Terug naar home
    Juridisch Document

    Verwerkersovereenkomst

    Conform artikel 28 AVG/GDPR

    Versie: v1.1

    Ingangsdatum: 1 juni 2026

    Deze Verwerkersovereenkomst (hierna: "VWO") is van toepassing op alle overeenkomsten tussen PVG Technologies B.V. (handelend onder de naam TransferGuard; hierna: "Verwerker") en de Afnemer (hierna: "Verantwoordelijke") die gebruik maakt van de diensten van TransferGuard. Door het aanmaken van een account en/of het gebruik van de diensten accepteert de Verantwoordelijke deze VWO.

    Verantwoordelijke

    De Afnemer

    De natuurlijke persoon of rechtspersoon die een account aanmaakt bij TransferGuard en daarmee gebruik maakt van de dienst.

    Verwerker

    PVG Technologies B.V.

    h.o.d.n. TransferGuard

    Nederland — KVK: 99645939

    E-mail: info@transferguard.eu

    Artikel 1 — Onderwerp en Doeleinden van de Verwerking

    1.1 Verwerker verwerkt in opdracht van Verantwoordelijke persoonsgegevens in het kader van het verlenen van de volgende diensten:

    • Het beveiligd en aangetekend verzenden van digitale dossiers en documenten.
    • Identiteitsverificatie van ontvangers (indien geactiveerd).
    • Het genereren van verifieerbaar bewijs van ontvangst (certificaten).
    • Het beheren van uploadsportalen voor cliënten van Verantwoordelijke.

    1.2 Verwerker verwerkt de persoonsgegevens uitsluitend op basis van documenteerde instructies van Verantwoordelijke, tenzij Verwerker op grond van toepasselijk recht tot verwerking verplicht is.

    Artikel 2 — Categorieën van Persoonsgegevens en Betrokkenen

    2.1 Verwerker verwerkt de volgende categorieën persoonsgegevens:

    • Identificerende gegevens: Naam, e-mailadres, telefoonnummer, IP-adres.
    • Documentgegevens: Bestanden, dossierinhoud en metagegevens die door Verantwoordelijke worden verzonden.
    • Identiteitsgegevens: Foto's van ID-documenten, documentnummers en vervaldatums (uitsluitend bij gebruik van identiteitsverificatie).
    • Biometrische gegevens: Gezichts- en liveness-checks ten behoeve van identiteitsverificatie (uitsluitend bij gebruik van de Verified Identity-dienst).
    • Cliëntenonderzoek-gegevens (CDD): bij gebruik van de KYC-identiteitscontrole — geboortedatum, adres, nationaliteit, doel, PEP-zelfverklaring, herkomst van de middelen en de uitslag van de AML/PEP-screening (Wwft-cliëntenonderzoek).
    • Technische gegevens: Log- en audit-gegevens (tijdstempel, apparaat, locatie) ten behoeve van verifieerbaar bewijs.

    2.2 Betrokkenen zijn: medewerkers van Verantwoordelijke, cliënten en andere relaties van Verantwoordelijke aan wie gegevens worden verzonden of van wie gegevens worden ontvangen via de dienst.

    Artikel 3 — Verplichtingen van de Verwerker

    3.1 Verwerker verwerkt uitsluitend persoonsgegevens in overeenstemming met de gedocumenteerde instructies van Verantwoordelijke.

    3.2 Verwerker garandeert dat personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.

    3.3 Verwerker neemt alle vereiste maatregelen uit hoofde van artikel 32 AVG, waaronder:

    • End-to-end encryptie van bestanden (AES-256) bij opslag en transport (TLS 1.2+).
    • Hosting en opslag uitsluitend binnen de EU (Hetzner, Duitsland).
    • Strikte toegangscontrole op basis van het need-to-know-principe.
    • Multi-factor authenticatie voor medewerkers van Verwerker.
    • Regelmatige beveiligingstests en kwetsbaarheidsscans.

    Beveiligingsmaatregelen — toegangscontrole

    • Multi-factor authenticatie verplicht voor alle gebruikers met de rol "administrator" of "verwerker".
    • TLS 1.3 minimum voor alle data-in-transit.
    • AES-256-GCM versleuteling in de browser vóór upload — decryptiesleutels worden alleen na verificatie aan ontvangers vrijgegeven.
    • Encryptie at rest op ISO 27001 gecertificeerde EU-infrastructuur.
    • Centrale toegangslogs met geverifieerde bewaartermijnen (zie privacy beleid).

    Artikel 4 — Inschakeling van Sub-verwerkers

    4.1 Verantwoordelijke verleent een algemene schriftelijke toestemming voor het inschakelen van de onderstaande sub-verwerkers. Verwerker zal Verantwoordelijke informeren over beoogde wijzigingen in sub-verwerkers, zodat Verantwoordelijke bezwaar kan maken.

    Sub-verwerkerDoelLocatie
    Hetzner Online GmbHHosting van applicatie, database en bestandsopslagDuitsland (EU)
    Veriff OÜIdentiteits- en biometrische verificatie (optioneel)Estland (EU)
    Mollie B.V.Verwerking van abonnementsbetalingenNederland (EU)
    Brevo SASTransactionele e-mail- en SMS-communicatieFrankrijk (EU)

    4.2 Per categorie technische logbestanden gelden de volgende bewaartermijnen, afgestemd op het doel van de verwerking:

    CategorieBewaartermijnGrondslag
    Login-events24 maandenSecurity-monitoring, frauddetectie
    Download-logs7 jaarAWR art. 52 lid 4 — administratieplicht
    Bezoeklogs verificatiepagina's12 maandenOpbouw "Verklaring van Pogingen"
    Identiteitsverificaties (Veriff)12 maanden audit-toegangDaarna alleen session-ID gearchiveerd

    Artikel 5 — Datalekken

    5.1 Verwerker stelt Verantwoordelijke onverwijld — uiterlijk binnen 48 uur na ontdekking — op de hoogte van een beveiligingsincident dat (mogelijk) betrekking heeft op persoonsgegevens van Verantwoordelijke.

    5.2 De melding bevat ten minste: de aard van het incident, de categorieën en het (geschatte) aantal betrokkenen, de waarschijnlijke gevolgen en de getroffen of voorgenomen maatregelen.

    Artikel 6 — Rechten van Betrokkenen

    6.1 Verwerker verleent Verantwoordelijke volledige medewerking bij het voldoen aan verzoeken van betrokkenen, waaronder verzoeken tot inzage, rectificatie, verwijdering, beperking van verwerking en gegevensoverdraagbaarheid.

    6.2 Verwerker zal een verzoek dat rechtstreeks bij hem wordt ingediend, onverwijld doorsturen aan Verantwoordelijke.

    Artikel 7 — Audits en Toezicht

    7.1 Verwerker stelt Verantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit artikel 28 AVG aan te tonen.

    7.2 Verwerker staat audits toe — uitgevoerd door Verantwoordelijke of een door hem aangewezen auditor — en verleent daartoe de benodigde medewerking, mits de audit minimaal 30 dagen vooraf schriftelijk wordt aangekondigd, de vertrouwelijkheid van gegevens van andere klanten is gewaarborgd en de kosten voor rekening van Verantwoordelijke komen.

    Artikel 8 — Doorgifte buiten de EER

    8.1 Verwerker verwerkt persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER). Doorgifte aan derde landen vindt niet plaats, tenzij dit wettelijk verplicht is of Verantwoordelijke hiervoor uitdrukkelijk toestemming heeft gegeven.

    Artikel 9 — Bewaartermijnen en Verwijdering

    9.1 Verwerker bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de dienst. Voor TransferGuard gelden de volgende standaard bewaartermijnen:

    • Verzonden bestanden: automatisch verwijderd conform de retentie-instelling van het abonnement (standaard 90 dagen).
    • Audit- en verifieerbare certificaten: bewaard zolang het account actief is, daarna geanonimiseerd.
    • KYC-cliëntgegevens (identiteitscontrole): de identiteits-snapshot en CDD-intakegegevens worden 90 dagen na verificatie automatisch gewist (dataminimalisatie).
    • CDD-certificaat (KYC-bewijsstuk): het verzegelde, getijdstempelde certificaat wordt namens Verantwoordelijke 5 jaar bewaard ter voldoening aan de Wwft-bewaarplicht voor cliëntenonderzoek, en daarna definitief verwijderd.
    • Accountgegevens: verwijderd binnen 30 dagen na beëindiging van het abonnement, tenzij een wettelijke bewaarplicht (zoals de Wwft) anders voorschrijft.

    9.2 Op schriftelijk verzoek van Verantwoordelijke verwijdert of retourneert Verwerker alle persoonsgegevens en verwijdert bestaande kopieën, tenzij Unierecht of lidstatelijk recht bewaring vereist.

    Artikel 10 — Duur en Beëindiging

    10.1 Deze VWO treedt in werking op het moment dat Verantwoordelijke een account aanmaakt bij TransferGuard en geldt voor de duur van de hoofdovereenkomst (gebruiksvoorwaarden).

    10.2 Bij beëindiging van de hoofdovereenkomst eindigt ook deze VWO, met dien verstande dat de bepalingen over verwijdering en vertrouwelijkheid van kracht blijven totdat alle persoonsgegevens zijn verwijderd of geanonimiseerd.

    Artikel 11 — Toepasselijk Recht en Geschillenbeslechting

    11.1 Op deze VWO is Nederlands recht van toepassing.

    11.2 Geschillen die voortvloeien uit of verband houden met deze VWO worden bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam, tenzij partijen schriftelijk anders overeenkomen.

    Acceptatie

    Door het aanmaken van een account bij TransferGuard verklaart Verantwoordelijke kennis te hebben genomen van en in te stemmen met deze Verwerkersovereenkomst. De acceptatie wordt vastgelegd met tijdstempel als onderdeel van de audit-trail.

    Wilt u een ondertekend exemplaar? Gebruik dan de knop "Afdrukken / PDF" rechtsboven. Voor vragen over deze VWO kunt u contact opnemen via info@transferguard.eu.

    Verantwoordelijke

    De Afnemer

    Zoals geregistreerd bij aanmaken account

    Digitaal geaccepteerd bij het aanmaken van het account

    Verwerker

    PVG Technologies B.V.

    h.o.d.n. TransferGuard

    Nederland — KVK: 99645939

    TransferGuard