Verwerkersovereenkomst #
Ingangsdatum: 22 april 2026
Deze verwerkersovereenkomst (“verwerkersovereenkomst”) maakt deel uit van de overeenkomst tussen de klant (“verwerkingsverantwoordelijke”) en EthicsPortal (“verwerker”) voor de levering van het meldplatform voor klokkenluiders van EthicsPortal (“dienst”).
Een ondertekend exemplaar nodig? Neem contact op via legal@ethicsportal.eu om een medeondertekende pdf-versie van deze verwerkersovereenkomst voor uw administratie aan te vragen.
1. Partijen #
Verwerkingsverantwoordelijke: de organisatie die zich abonneert op EthicsPortal en het doel van en de middelen voor de verwerking van persoonsgegevens via de dienst bepaalt.
Verwerker: EthicsPortal, geëxploiteerd door Yaroslav Shmarov, geregistreerd op ul. Obrzeżna 1A, 02-691 Warschau, Polen. Contact: legal@ethicsportal.eu .
2. Reikwijdte en doel van de verwerking #
De verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke uitsluitend om de dienst te leveren, hetgeen omvat:
- Het ontvangen en opslaan van klokkenluidersmeldingen
- Het mogelijk maken van veilige communicatie tussen melders en zaakbehandelaars
- Het beheren van zaakworkflows (toewijzing, statusbewaking, afhandeling)
- Het genereren van auditlogs en nalevingsregistraties
- Het verzenden van transactionele e-mailmeldingen aan zaakbehandelaars en organisatiebeheerders
- Het verwerken van betalingen voor de dienst
De verwerker verwerkt persoonsgegevens niet voor enig ander doel dan het leveren van de dienst zoals geïnstrueerd door de verwerkingsverantwoordelijke.
3. Soorten verwerkte persoonsgegevens #
| Gegevenscategorie | Voorbeelden | Versleuteld in rust |
|---|---|---|
| Identiteit van melder (optioneel) | Naam, e-mailadres, telefoonnummer | Ja (niet-deterministisch) |
| Meldingsinhoud | Beschrijving van de gemelde zorg | Ja (niet-deterministisch) |
| Communicatie-inhoud | Berichten tussen melder en zaakbehandelaar | Ja (niet-deterministisch) |
| Bestandsbijlagen | Documenten, afbeeldingen, audio, video geüpload door melders | Opgeslagen met verwijderde metadata |
| Toegangscodes | Unieke codes die melders gebruiken om hun meldingen te benaderen | Ja |
| Behandelaars- en beheerdersgegevens | Naam, e-mailadres, rol, organisatielidmaatschap | Nee (operationele gegevens) |
| Auditlogvermeldingen | Tijdstempels, identiteit van actor, type actie | Nee (integriteitskritische registraties) |
| Technische gegevens | Eenrichtingsgehashte IP-adressen (niet omkeerbaar), uitsluitend voor snelheidsbeperking | Niet van toepassing (hash, geen persoonsgegevens) |
4. Categorieën van betrokkenen #
- Klokkenluiders / melders — personen die meldingen indienen via het portaal (kunnen anoniem zijn)
- Zaakbehandelaars — personen die door de verwerkingsverantwoordelijke zijn aangewezen om meldingen te ontvangen en te beheren
- Organisatiebeheerders — personen die het EthicsPortal-account en de instellingen van de verwerkingsverantwoordelijke beheren
5. Duur van de verwerking #
De verwerker verwerkt persoonsgegevens gedurende de looptijd van het abonnement van de verwerkingsverantwoordelijke op de dienst. Bij beëindiging:
- Kan de verwerkingsverantwoordelijke zijn gegevens exporteren voordat het abonnement eindigt.
- Worden meldgegevens bewaard volgens de door de verwerkingsverantwoordelijke ingestelde bewaartermijn (12, 24, 36, 48 of 60 maanden na sluiting van de melding) en daarna permanent verwijderd. Een melding die 18 maanden zonder activiteit blijft, wordt automatisch gesloten zodat de bewaartermijn begint.
- Verwijdert de verwerker op schriftelijk verzoek alle resterende gegevens van de verwerkingsverantwoordelijke binnen 30 dagen na opzegging van het abonnement, tenzij bewaring wettelijk vereist is.
6. Verplichtingen van de verwerker #
6.1 Verwerkingsinstructies #
De verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij hij daartoe verplicht is op grond van het recht van de EU of een lidstaat. Als een dergelijke wettelijke verplichting ontstaat, stelt de verwerker de verwerkingsverantwoordelijke vóór de verwerking op de hoogte, tenzij de wet een dergelijke kennisgeving verbiedt.
