← Terug naar home

Verwerkersovereenkomst (DPA)

Deze verwerkersovereenkomst regelt hoe Pinqly als verwerker omgaat met persoonsgegevens die jij als verwerkingsverantwoordelijke aan ons toevertrouwt.

Versie 1.0 · Laatst bijgewerkt op 9 juni 2026

1. Partijen

Deze verwerkersovereenkomst (hierna: "DPA") regelt de verwerking van persoonsgegevens tussen de volgende partijen.

Verwerker: Pinqly, een handelsnaam van Quentro, ingeschreven bij de Kamer van Koophandel onder nummer 42078633, gevestigd te Planciusdreef 62, 2661 RH Bergschenhoek, Nederland.

Verwerkingsverantwoordelijke: de zakelijke klant die een account heeft op Pinqly en in die hoedanigheid persoonsgegevens via de dienst laat verwerken.

2. Toepasselijkheid

Deze DPA maakt integraal onderdeel uit van de algemene voorwaarden tussen Verwerker en Verwerkingsverantwoordelijke. Bij tegenstrijdigheid tussen deze DPA en de algemene voorwaarden, gaat deze DPA voor op het punt van gegevensbescherming.

Deze DPA is van toepassing zolang Verwerker persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke.

3. Doel en aard van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend voor het leveren van de Pinqly-dienst zoals beschreven in de algemene voorwaarden. Concreet betreft dit:

  • Het uitvoeren van uptime-, SSL- en domeincontroles
  • Het versturen van notificaties via de gekozen kanalen
  • Het tonen van monitoring-resultaten in het dashboard
  • Het beheren van accounts, abonnementen en facturatie
  • Klantondersteuning bieden

Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, met uitzondering van verwerkingen die wettelijk verplicht zijn.

4. Categorieën persoonsgegevens

De volgende categorieën persoonsgegevens kunnen worden verwerkt:

  • Accountgegevens: naam, e-mailadres, wachtwoord (gehasht), inlogmethode
  • Organisatiegegevens: organisatienaam, KvK-nummer (indien ingevuld), facturatiegegevens
  • Contactgegevens van eindgebruikers: e-mailadressen, telefoonnummers (WhatsApp), Telegram-IDs, Slack-webhooks, uitsluitend wanneer Verwerkingsverantwoordelijke deze invoert om notificaties te ontvangen
  • Gebruiksgegevens: inloggegevens, sessie-informatie, IP-adressen voor beveiliging en rate limiting
  • Configuratiegegevens: monitor-URLs, alert-instellingen, notificatievoorkeuren

5. Categorieën betrokkenen

Betrokkenen wiens persoonsgegevens worden verwerkt zijn:

  • Eindgebruikers van het Pinqly-account (werknemers, bestuurders of contractanten van Verwerkingsverantwoordelijke)
  • Personen die ontvanger zijn van notificaties (bijvoorbeeld een ontwikkelaar of beheerder)

Pinqly verwerkt geen bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens, biometrische data of strafrechtelijke gegevens). Verwerkingsverantwoordelijke verbindt zich ertoe geen bijzondere categorieën persoonsgegevens via de dienst te verwerken.

6. Duur van de verwerking

De verwerking duurt zolang het abonnement van Verwerkingsverantwoordelijke loopt. Na beëindiging gelden de bepalingen uit artikel 15 (Beëindiging).

7. Verplichtingen Verwerker

Verwerker:

  • Verwerkt persoonsgegevens alleen voor het doel waarvoor ze zijn verzameld en op basis van instructies van Verwerkingsverantwoordelijke
  • Verleent Verwerkingsverantwoordelijke redelijke medewerking bij het nakomen van diens AVG-verplichtingen, waaronder verzoeken van betrokkenen tot inzage, correctie of verwijdering
  • Zorgt dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan een geheimhoudingsverplichting
  • Treft passende technische en organisatorische maatregelen zoals beschreven in artikel 9
  • Informeert Verwerkingsverantwoordelijke onverwijld als een instructie inbreuk zou maken op de AVG of andere toepasselijke wetgeving

8. Verplichtingen Verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke:

  • Heeft een geldige rechtsgrondslag voor de verwerking van persoonsgegevens via Pinqly
  • Informeert de betrokkenen over de verwerking via een eigen privacyverklaring waar nodig
  • Voert alleen persoonsgegevens in waarvoor toestemming of een andere AVG-grondslag bestaat
  • Houdt zijn eigen account, inloggegevens en notificatie-instellingen actueel en veilig

9. Beveiligingsmaatregelen

Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, ongeoorloofde toegang en andere risico's. Concreet:

  • Versleutelde verbinding (HTTPS/TLS) op alle endpoints
  • Wachtwoorden opgeslagen via veilige hashing-algoritmes
  • Row-Level Security in de database voor logische scheiding tussen klanten
  • Toegang tot productiesystemen beperkt tot strikt noodzakelijke personen
  • Reguliere updates van afhankelijkheden, frameworks en infrastructuur
  • Backup- en herstelprocedures via de databaseprovider
  • Logging van toegang tot gevoelige systemen via audit-mechanismen

De beveiligingsmaatregelen worden periodiek geëvalueerd en bijgesteld naar de stand van de techniek.

