Verwerkersovereenkomst (AVG)
Laatst bijgewerkt: 28 april 2026
Wanneer een klant gebruikmaakt van NumbX, verwerken wij persoonsgegevens van zijn medewerkers in opdracht van die klant. Op grond van artikel 28 AVG sluiten wij daarvoor een verwerkersovereenkomst. Onderstaande tekst is de standaard versie die automatisch van toepassing is door aanvaarding van de algemene voorwaarden bij registratie. Klanten die een eigen versie willen gebruiken kunnen contact opnemen via privacy@numbx.nl.
1. Partijen en rollen
De klant is de verwerkingsverantwoordelijke in de zin van de AVG. NumbX ([bedrijfsnaam], KvK [kvk]) is verwerker.
2. Onderwerp en duur
Deze verwerkersovereenkomst geldt zolang de klant een abonnement op NumbX heeft. Wij verwerken uitsluitend persoonsgegevens die nodig zijn voor het leveren van de dienst zoals beschreven in de algemene voorwaarden.
3. Soort gegevens en betrokkenen
Betrokkenen: medewerkers (en eventueel ZZP'ers) van de klant die door de klant in NumbX worden ingevoerd of uitgenodigd.
Categorieën gegevens:
- Identificatie: naam, e-mailadres
- Arbeid: rol, contracturen per week, FTE
- Verlof: aanvragen, saldi, type verlof
- Tijd: geregistreerde uren (indien module actief)
- Loonadministratie: loonstroken (PDF, geüpload door werkgever) en netto-bedragen
- Declaraties: bedragen, omschrijving, eventueel bonnetje
- Technisch: inlogtijdstippen, IP-adres, sessie-ID
NumbX verwerkt geen bijzondere persoonsgegevens (zoals gezondheid of religie) tenzij de klant deze zelf invoert in vrije-tekstvelden, wat wij afraden.
4. Doel van de verwerking
Uitsluitend het verlenen van de NumbX-dienst zoals overeengekomen met de klant. Wij gebruiken klantgegevens niet voor eigen commerciële doeleinden, profilering of training van AI-modellen.
5. Subverwerkers
Wij maken voor de uitvoering van NumbX gebruik van de volgende subverwerkers, allen geselecteerd op privacy- en beveiligingsstandaarden:
| Subverwerker | Doel | Locatie / waarborg |
|---|---|---|
| Supabase | Database, authenticatie, bestandsopslag | EU (Ierland) — primaire opslag binnen EER |
| Vercel | Hosting van de webapplicatie | EU/USA — Standard Contractual Clauses |
| Resend | Verzenden van transactionele e-mails | EU/USA — Standard Contractual Clauses |
| Stripe | Betalingsverwerking (zodra geactiveerd) | EU/USA — Standard Contractual Clauses |
Wij stellen klanten ten minste 30 dagen vóór een wijziging van subverwerkers op de hoogte (bijvoorbeeld via e-mail of in-app aankondiging). De klant kan tegen die wijziging gemotiveerd bezwaar maken.
6. Beveiligingsmaatregelen
- HTTPS/TLS voor alle verbindingen
- Versleutelde wachtwoordopslag (bcrypt via Supabase Auth)
- Row Level Security (RLS) per organisatie zodat klanten elkaars data niet kunnen zien
- Two-factor authenticatie beschikbaar voor admins
- Beperkte toegang tot productie voor NumbX-personeel
- Dagelijkse back-ups van database en bestandsopslag
- Logging van toegangs- en wijzigingsacties
7. Datalekprocedure
Bij een datalek dat impact kan hebben op klantgegevens, informeren wij de klant zonder onredelijke vertraging — in principe binnen 72 uur na ontdekking. De kennisgeving bevat: aard van het lek, betrokken categorieën gegevens, geschatte aantallen betrokkenen en de getroffen of voorgenomen maatregelen. Het is vervolgens aan de klant om de Autoriteit Persoonsgegevens en eventueel betrokkenen te informeren.
8. Doorgifte buiten de EER
Doorgifte buiten de Europese Economische Ruimte vindt alleen plaats op basis van een wettelijke uitzondering of de Europese Standard Contractual Clauses, zoals in tabel 5 aangegeven.
9. Rechten van betrokkenen
Verzoeken van eindgebruikers (inzage, correctie, verwijdering, etc.) worden in principe rechtstreeks door de klant afgehandeld. Wij ondersteunen daarbij waar nodig en kosteloos. Klanten kunnen verzoeken indienen via privacy@numbx.nl.
10. Bewaring en teruggave
Bij beëindiging van het abonnement wordt klantdata maximaal 12 maanden bewaard om data-export en eventueel herstel mogelijk te maken, daarna definitief verwijderd. Loonstroken kennen een wettelijke bewaartermijn van 7 jaar; de klant kan deze zelf eerder verwijderen via de admin-omgeving.
11. Audit
De klant heeft het recht om — op eigen kosten en met redelijke aankondiging, maximaal eens per jaar — een audit te (laten) uitvoeren op de naleving van deze verwerkersovereenkomst. NumbX kan in plaats daarvan een onafhankelijk auditrapport (bijvoorbeeld SOC 2 of ISO 27001) overleggen zodra dat beschikbaar is.
12. Aansprakelijkheid
De aansprakelijkheid voor schade voortvloeiend uit een tekortkoming in deze verwerkersovereenkomst volgt artikel 7 van de algemene voorwaarden, met inachtneming van de minimumeisen van de AVG.
13. Slotbepalingen
Wijzigingen van deze verwerkersovereenkomst worden ten minste 30 dagen vóór ingangsdatum aangekondigd. Op deze overeenkomst is Nederlands recht van toepassing.