6.2 Vertrouwelijkheid #
Alle personen die gemachtigd zijn om persoonsgegevens te verwerken, hebben zich tot vertrouwelijkheid verbonden of zijn onderworpen aan een passende wettelijke vertrouwelijkheidsverplichting.
6.3 Beveiligingsmaatregelen #
De verwerker implementeert en handhaaft de technische en organisatorische maatregelen die zijn beschreven op de pagina Beveiliging , waaronder:
- Niet-deterministische versleuteling in rust voor alle gevoelige meldgegevens
- Geen opslag van ruwe IP-adressen van melders in de database (eenrichtingshashing uitsluitend voor snelheidsbeperking)
- Automatische verwijdering van bestandsmetadata (EXIF, GPS, auteursgegevens)
- Rolgebaseerde toegangscontrole met Pundit-autorisatiepolicy’s
- Audit trail met uitsluitend toevoegingen voor alle acties
- Snelheidsbeperking op alle endpoints van het openbare portaal
- HTTPS/TLS voor alle verbindingen
- CSRF-bescherming
Beveiligingskwetsbaarheden en incidentmeldingen kunnen worden verzonden naar security@ethicsportal.eu . Verzoeken van betrokkenen en FG-achtige vragen kunnen worden verzonden naar privacy@ethicsportal.eu of dpo@ethicsportal.eu .
6.4 Sub-verwerkers #
De verwerker gebruikt de sub-verwerkers die zijn vermeld in sectie 8. De verwerker stelt de verwerkingsverantwoordelijke ten minste 30 dagen van tevoren op de hoogte van het toevoegen of vervangen van een sub-verwerker. De verwerkingsverantwoordelijke kan bezwaar maken tegen de wijziging; als geen oplossing wordt bereikt, kan de verwerkingsverantwoordelijke de overeenkomst opzeggen.
6.5 Rechten van betrokkenen #
De verwerker assisteert de verwerkingsverantwoordelijke bij het reageren op verzoeken van betrokkenen die hun rechten onder de AVG uitoefenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) door de noodzakelijke technische mogelijkheden binnen de dienst te bieden.
6.6 Melding van inbreuken in verband met persoonsgegevens #
In geval van een inbreuk in verband met persoonsgegevens stelt de verwerker de verwerkingsverantwoordelijke zonder onnodige vertraging en in elk geval binnen 72 uur na kennisname van de inbreuk op de hoogte. De melding bevat:
- Een beschrijving van de aard van de inbreuk
- De categorieën en het bij benadering aantal getroffen betrokkenen
- De waarschijnlijke gevolgen van de inbreuk
- De getroffen of voorgestelde maatregelen om de inbreuk aan te pakken
6.7 Gegevensbeschermingseffectbeoordelingen #
De verwerker assisteert de verwerkingsverantwoordelijke bij gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen van toezichthoudende autoriteiten, voor zover de verwerkingsactiviteiten van de verwerker dergelijke assistentie vereisen.
6.8 Verwijdering en teruggave van gegevens #
Bij beëindiging van de dienst zal de verwerker, naar keuze van de verwerkingsverantwoordelijke:
- Alle persoonsgegevens teruggeven aan de verwerkingsverantwoordelijke in de exportformaten die de dienst op het moment van beëindiging beschikbaar stelt, waaronder pdf-zaakexports en bijbehorende bijlagen, of
- Alle persoonsgegevens verwijderen en de verwijdering schriftelijk bevestigen
tenzij het recht van de EU of een lidstaat voortgezette opslag vereist.
Als de verwerkingsverantwoordelijke redelijkerwijs een aanvullend portabiliteitsformaat nodig heeft voor migratie of toezichthoudende beoordeling, beoordeelt de verwerker het verzoek te goeder trouw en verstrekt hij dit, waar technisch haalbaar, op grond van een afzonderlijk schriftelijk verzoek.
6.9 Auditrechten #
De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de verplichtingen van artikel 28 AVG aan te tonen. De verwerkingsverantwoordelijke kan audits uitvoeren, waaronder inspecties, hetzij rechtstreeks, hetzij via een gemachtigde auditor, behoudens redelijke voorafgaande kennisgeving (ten minste 30 dagen) en tijdens normale kantooruren. De verwerker werkt mee aan dergelijke audits.