10. Sub-verwerkers

Verwerkingsverantwoordelijke geeft hierbij algemene toestemming aan Verwerker voor het inschakelen van sub-verwerkers, onder de voorwaarden van dit artikel.

De actuele lijst van sub-verwerkers staat in de tabel onder "Met wie delen we je gegevens" in ons privacybeleid. Deze lijst bevat per sub-verwerker het doel, het land van vestiging en de toegepaste waarborg voor doorgifte buiten de EU.

Bij wijziging van de lijst (toevoegen of vervangen van sub-verwerkers) informeert Verwerker Verwerkingsverantwoordelijke minimaal 30 dagen vooraf via e-mail. Verwerkingsverantwoordelijke kan binnen die termijn bezwaar maken via info@pinqly.nl. Bij gegrond bezwaar zoekt Verwerker naar een redelijke oplossing. Als partijen er niet uitkomen, heeft Verwerkingsverantwoordelijke het recht het abonnement op te zeggen.

Verwerker zorgt dat met elke sub-verwerker een schriftelijke overeenkomst is gesloten die ten minste dezelfde verplichtingen oplegt als deze DPA.

11. Doorgifte buiten de Europese Economische Ruimte

Een aantal sub-verwerkers is gevestigd in de Verenigde Staten of andere landen buiten de EER. Voor deze doorgifte hanteert Verwerker passende waarborgen: het EU-US Data Privacy Framework of Standard Contractual Clauses (SCC) zoals goedgekeurd door de Europese Commissie.

Waar mogelijk wordt data binnen de EU gehost. De Supabase-database draait in de EU-regio.

12. Datalekken en incidenten

Bij ontdekking van een datalek of beveiligingsincident dat persoonsgegevens van Verwerkingsverantwoordelijke raakt, informeert Verwerker Verwerkingsverantwoordelijke binnen 48 uur na ontdekking via e-mail aan het op het account bekende contactadres.

De melding bevat ten minste:

  • De aard van het incident
  • De categorieën en (geschat) aantal betrokkenen en records
  • De waarschijnlijke gevolgen
  • De genomen of voorgestelde maatregelen
  • Contactgegevens voor verdere informatie

Verwerker verleent redelijke medewerking aan Verwerkingsverantwoordelijke bij diens meldplicht aan de Autoriteit Persoonsgegevens en aan betrokkenen.

13. Rechten van betrokkenen

Verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, dataportabiliteit, bezwaar) worden in beginsel afgehandeld door Verwerkingsverantwoordelijke. Verwerker biedt waar nodig technische en organisatorische ondersteuning, voor zover redelijkerwijs mogelijk.

Als een betrokkene zich rechtstreeks bij Verwerker meldt, zal Verwerker de betrokkene doorverwijzen naar Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke daarover informeren.

14. Audit

Verwerkingsverantwoordelijke heeft het recht om de naleving van deze DPA te controleren. In de praktijk gebeurt dit primair via informatie die Verwerker beschikbaar stelt, waaronder dit document, het privacybeleid, de lijst van sub-verwerkers en eventuele beveiligings- of audit-rapporten van sub-verwerkers (zoals SOC 2 of ISO 27001 rapportages van Vercel, Supabase of Stripe).

Indien Verwerkingsverantwoordelijke een aanvullende audit wenst, kan dit in onderling overleg en op kosten van Verwerkingsverantwoordelijke. Partijen maken hierover redelijke afspraken die de continuïteit van de dienstverlening niet onnodig verstoren.

15. Beëindiging

Bij beëindiging van het abonnement, ongeacht de reden:

  • Wist Verwerker de persoonsgegevens binnen 30 dagen na beëindiging, tenzij wettelijke bewaarplichten anders vereisen
  • Worden factuur- en betaalgegevens 7 jaar bewaard conform fiscale bewaarplicht
  • Stelt Verwerker desgevraagd, en voor zover redelijkerwijs mogelijk, de gegevens vóór wissing beschikbaar in een gangbaar exportformaat

Een verzoek tot eerdere wissing of export kan via info@pinqly.nl.

16. Aansprakelijkheid

Op de aansprakelijkheid onder deze DPA zijn dezelfde beperkingen van toepassing als opgenomen in artikel 11 van de algemene voorwaarden, met dien verstande dat boetes opgelegd door de Autoriteit Persoonsgegevens worden gedragen door de partij aan wie de overtreding is toe te rekenen.

17. Toepasselijk recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van Rechtbank Den Haag.

18. Wijzigingen

Verwerker kan deze DPA aanpassen als regelgeving, technische ontwikkelingen of operationele wijzigingen dat vereisen. Wezenlijke wijzigingen worden minimaal 30 dagen vooraf aangekondigd per e-mail. Verwerkingsverantwoordelijke kan bezwaar maken en bij niet-akkoord het abonnement opzeggen.

19. Contact

Vragen over deze DPA of over de verwerking van persoonsgegevens? Neem contact op via info@pinqly.nl.