Deze Verwerkersovereenkomst maakt onderdeel uit van de Algemene Voorwaarden van Secret Gifters V.O.F. en is van toepassing telkens wanneer Secret Gifters in opdracht van een Klant persoonsgegevens verwerkt. Door aanvaarding van de Algemene Voorwaarden stemt de Klant tevens in met deze Verwerkersovereenkomst.
1. Partijen en rollen
Verwerkingsverantwoordelijke (Klant): de natuurlijke of rechtspersoon die zijn werknemers- of relatiegegevens via Secret Gifters laat verwerken.
Verwerker: Secret Gifters V.O.F., gevestigd te Groot Hertoginnelaan 47A, 2517 EC ’s-Gravenhage, KvK 86189131.
2. Onderwerp
Klant gebruikt het Secret Gifters platform om automatisch cadeaus naar werknemers en/of relaties te (laten) sturen. Daarbij verwerkt Secret Gifters in opdracht van Klant persoonsgegevens van diens werknemers of relaties.
3. Aard, doel en duur
3.1 Persoonsgegevens
Categorieën betrokkenen: werknemers en/of zakelijke relaties van Klant.
Categorieën persoonsgegevens:
| Categorie | Voorbeelden |
|---|---|
| Identificatie | Voor- en achternaam |
| Contact | E-mailadres, optioneel telefoonnummer |
| Levensfase | Geboortedatum, datum in dienst |
| Logistiek | Woon- of kantooradres voor verzending |
3.2 Verwerkingen
Secret Gifters verwerkt deze gegevens uitsluitend voor:
- opslag in een beveiligde database;
- inplannen van cadeaumomenten (verjaardag, jubileum, seizoen, anders);
- aanmaken van bestellingen en doorgeven van het verzendadres aan bezorgdiensten;
- optioneel: synchronisatie met het door Klant aangewezen CRM-systeem.
3.3 Duur
Deze Verwerkersovereenkomst start op de datum waarop Klant een account aanmaakt of de eerste cadeau-flow activeert en eindigt 30 dagen na opzegging van het abonnement, tenzij Klant eerder verzoekt om verwijdering van persoonsgegevens.
4. Verplichtingen Secret Gifters
Secret Gifters:
- verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant — concreet: alleen voor de doeleinden in artikel 3;
- zorgt voor passende technische en organisatorische beveiligingsmaatregelen, waaronder:
- encryptie in transit (TLS 1.2 of hoger);
- encryptie at-rest van gevoelige velden (CRM-API-sleutels via AES-256-GCM);
- server-side proxy met klant-isolatie via Shopify HMAC-validatie;
- audit log met IP-adres, tijdstip en uitvoerder;
- toegangscontrole op need-to-know-basis (maximaal drie personen met productietoegang);
- periodieke security-audits, minimaal jaarlijks;
- verleent medewerking aan Klant bij verzoeken van betrokkenen (inzage, correctie, verwijdering) binnen vijf werkdagen;
- levert Klant op verzoek binnen vijf werkdagen een digitale kopie van alle verwerkte gegevens, in een gangbaar gestructureerd formaat (JSON of CSV);
- verwijdert of geeft data terug aan Klant na einde van de overeenkomst, binnen 30 dagen — uitgezonderd data die wij wettelijk moeten bewaren (zoals facturen, die worden geanonimiseerd).
5. Sub-verwerkers
Klant geeft Secret Gifters algemene toestemming om de volgende sub-verwerkers in te schakelen:
| Sub-verwerker | Doel | Locatie data |
|---|---|---|
| Airtable Inc. | Database | EU (Frankfurt) |
| Make.com (Celonis SE) | Procesautomatisering | EU |
| Shopify International Ltd. | Winkel + betaalafhandeling | EU + USA (SCCs) |
| Render Inc. | Server voor de portaal-proxy | EU (Frankfurt) |
| UptimeRobot | Externe uptime-monitoring | Wereldwijd |
| Bezorgdiensten (PostNL, DHL, vergelijkbare) | Levering | NL/EU |
Bij toevoeging of vervanging van een sub-verwerker informeert Secret Gifters Klant 30 dagen vooraf, tenzij directe vervanging noodzakelijk is voor continuïteit van de Diensten. Klant kan binnen 14 dagen schriftelijk bezwaar maken; partijen treden in dat geval in overleg.
6. Datalek
Bij een ontdekt datalek dat persoonsgegevens van Klant betreft:
- informeert Secret Gifters Klant binnen 24 uur na ontdekking;
- verstrekt Secret Gifters de aard van het lek, betrokken categorieën gegevens en betrokkenen, vermoedelijke gevolgen, en genomen mitigerende maatregelen;
- werkt Secret Gifters mee aan een eventuele melding bij de Autoriteit Persoonsgegevens en/of betrokkenen.
7. Audits
Klant heeft het recht eens per jaar (of vaker bij gegronde reden) een audit uit te (laten) voeren bij Secret Gifters. Kosten zijn voor Klant, tenzij de audit ernstige tekortkomingen aantoont.
In de praktijk leveren wij op verzoek:
- ons laatste security-audit-rapport;
- onze actuele sub-verwerkerslijst;
- onze datalek-procedure en -register.
8. Aansprakelijkheid
Aansprakelijkheid uit hoofde van of in verband met deze Verwerkersovereenkomst is geregeld in de Algemene Voorwaarden. De totale aansprakelijkheid is beperkt tot het bedrag dat Klant in de twaalf maanden voorafgaand aan het schadevoorval aan Secret Gifters heeft betaald.
9. Toepasselijk recht
Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de Rechtbank Den Haag.
10. Aanvaarding
Door gebruik te maken van het Secret Gifters platform aanvaardt Klant deze Verwerkersovereenkomst. Een aparte ondertekening is niet vereist; bij behoefte aan een ondertekend exemplaar kan Klant contact opnemen via info@secretgifters.nl en ontvangt deze digitaal ondertekend retour.
Bedrijfsgegevens
Secret Gifters V.O.F.
Groot Hertoginnelaan 47A, 2517 EC ’s-Gravenhage
E-mail: info@secretgifters.nl · Telefoon: +31 6 130 30 40 6
KvK: 86189131 · BTW: NL863889840B01