6.10 Geen AI- of LLM-verwerking van meldingsinhoud #
De verwerker verbindt zich ertoe dat persoonsgegevens die onder deze verwerkersovereenkomst worden verwerkt — waaronder meldingsinhoud, identiteit van melders, behandelaarsberichten, bestandsbijlagen en auditlogvermeldingen — niet worden doorgegeven aan enig groot taalmodel, generatieve AI-dienst of AI-classifier, ongeacht of deze door de verwerker of door een derde wordt geëxploiteerd (waaronder, maar niet beperkt tot, OpenAI, Anthropic, Google en Mistral). De dienst voert geen AI-gestuurde categorisatie, triage, samenvatting, vertaling of voorgestelde antwoorden uit op persoonsgegevens. De verwerkingsverantwoordelijke mag op deze toezegging vertrouwen bij het beoordelen van verplichtingen inzake geautomatiseerde besluitvorming onder Art. 22 AVG en bij het afbakenen van de openbaarmaking van sub-verwerkers in zijn eigen privacyverklaringen en gegevensbeschermingseffectbeoordelingen. Elke wijziging van deze toezegging zou een wezenlijke wijziging van de dienst zijn en zou aan de verwerkingsverantwoordelijke worden gemeld op grond van sectie 6.4 (Sub-verwerkers) en sectie 11 (Looptijd en beëindiging).
Zelfgehoste statistische machinevertaling die volledig op door de verwerker beheerde infrastructuur draait (er verlaten geen gegevens de infrastructuur van de verwerker, er wordt geen externe inferentie-oproep gedaan) valt niet binnen de reikwijdte van deze beperking en mag worden gebruikt om berichten van melders of behandelaars te vertalen waar de verwerkingsverantwoordelijke dit heeft ingeschakeld.
Deze toezegging wordt jaarlijks herzien. De datum “Laatst bijgewerkt” bovenaan deze verwerkersovereenkomst weerspiegelt de meest recente bevestiging. Als de verwerker op enig moment voornemens is AI- of LLM-verwerking te introduceren van persoonsgegevens die onder deze verwerkersovereenkomst vallen, stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte overeenkomstig sectie 6.4 en treedt de wijziging niet eerder in werking dan na de daar vermelde opzegtermijn.
6.11 Door de klant beheerde versleutelingssleutels (BYOK) #
De dienst ondersteunt geen door de klant beheerde versleutelingssleutels — of dit nu wordt omschreven als bring-your-own-key (BYOK), hold-your-own-key (HYOK) of integratie met een externe key management service (KMS). Dit is een bewuste architectuurkeuze, geen operationele beperking, en is gebaseerd op twee garanties inzake vertrouwelijkheid en levenscyclus die de verwerker elders in deze verwerkersovereenkomst geeft:
- Sleutelgrens tussen melder en behandelaar. Persoonsgegevens die onder deze verwerkersovereenkomst vallen, worden in rust versleuteld onder door de verwerker beheerde sleutels die binnen de dienst worden bewaard. De versleutelingsgrens die de identiteit van de melder en de meldingsinhoud beschermt tegen externe partijen, is dezelfde grens die deze beschermt tegen de eigen IT-beheerders van de verwerkingsverantwoordelijke. Het overdragen van het sleutelbeheer aan de verwerkingsverantwoordelijke zou die grens verplaatsen naar de omgeving van de verwerkingsverantwoordelijke, waar beheerders aan de zijde van de verwerkingsverantwoordelijke in beginsel in staat zouden worden de identiteit van de melder te ontsleutelen — wat het vertrouwelijkheidsmodel dat Art. 16 van Richtlijn (EU) 2019/1937 vereist, zou omkeren.
- End-to-end-verwijderingsgarantie. Op bewaartermijn gebaseerde verwijdering (Art. 5(1)(e) AVG) en contractuele verwijdering bij beëindiging (sectie 6.8 hierboven) steunen op het vermogen van de verwerker om versleutelde gegevens cryptografisch en fysiek te vernietigen, onafhankelijk van de verwerkingsverantwoordelijke. Een door de verwerkingsverantwoordelijke gehouden sleutel zou een categorie storingen creëren waarbij de verwerker niet zelfstandig de volledige verwijdering binnen het contractuele venster kan garanderen.
Het versleutelingsschema in rust van de verwerker, de niet-deterministische versleutelingseigenschappen en de sleutelisolatie zijn gedocumenteerd op de pagina Beveiliging . Een wijziging van dit standpunt zou een wezenlijke wijziging van de dienst zijn en zou aan de verwerkingsverantwoordelijke worden gemeld op grond van sectie 6.4 (Sub-verwerkers) en sectie 11 (Looptijd en beëindiging).
