Privacy- & verwerkersovereenkomst (DPA)

Gepubliceerd: 15 januari 2025 · Ingangsdatum: 15 januari 2025 · Versie: 1.0

Niet-bindende samenvatting

Deze DPA regelt wanneer Zlox verwerker is namens merchant, welke beveiliging geldt, hoe subverwerkers en doorgiften worden beheerd, hoe datalekken worden gemeld, en hoe data wordt verwijderd of geretourneerd.

Inhoudsopgave

  • Roltoewijzing
  • Verwerkingsinstructies en reikwijdte
  • Beveiligingsmaatregelen
  • Subverwerkers en internationale doorgiften
  • Rechten betrokkenen en incidentafhandeling
  • Audits, bewaring, retour/verwijdering
  • Bijlagen en wijzigingenlog

1. Roltoewijzing

Zlox is zelfstandig verwerkingsverantwoordelijke voor eigen doeleinden (beveiliging, antifraud, analytics, wettelijke naleving, productbeheer). Voor klantgegevens die uitsluitend op instructie van de Merchant worden verwerkt, is Merchant verwerkingsverantwoordelijke en Zlox verwerker.

2. Verwerkingsinstructies en reikwijdte

Zlox verwerkt persoonsgegevens alleen op gedocumenteerde instructies van de Merchant, tenzij de wet anders vereist. Merchant garandeert rechtmatige grondslag, transparantie naar betrokkenen en rechtenbeheer.

3. Beveiligingsmaatregelen

Zlox hanteert passende technische en organisatorische maatregelen, waaronder versleuteling tijdens transport, toegangsbeheer, rolscheiding, logging, kwetsbaarheidsbeheer, backup en incidentrespons in verhouding tot het risico.

4. Subverwerkers en doorgiften

Zlox kan subverwerkers inschakelen onder schriftelijke afspraken met wezenlijk gelijkwaardige verplichtingen. Voor doorgiften buiten EER/VK/CH worden passende waarborgen gebruikt, zoals SCC’s en aanvullende maatregelen indien nodig.

5. Rechtenverzoeken en datalekken

Zlox verleent redelijke ondersteuning bij rechtenverzoeken en DPIA’s waar vereist. Zlox informeert de Merchant zonder onnodige vertraging na bekendwording van een lek dat Merchant-gegevens raakt en verstrekt beschikbare informatie voor meldplichten.

6. Audits, bewaring, retour/verwijdering

Zlox verstrekt redelijkerwijs benodigde informatie om naleving aan te tonen. Audits zijn beperkt tot proportionele frequentie, vertrouwelijkheid en geen verstoring van beveiligingsoperaties. Bij beëindiging worden gegevens gewist of geretourneerd conform instructie, tenzij wettige bewaarplicht.

7. Bijlagen en wijzigingenlog

Bijlage A: Voorwerp, duur, categorieën gegevens en betrokkenen.

Bijlage B: Samenvatting beveiligingsmaatregelen.

Bijlage C: Subverwerkers en doorgifte-instrumenten.

Bijlage D: Bewaring/verwijderingmatrix.

  • v1.0 (2025-01-15): Eerste DPA-schets

Implementatienotities (niet juridisch)

  • DPA-acceptatie of tekenflow voor merchant-org-admin
  • Subverwerkerslijst met revisiehistorie
  • Intake rechtenverzoeken en SLA in supporttools
  • Logs verwijdering/retour en uitzonderingen op bewaring