※ Versie 1.0 — 24 mei 2026

Verwerkersovereenkomst

AFSPRAKENBOEK · AVG ART. 28

Deze Verwerkersovereenkomst (hierna: DPA) is van toepassing op alle verwerkingen van persoonsgegevens die Afsprakenboek uitvoert in opdracht van een salonhouder. De DPA vormt een onlosmakelijk onderdeel van de Algemene Voorwaarden en is van kracht zodra een salonhouder een account aanmaakt bij Afsprakenboek.

01

PARTIJEN

Verwerker: Afsprakenboek, een softwaredienst aangeboden via afsprakenboek.com, gevestigd in Nederland, bereikbaar via hello@afsprakenboek.com.

Verwerkingsverantwoordelijke: De salonhouder (kapper, barber of huidtherapeut) die een account heeft aangemaakt bij Afsprakenboek en daarmee akkoord gaat met deze DPA. De salonhouder bepaalt het doel en de middelen van de verwerking van klantgegevens.

02

ONDERWERP EN DOEL

Afsprakenboek verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de agenda- en klantenbeheerdienst aan de verwerkingsverantwoordelijke. De verwerking omvat:

  • Opslaan en weergeven van klantgegevens ingevoerd door de salonhouder
  • Verwerken van online boekingen via de publieke boekingspagina
  • Verzenden van herinneringen, bevestigingen en verjaardagsmails namens de salon
  • Genereren van AI-briefings op basis van agenda-informatie (alleen Pro-plan)

Afsprakenboek gebruikt de gegevens niet voor eigen doeleinden, profilering, advertenties of het opbouwen van eigen klantdatabases.

03

CATEGORIEËN PERSOONSGEGEVENS

In opdracht van de verwerkingsverantwoordelijke verwerkt Afsprakenboek:

  • Klantgegevens: naam, telefoonnummer, e-mailadres, geboortedatum (optioneel), kapselvoorkeuren, kleurformules, notities en afspraakhistorie
  • Contactgegevens salonhouder: naam, e-mailadres, saloonnaam
  • Technische gegevens: IP-adres en useragent — uitsluitend bij foutmeldingen, via Sentry

Er worden geen bijzondere categorieën persoonsgegevens (gezondheidsgegevens, BSN, ras/etniciteit etc.) verwerkt, tenzij de salonhouder deze zelf invoert in vrije tekstvelden. De salonhouder is verantwoordelijk voor het niet invoeren van dergelijke gegevens zonder geldige grondslag.

04

CATEGORIEËN BETROKKENEN

  • Klanten van de salon (eindgebruikers van de boekingspagina)
  • De salonhouder zelf als gebruiker van het platform
  • Eventuele medewerkers van de salon die toegang hebben tot het platform
05

VERPLICHTINGEN VAN AFSPRAKENBOEK

Afsprakenboek verbindt zich tot het volgende:

  • Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke en conform de AVG
  • Vertrouwelijkheid waarborgen: medewerkers met toegang tot persoonsgegevens zijn gebonden aan een geheimhoudingsplicht
  • Passende technische en organisatorische beveiligingsmaatregelen treffen (zie artikel 06)
  • De verwerkingsverantwoordelijke ondersteunen bij het nakomen van verzoeken van betrokkenen (inzage, verwijdering, portabiliteit)
  • Meewerken aan audits of inspecties door of namens de verwerkingsverantwoordelijke, op redelijk verzoek en na voorafgaande afstemming
  • Alle persoonsgegevens verwijderen of teruggeven na beëindiging van de dienstverlening, conform artikel 09
  • Geen gegevens overdragen aan derde landen buiten de EER zonder passende waarborgen (standaardcontractbepalingen / SCCs)
06

BEVEILIGINGSMAATREGELEN

Afsprakenboek hanteert de volgende maatregelen conform AVG artikel 32:

  • Versleutelde verbindingen (TLS/HTTPS) voor alle datatransport
  • Row-Level Security (RLS) in de database — elke tenant kan uitsluitend zijn eigen gegevens lezen en schrijven
  • Wachtwoorden opgeslagen als bcrypt-hash (nooit plaintext)
  • OTP-codes voor boekingen en wachtwoordherstel gehasht opgeslagen
  • Rate limiting op alle login-, boekings- en OTP-eindpunten via Upstash Redis
  • Content Security Policy, HSTS en COOP-headers op alle responses
  • Foutmonitoring via Sentry — geen persoonlijk herleidbare data in standaardlogs
  • Bounced en gecomplainde e-mailadressen worden opgeslagen in een blocklist om herhaalde verzending te voorkomen
07

SUB-VERWERKERS

Afsprakenboek schakelt de volgende sub-verwerkers in. De verwerkingsverantwoordelijke geeft hiermee algemene toestemming voor het gebruik van deze partijen. Afsprakenboek sluit met elke sub-verwerker een verwerkersovereenkomst af of maakt gebruik van de standaardcontractbepalingen (SCCs) van de Europese Commissie.

  • Neon, Inc. — database-hosting, regio EU/Frankfurt (AWS eu-central-1). DPA beschikbaar via neon.tech.
  • Vercel, Inc. — applicatie-hosting en CDN, regio EU. DPA beschikbaar via vercel.com/legal/dpa.
  • Resend, Inc. — transactionele e-mail (herinneringen, bevestigingen, onboarding). DPA beschikbaar via resend.com.
  • Mollie B.V. — betalingsverwerking, gevestigd in Amsterdam. AVG-conform; DPA via dashboard.mollie.com.
  • SMSGatewayAPI — sms-herinneringen, alleen actief als de salonhouder dit zelf inschakelt.
  • Sentry, Inc. — foutmonitoring, regio EU. DPA beschikbaar via sentry.io/legal/dpa.
  • Upstash, Inc. — rate limiting via Redis, regio EU. Geen persistente klantgegevens; alleen tellers en sleutels.
  • Anthropic, PBC — AI-verwerking voor dagbriefings (alleen Pro-plan), gevestigd in de VS. EU SCCs van toepassing via anthropic.com/legal/dpa.
  • ElevenLabs, Inc. — tekst-naar-spraak voor audio-briefings (alleen Pro-plan), gevestigd in de VS. SCCs van toepassing.

Afsprakenboek stelt de verwerkingsverantwoordelijke op de hoogte van wijzigingen in de sub-verwerkerlijst via de e-mail die bij het account is geregistreerd. De verwerkingsverantwoordelijke heeft het recht bezwaar te maken binnen 14 dagen; bij gerechtvaardigde bezwaren zoekt Afsprakenboek naar een alternatief.

08

DATALEKKEN

Bij een inbreuk op de beveiliging met kans op nadelige gevolgen voor betrokkenen (datalek), handelt Afsprakenboek als volgt:

  • Melding aan de verwerkingsverantwoordelijke binnen 48 uur na ontdekking, via het bij het account bekende e-mailadres
  • De melding bevat: aard van het datalek, betrokken gegevenscategorieën, geschat aantal betrokkenen, genomen maatregelen en contactpersoon
  • De verwerkingsverantwoordelijke is zelf verantwoordelijk voor melding aan de Autoriteit Persoonsgegevens (binnen 72 uur na eigen ontdekking) en eventuele melding aan betrokkenen
09

DUUR EN BEËINDIGING

Deze DPA loopt parallel aan de serviceovereenkomst. Na beëindiging van het account gelden de volgende stappen:

  • 30-dagen herstelperiode: het account en alle gegevens blijven beschikbaar voor herstel
  • Na 30 dagen: automatische definitieve verwijdering van alle persoonsgegevens uit de actieve database, inclusief klantgegevens, afspraken, notities en gebruikersaccounts
  • Database-backups (point-in-time recovery) worden door Neon 7 dagen bewaard en daarna automatisch overschreven
  • Op verzoek kan de verwerkingsverantwoordelijke een JSON-export van zijn gegevens opvragen vóór verwijdering via hello@afsprakenboek.com
10

TOEPASSELIJK RECHT

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland. De AVG (EU 2016/679) en de Uitvoeringswet AVG (UAVG) zijn van toepassing.

Vragen over deze DPA? Neem contact op via hello@afsprakenboek.com. Zie ook de Privacyverklaring en Algemene Voorwaarden.