7. Verplichtingen van de verwerkingsverantwoordelijke #
De verwerkingsverantwoordelijke is verantwoordelijk voor:
- Het waarborgen van een rechtsgrond voor de verwerking van persoonsgegevens via de dienst
- Het verstrekken van de vereiste privacyverklaringen aan betrokkenen (EthicsPortal toont een privacyverklaring op het meldformulier van het portaal)
- Het configureren van passende bewaartermijnen binnen de dienst
- Het aanwijzen van geautoriseerde behandelaars en beheerders
- Het reageren op verzoeken van betrokkenen, met assistentie van de verwerker zoals hierboven beschreven
8. Sub-verwerkers #
De volgende sub-verwerkers zijn geautoriseerd per de ingangsdatum van deze verwerkersovereenkomst:
| Sub-verwerker | Doel | Locatie | Waarborgen |
|---|---|---|---|
| Hetzner Online GmbH | Applicatiehosting, database en opslag van bestandsbijlagen | Neurenberg, Duitsland (EU) | Gegevens volledig binnen de EU verwerkt |
| Stripe Payments Europe, Ltd | Betalingsverwerking | Ierland (EU) | Geen betaalgegevens opgeslagen door de verwerker; Stripe is PCI DSS Level 1-gecertificeerd |
| Mailjet (Sinch) | Bezorging van transactionele e-mail | Frankrijk (EU) | Gegevens volledig binnen de EU verwerkt |
| Cloudflare, Inc. | CDN en edge-levering voor de marketingwebsite | Verenigde Staten | Doorgiften steunen, waar persoonsgegevens betrokken zijn, op modelcontractbepalingen en aanvullende waarborgen |
| AppSignal B.V. | Foutmonitoring en monitoring van applicatieprestaties voor de beheerders- en behandelaarsinterfaces | Nederland (EU) | Gegevens volledig binnen de EU verwerkt; IP-adressen van melders worden nooit gelogd |
| Crisp IM SARL | In-app behandelaarschat en ondersteuning bij identiteitsverificatie | Frankrijk (EU) | Alleen geladen in het behandelportaal; niet geladen op de marketingwebsite of de pagina’s die melders te zien krijgen |
Marketinganalytics (Cloudflare Web Analytics) zijn cookievrij en verwerken geen persoonsgegevens.
Geen AI- of LLM-sub-verwerker. Geen enkel groot taalmodel, generatieve AI-dienst of AI-classifier is een sub-verwerker van de verwerker. Persoonsgegevens die onder deze verwerkersovereenkomst worden verwerkt, worden niet doorgegeven aan OpenAI, Anthropic, Google, Mistral of een andere AI-inferentieaanbieder. Zie sectie 6.10.
9. Internationale gegevensdoorgiften #
De kerngegevens van klokkenluidersmeldingen, waaronder meldingsinhoud en de opslag van bestandsbijlagen, worden gehost binnen de Europese Unie (Hetzner, Duitsland). Betalingsverwerking vindt plaats binnen de EU (Stripe), en transactionele e-mail wordt geleverd vanuit de EU (Mailjet, Frankrijk).
Verzoeken aan de marketingwebsite worden geleid via Cloudflare (CDN, Verenigde Staten), dat netwerkmetadata (IP-adressen van bezoekers en request-headers) verwerkt voor contentlevering en DDoS-bescherming. Er worden geen meldingen, behandelaarsgegevens of accountgegevens gedeeld met Cloudflare. Doorgiften steunen op modelcontractbepalingen en aanvullende waarborgen. Het meldportaal en het behandelportaal laden Cloudflare niet. AppSignal (Nederland) en Crisp (Frankrijk) zijn in de EU gevestigd; Crisp wordt alleen geladen in het behandelportaal.
10. Aansprakelijkheid #
De aansprakelijkheid van elke partij onder deze verwerkersovereenkomst is onderworpen aan de aansprakelijkheidsbeperkingen die zijn vastgelegd in de hoofdovereenkomst tussen de partijen. Voor zover maximaal toegestaan door de wet, maken vorderingen die voortvloeien uit of verband houden met deze verwerkersovereenkomst deel uit van hetzelfde geaggregeerde aansprakelijkheidsmaximum dat op de dienst van toepassing is.
11. Looptijd en beëindiging #
Deze verwerkersovereenkomst treedt in werking wanneer de verwerkingsverantwoordelijke de dienst begint te gebruiken en blijft van kracht zolang de verwerker persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt. De verplichtingen in deze verwerkersovereenkomst blijven na beëindiging van kracht voor zover nodig om de verwijdering of teruggave van persoonsgegevens te voltooien.
12. Toepasselijk recht #
Deze verwerkersovereenkomst wordt beheerst door het recht van de Republiek Polen, zonder inachtneming van de beginselen van conflictenrecht. De bevoegde rechtbanken van Warschau, Polen hebben exclusieve bevoegdheid over geschillen die voortvloeien uit deze verwerkersovereenkomst.
Contact #
Voor vragen over deze verwerkersovereenkomst of om een ondertekend exemplaar aan te vragen:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warschau, Polen legal@ethicsportal.eu
Laatst bijgewerkt: