maastricht, Utrecht, Antwerpen). Bij gebruik van AI-providers in derde landen (VS) gelden:
- EU-US Data Privacy Framework (DPF-gecertificeerde providers waar mogelijk)
- Standard Contractual Clauses (SCC's) van de Europese Commissie
- Placeholder-masking voor gevoelige data (NAW, BSN, IBAN, KvK)
- Klant kan AI-features uitschakelen voor zijn account
6. Sub-verwerkers
De klant geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers. De actuele lijst is op te vragen via /sub-verwerkers en bevat onder meer:
- Hosting-infrastructuur (NL+BE Tier IV datacenters)
- Mollie B.V. (NL) — betalingen
- OpenAI / Anthropic / Google / Mistral — AI-diensten
- SIDN-aangesloten registrars — domeinregistratie
- SMTP-providers — e-mailbezorging (Mailgun EU als fallback)
Wijzigingen worden 30 dagen vooraf aangekondigd per e-mail. De klant heeft het recht bij gegronde redenen bezwaar te maken; in dat geval kunnen partijen de overeenkomst kosteloos beëindigen.
7. Beveiliging (Bijlage 2 samenvatting)
Volledige TOM-lijst in Bijlage 2. Belangrijkste maatregelen:
- Versleuteling in transit: TLS 1.3 (HSTS, HTTP/2)
- Versleuteling at rest: AES-256-GCM voor credentials, API-keys, tokens, betalingsdata
- Toegangscontrole: SSH-keys (geen wachtwoord), 2FA op admin-portal, RBAC, principle-of-least-privilege
- Network: WAF + CrowdSec rate-limiting + iptables firewall + DDoS-protectie
- Monitoring: 24/7 uptime + IDS/IPS + AIDE file-integrity-tracking + audit-logging
- Backup: 3-2-1 strategie over 3 datacenters (Maastricht / Utrecht / Antwerpen), retentie 30d primair + 90d offsite
- Pentest: jaarlijks extern, rapport onder NDA
- Frameworks: ISO 27001 + NEN 7510 framework geïmplementeerd, audit Q4 2026
8. Bewaartermijnen
- Tijdens overeenkomst: zolang de klant de dienst gebruikt
- Na opzegging: 30 dagen export-window, daarna verwijdering
- Wettelijke verplichtingen: factuurgegevens 7 jaar (AWR art. 52)
- Security-logs: 90 dagen voor incident-response, daarna anonimisering
- Backups: maximaal 90 dagen na origineel verwijderen
9. Datalekken
Bij een datalek (incident waarbij persoonsgegevens onbedoeld toegankelijk werden):
- IT Live meldt aan klant binnen 72 uur na constatering
- Melding bevat: aard, omvang, betrokken categorieën, gevolgen, getroffen maatregelen
- Klant beslist of melding aan AP/GBA en/of betrokkenen vereist is (klant is verwerkingsverantwoordelijke)
- IT Live verleent bijstand bij melding en mitigation
10. Aansprakelijkheid
Aansprakelijkheid voor inbreuken op de DPA volgt de aansprakelijkheidsbepaling in de algemene voorwaarden art. 16 (max € 25.000 per voorval). De klant vrijwaart IT Live voor claims voortvloeiend uit:
- Onrechtmatige verzameling van persoonsgegevens door de klant
- Schending van de informatieplicht jegens betrokkenen
- Onjuiste of onrechtmatige instructies aan IT Live
11. Toepasselijk recht en geschillen
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de Rechtbank Limburg, locatie Maastricht.
Bijlage 1 — Aard, doel, categorieën verwerkte persoonsgegevens
Per dienst-type:
| Dienst | Categorieën persoonsgegevens | Doel |
|---|---|---|
| Hosting + websitebouw | NAW, contact, IP-adressen bezoekers, formulier-inzendingen | Levering websitehosting + bezoekers-statistieken |
| CRM-platform | Klantgegevens van eindklanten (NAW, e-mail, telefoon, notities, communicatie) | Klantenbeheer + sales-pipeline voor klant |
| E-mailhosting | E-mailadressen, e-mailinhoud (transit + opslag) | Verzenden + ontvangen + opslaan e-mails voor klant |
| AI-assistent | Tekstinvoer (gemaskeerd voor gevoelige data) | Beantwoorden vragen + content-generatie |
| Marketing/Ads | Lead-gegevens, conversie-events, geanonimiseerde analytics | Campagne-rapportage + lead-scoring |
| Facturatie | Facturatiegegevens eindklanten van klant (bedrijfsnaam, KvK, BTW, adres) | Genereren + verzenden facturen |
Categorieën betrokkenen:
- Eindklanten van de klant (bezoekers, leads, kopers)
- Werknemers van de klant (CRM-gebruikers)
- Contactpersonen in de CRM van de klant
Geen bijzondere persoonsgegevens:
Standaard worden geen bijzondere categorieën persoonsgegevens (gezondheid, geloof, etniciteit, seksuele geaardheid) verwerkt. Bij specifieke afspraak (zorginstellingen onder NEN 7510) gelden aanvullende voorwaarden.
Bijlage 2 — Technische en organisatorische maatregelen (TOM)
Toegangsbeveiliging
- SSH-key authenticatie (PasswordAuthentication=no, PermitRootLogin=prohibit-password)
- 2FA verplicht voor admin-portal (TOTP via authenticator-app)
- Role-based access control (3 rollen: admin / staff / klant)
- Audit-logging van alle login-attempts + privileged operations
Versleuteling
- TLS 1.3 minimum, HSTS preload, HTTP/2
- AES-256-GCM voor at-rest encryptie van credentials, API-keys, tokens
- Bcrypt voor wachtwoord-hashing
- Database-level encryption voor klant-gevoelige tabellen
Netwerkbeveiliging
- iptables firewall met DROP default policy
- CrowdSec voor real-time IP-banning + threat-intelligence
- WAF voor web-applicatie aanvallen (OWASP top 10)
- DDoS-protectie via infrastructuur-laag
Backup en disaster recovery
- Dagelijkse backups in Maastricht + Utrecht + Antwerpen (3-2-1 strategie)
- Backups AES-256-GCM versleuteld
- Retentie: 30 dagen primair, 90 dagen offsite
- Disaster Recovery Plan jaarlijks getest
- RPO: 24u · RTO: 4u portal / 8u websites
Monitoring en incident-response
- 24/7 uptime-monitoring + alert-systeem
- IDS/IPS (Intrusion Detection/Prevention System)
- AIDE file-integrity-tracking (dagelijkse scan)
- Centraal audit-log:
/var/log/itlive-auth-audit.log - Incident-response team binnen 1 uur bereikbaar voor critical incidents
Organisatorische maatregelen
- NDA + arbeidscontract met geheimhoudingsplicht voor alle medewerkers
- Need-to-know basis voor toegang tot klant-data
- Privacy-by-design in alle nieuwe features
- Jaarlijkse security-training medewerkers
- ISO 27001 + NEN 7510 framework actief, audit Q4 2026
Bijlage 3 — Sub-verwerkers (samenvatting)
Volledige actuele lijst: /sub-verwerkers
| Sub-verwerker | Functie | Locatie data |
|---|---|---|
| Eigen DC Maastricht | Primaire hosting + storage | 🇳🇱 NL |
| Eigen DC Utrecht | NL geo-redundantie + replica | 🇳🇱 NL |
| Eigen DC Antwerpen | BE failover + offsite backup | 🇧🇪 BE |
| Mollie B.V. | Online betalingen | 🇳🇱 NL |
| OpenAI | AI-functionaliteit (gemaskeerd) | 🇺🇸 VS — DPF + SCC |
| Anthropic | AI-functionaliteit (gemaskeerd) | 🇺🇸 VS — SCC |
| Google Cloud | AI + Maps + Analytics | 🇪🇺 EU + 🇺🇸 VS — DPF |
| Mistral AI | AI-functionaliteit (EU-only) | 🇫🇷 EU |
| SIDN / DNS Belgium / EURid | Domeinregistratie | 🇪🇺 EU |
| Mailgun | SMTP-relay (fallback) | 🇪🇺 EU |
📱 Bijlage 4 — WhatsApp Business Beheer (specifiek)
Deze bijlage is van toepassing wanneer de klant het WhatsApp Business Beheer-pakket afneemt waarbij IT Live namens de klant WhatsApp-conversaties verwerkt.
Wettelijke grondslag
- GDPR art. 6 lid 1(b): noodzakelijk voor uitvoering van overeenkomst tussen klant en eindgebruiker (klantenservice / orderafhandeling).
- GDPR art. 6 lid 1(f): gerechtvaardigd belang van klant bij efficiënte communicatie, mits eindgebruiker initieert het gesprek of expliciet opt-in geeft.
- WhatsApp Business Terms: alle communicatie binnen 24-uurs service-window of via goedgekeurde templates buiten dit window.
Wat IT Live verwerkt namens klant
| Data-type | Doel | Bewaartermijn |
|---|---|---|
| Inkomende/uitgaande berichten | Klantenservice + AI-bot reply | 24 mnd (klant kan korter instellen) |
| Telefoonnummer eindgebruiker | Conversatie-routing | Tot opt-out / 36 mnd |
| Profielfoto/naam (indien gedeeld) | Herkenning in inbox | 24 mnd |
| Media (foto/video/audio) | Context-bewaring | 12 mnd, daarna metadata-only |
| AI-bot conversaties | Auto-reply + lead-scoring | 24 mnd, geanonimiseerd na 12 mnd |
Verwerkings-locatie
- WhatsApp-data wordt opgeslagen op eigen Baileys-bridges (geen Meta Cloud API) in datacenters Maastricht/Utrecht/Antwerpen.
- Meta verwerkt enkel bericht-transport (E2E-encryptie blijft van kracht tot ontvangst op IT Live-bridge).
- AI-bot replies gebruiken EU-providers waar mogelijk (Mistral, Groq EU) — VS-providers via SCC + DPF.
Opt-in / opt-out verplichtingen klant
- Klant moet WhatsApp-nummer publiekelijk vermelden of via opt-in formulier verkrijgen.
- Elke chat krijgt automatisch een STOP-keyword opt-out bij eerste contact (configureerbaar in WA-pakket).
- IT Live houdt opt-out log bij in tabel
wa_optouts· onmiddellijke blokkade na "STOP". - Templates (marketing-berichten) alleen via klant-goedkeuring + Meta-template-approval.
AI-bot transparantie
- Wanneer een AI-bot antwoordt namens klant, wordt dit standaard kenbaar gemaakt in het eerste bericht ("Ik ben de digitale assistent van <klantnaam>").
- Klant kan per-chat schakelen tussen auto / hybrid / manual mode (zie portaal-instellingen).
- Bij gevoelige onderwerpen escaleert de bot automatisch naar mens (escalatie-triggers in
wa_ai_config).
Toegang door IT Live-medewerkers
- Alleen
info@itlive.nl-account heeft inbox-access voor support (zie audit-log/var/log/itlive/wa-inbox-access-denied.log). - Andere medewerkers: enkel anoniem stats-niveau.
- Toegang ALTIJD gelogd per actor + timestamp + chat-JID.
Klant-verantwoordelijkheid
- Klant blijft verwerkingsverantwoordelijke voor eindgebruiker-PII en moet eigen privacy-statement aanpassen.
- Klant tekent expliciete acceptatie van deze WA-bijlage tijdens onboarding (checkbox + log in
customer_dpa_acceptance). - Bij data-subject-request (inzage/wissen) levert IT Live binnen 7 dagen export aan klant.
DPA ondertekenen
Voor de meeste klanten is acceptatie via portal voldoende. Voor formele papier-versie:
Vraag formele DPA aan Beheer in portalContact
Vragen over deze DPA? privacy@itlive.nl
Functionaris voor Gegevensbescherming (FG/DPO): aangesteld bij ISO 27001 audit Q4 2026. Tot die tijd: privacy-coördinator via privacy@itlive.nl.
Versie 1.0 · 2026-05-09 · IT Live (Aanbod op Maat) · KvK 99488299 · D-U-N-S 473783386