ISO
ISO-Assist

Verwerkersovereenkomst

Laatst bijgewerkt: maart 2026

Artikel 1 – Partijen

Deze Verwerkersovereenkomst ("Overeenkomst") is aangegaan tussen:

  • Verwerkingsverantwoordelijke: de organisatie (het gezinshuis) die gebruik maakt van ISO-Assist, hierna "Opdrachtgever".
  • Verwerker: De Regelneef, gevestigd te Nederland, aanbieder van ISO-Assist, hierna "Verwerker".

Artikel 2 – Definities

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
  • Verwerking: elke bewerking van persoonsgegevens, waaronder verzamelen, opslaan, wijzigen, raadplegen, verstrekken en wissen.
  • AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
  • Datalek: een inbreuk op de beveiliging die leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.

Artikel 3 – Onderwerp en duur

Deze Overeenkomst regelt de verwerking van persoonsgegevens door Verwerker ten behoeve van Opdrachtgever in het kader van het ISO-Assist platform. De Overeenkomst is van kracht zolang Verwerker persoonsgegevens verwerkt namens Opdrachtgever, en eindigt wanneer het abonnement op ISO-Assist wordt beëindigd.

Artikel 4 – Aard en doel van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het aanbieden van de ISO-Assist dienstverlening, bestaande uit:

  • Het beheren van het kwaliteitsmanagementsysteem (documentbeheer, taken, compliance-monitoring).
  • Het aanbieden van tools zoals SWOT-analyse en directiebeoordeling.
  • Het versturen van meldingen en herinneringen.
  • Het genereren van rapportages en PDF-exports.

Artikel 5 – Soort persoonsgegevens

De volgende categorieën persoonsgegevens worden verwerkt:

  • Naam en e-mailadres van gebruikers (medewerkers van het gezinshuis).
  • Profielfoto (indien gekoppeld via Google-account).
  • Inloggegevens en sessie-informatie (OAuth tokens).
  • Organisatiegegevens: naam, adres, KvK-nummer, contactgegevens van het gezinshuis.
  • Betalingsgegevens worden verwerkt door Stripe en niet direct opgeslagen door Verwerker.

Belangrijk: ISO-Assist verwerkt géén gegevens van de jeugdigen of cliënten van het gezinshuis. Documenten worden veilig opgeslagen in een versleutelde PostgreSQL database met dagelijkse geautomatiseerde backups.

Artikel 6 – Categorieën betrokkenen

De betrokkenen van wie persoonsgegevens worden verwerkt zijn:

  • Medewerkers en beheerders van het gezinshuis die gebruik maken van ISO-Assist.
  • Contactpersonen van het gezinshuis.

Artikel 7 – Verplichtingen van de Verwerker

Verwerker verbindt zich tot het volgende:

  • Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van Opdrachtgever.
  • Personen in dienst die toegang hebben tot persoonsgegevens aan geheimhouding te binden.
  • Passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat afgestemd is op het risico.
  • Opdrachtgever bij te staan bij het nakomen van diens verplichtingen uit hoofde van de AVG.
  • Na beëindiging van de dienstverlening alle persoonsgegevens te verwijderen of terug te geven, naar keuze van Opdrachtgever.

Artikel 8 – Sub-verwerkers

Verwerker maakt gebruik van de volgende sub-verwerkers. Opdrachtgever geeft hierbij voorafgaande toestemming voor het inschakelen van deze sub-verwerkers:

Sub-verwerkerDoelLocatie
Google (OAuth)AuthenticatieEU/VS (adequaatheidsbesluit)
StripeBetalingsverwerkingEU/VS (adequaatheidsbesluit)
ResendE-mailverzending (magic links, meldingen, uitnodigingen)VS (adequaatheidsbesluit)
OpenRouterAI-ondersteunde analyses (SWOT, risico, aanbevelingen)VS (adequaatheidsbesluit)

Verwerker informeert Opdrachtgever vooraf over wijzigingen in sub-verwerkers. Opdrachtgever heeft het recht bezwaar te maken tegen nieuwe sub-verwerkers.

Artikel 9 – Beveiligingsmaatregelen

Verwerker treft de volgende beveiligingsmaatregelen:

  • Versleutelde verbinding (HTTPS/TLS) voor alle dataverkeer.
  • Versleutelde opslag van gevoelige gegevens (tokens, wachtwoorden).
  • Toegangscontrole via OAuth 2.0 authenticatie.
  • Rolgebaseerde autorisatie (admin/gebruiker-scheiding).
  • Regelmatige back-ups van de database.
  • Hosting op beveiligde servers binnen de EU.
  • Audit trail van gebruikersacties binnen het platform.

Artikel 10 – Datalekken

Verwerker meldt elk datalek zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, aan Opdrachtgever. De melding bevat ten minste:

  • De aard van het datalek, inclusief de categorieën en het aantal betrokkenen.
  • De waarschijnlijke gevolgen van het datalek.
  • De maatregelen die zijn genomen of voorgesteld om het datalek aan te pakken.

Verwerker werkt mee aan het onderzoek en het nemen van maatregelen ter beperking van de gevolgen.

Artikel 11 – Rechten van betrokkenen

Verwerker staat Opdrachtgever bij in het nakomen van verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG, waaronder:

  • Recht op inzage (artikel 15 AVG).
  • Recht op rectificatie (artikel 16 AVG).
  • Recht op gegevenswissing (artikel 17 AVG).
  • Recht op beperking van de verwerking (artikel 18 AVG).
  • Recht op overdraagbaarheid van gegevens (artikel 20 AVG).

Verwerker informeert Opdrachtgever onverwijld over ontvangen verzoeken van betrokkenen.

Artikel 12 – Audit

Verwerker stelt alle informatie ter beschikking die nodig is om de naleving van deze Overeenkomst aan te tonen. Opdrachtgever heeft het recht om, maximaal één keer per jaar en met een opzegtermijn van 30 dagen, een audit uit te voeren of te laten uitvoeren door een onafhankelijke derde partij. De kosten van een audit worden gedragen door Opdrachtgever, tenzij uit de audit blijkt dat Verwerker de Overeenkomst niet nakomt.

Artikel 13 – Teruggave en verwijdering

Na beëindiging van de Overeenkomst zal Verwerker, naar keuze van Opdrachtgever:

  • Alle persoonsgegevens retourneren aan Opdrachtgever in een gangbaar formaat; of
  • Alle persoonsgegevens verwijderen en bevestigen dat dit is geschied.

Verwijdering vindt plaats binnen 30 dagen na beëindiging, tenzij Europees of nationaal recht opslag verplicht.

Artikel 14 – Toepasselijk recht

Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Artikel 15 – Beveiliging van documentopslag

Documenten van Opdrachtgever worden opgeslagen in een beveiligde PostgreSQL database op servers binnen de EU. De volgende beveiligingsmaatregelen zijn van toepassing:

Versleutelde opslag

pgcrypto encryptie voor gevoelige gegevens

Dagelijkse backups

Geautomatiseerde pg_dump met 30 dagen retentie

HTTPS/TLS

Versleuteld dataverkeer

Rolgebaseerde toegang

Admin-beheerde documentrechten

Audit trail

Volledige logging van gebruikersacties

EU hosting

Servers binnen de Europese Unie

Documenten worden direct in de applicatie beheerd met een ingebouwd templatesysteem. Alle documenten zijn eigendom van Opdrachtgever en kunnen op verzoek worden geëxporteerd.

De Regelneef | info@iso-assist.nl

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de gebruiksvoorwaarden van ISO-Assist.