Select Page

VERWERKERS-OVEREENKOMST

Versie v4.0 • 16 maart 2026

Deze Verwerkersovereenkomst (‘DPA’) is van toepassing op alle verwerkingen van persoonsgegevens die Finarato BV als verwerker uitvoert namens de Klant als verwerkingsverantwoordelijke, in het kader van de Overeenkomst voor de levering van het Finarato Platform.

Bij tegenstrijdigheid tussen deze DPA en de Algemene Voorwaarden prevaleert de DPA voor zover het privacy en gegevensbescherming betreft.

 

Artikel 1 – Definities

De termen Verwerkingsverantwoordelijke, Verwerker, Betrokkene, Persoonsgegevens, Verwerking, Subverwerker, Inbreuk, Toezichthoudende Autoriteit en Bijzondere Categorieën hebben de betekenis zoals omschreven in de AVG (Verordening (EU) 2016/679).

  • Finarato: Finarato BV, optredend als Verwerker.
  • Klant: de contractspartij die optreedt als Verwerkingsverantwoordelijke.
  • Platform: de door Finarato als SaaS aangeboden software inclusief alle modules en synchronisatie-agents.
  • Content / Gegevens: alle door de Klant of zijn End Users in het Platform ingebrachte gegevens, inclusief persoonsgegevens en vertrouwelijke informatie.

 

Artikel 2 – Eigendom en instructies

2.1 De eigendom van de Persoonsgegevens gaat nooit over op Finarato. Finarato verwerkt Persoonsgegevens uitsluitend in opdracht van en overeenkomstig de gedocumenteerde instructies van de Klant.

2.2 Finarato informeert de Klant onmiddellijk indien een instructie in strijd is met de AVG.

 

Artikel 3 – Verwerkingsdetails

3.1 Onderwerp en doel

Finarato verwerkt Persoonsgegevens om de Klant toegang te verlenen tot het Platform en de bijbehorende Diensten.

 

3.2 Categorieën van verwerkte Persoonsgegevens

  • Identiteitsgegevens: naam, voornaam, geboortedatum, logingegevens
  • Contactgegevens: adres, e-mail, IP-adres, telefoonnummer
  • Wettelijke identificatoren: rijksregisternummer, paspoortnummer (indien ingevoerd door de Klant)
  • Gedragsgegevens: gebruikershistoriek binnen het Platform
  • Financiële gegevens: bankrekeningnummers, boekhoudkundige informatie (indien ingevoerd door de Klant)
  • Andere persoonsgegevens die door de Klant in het Platform worden ingevoerd

 

3.3 Categorieën van Betrokkenen

  • Klanten en partners van de Verwerkingsverantwoordelijke
  • Medewerkers, aangestelden en bestuursleden van de Verwerkingsverantwoordelijke
  • Andere personen waarvan de gegevens door de Verwerkingsverantwoordelijke worden verwerkt

 

3.4 Bewaartermijnen

Context

Bewaartermijn

Actief gebruik Platform

Duur van de Overeenkomst

Na beëindiging Overeenkomst

30 dagen beschikbaar voor export; daarna definitief gewist uit primaire opslag

Terugbezorging Content op verzoek

Tegen de dan geldende tarieven, in het formaat van opladen, op een door Finarato te bepalen drager

Back-ups (Azure — primair)

30 opeenvolgende dagelijkse back-ups; automatisch gewist na rollover

Back-ups (Crashplan — secundair)

Gerepliceerd met versiebeheer; retentie conform Crashplan-configuratie van Finarato

Support / helpdesk kopie

Gewist na oplossing incident (max. 30 dagen)

Wettelijke bewaarplicht

Overeenkomstig toepasselijke wetgeving (bv. 7 jaar voor boekhoudstukken)

 

Artikel 4 – Verplichtingen van Finarato als verwerker

Finarato verbindt zich ertoe:

  1. Persoonsgegevens uitsluitend te verwerken overeenkomstig de gedocumenteerde instructies van de Klant.
  2. Geen kennis te nemen van de inhoud van de Gegevens, behoudens: (a) uitdrukkelijk akkoord van de Klant; of (b) indien dit om technische redenen absoluut noodzakelijk is. In al deze gevallen verbindt Finarato zich ertoe de Gegevens als strikt vertrouwelijk te behandelen, met inachtneming van het eventuele beroepsgeheim van haar Klanten.
  3. De Gegevens niet door te geven aan derden zonder voorafgaande toestemming van de Klant, behoudens voor subverwerkers (opslag, hosting, onderhoud), overdracht van rechten of een fusie/overname.
  4. Er voor te zorgen dat alle gemachtigde personen een vertrouwelijkheids- en privacyverplichting hebben aanvaard.
  5. Passende technische en organisatorische beveiligingsmaatregelen te implementeren conform artikel 7 en art. 32 AVG.
  6. De Klant bij te staan bij verzoeken van Betrokkenen voor zover technisch haalbaar.
  7. De Klant te assisteren bij een DPIA conform art. 35 AVG indien van toepassing.
  8. De Klant onverwijld (en niet later dan 24 uur na ontdekking) te informeren over een Inbreuk in verband met Persoonsgegevens.
  9. De Klant alle informatie te verstrekken om naleving van de AVG aan te tonen, en audits te faciliteren mits redelijke voorafgaande kennisgeving en op kosten van de Klant.
  10. Na beëindiging van de Overeenkomst, naar keuze van de Klant, alle Persoonsgegevens terug te geven of te wissen conform artikel 3.4. De terugbezorging van Content geschiedt tegen de dan geldende tarieven, in het formaat van opladen, op een door Finarato te bepalen drager.
  11. Juridisch bindende verzoeken van overheden te melden aan de Klant, tenzij een wettelijk verbod dit verhindert.

 

Artikel 5 – Subverwerking

5.1 De Klant geeft toestemming voor de subverwerkers vermeld in onderstaande tabel. Finarato stelt de Klant minstens dertig (30) dagen vooraf in kennis van wijzigingen.

5.2 Indien de Klant ernstige bezwaren heeft, meldt hij dit schriftelijk binnen veertien (14) dagen. Indien geen oplossing mogelijk is binnen zestig (60) dagen, kan de Klant het betrokken deel schriftelijk opzeggen.

5.3 Finarato legt dezelfde gegevensbeschermingsverplichtingen contractueel op aan alle subverwerkers en blijft volledig aansprakelijk voor hun naleving.

 

Subverwerker

Land / Regio

Doel

Waarborg

Microsoft Azure

West-Europa (Nederland/Ierland, EER)

Cloudhosting, dataopslag en verwerking van het Platform

EER; Microsoft DPA / SCCs

Crashplan (Code42)

VS (data versleuteld gerepliceerd)

Secundaire back-up met versiebeheer

SCCs; Crashplan DPA

 

Artikel 6 – Support en toegang tot gegevens

6.1 Om een technisch probleem op te lossen kan Finarato, na voorafgaande toestemming van de Klant, een kopie van een welbepaald deel van de gegevens tijdelijk naar een geïsoleerde testomgeving verplaatsen. Deze kopie wordt onmiddellijk na oplossing gewist.

6.2 Medewerkers van Finarato zijn gebonden aan een vertrouwelijkheidsverplichting en beschikken enkel over de minimale toegang die nodig is voor hun taak.

6.3 De Klant is verantwoordelijk voor het afschermen van vertrouwelijke informatie alvorens toegang te verlenen voor remote support.

 

Artikel 7 – Technische en organisatorische beveiligingsmaatregelen

7.1 Fysieke toegangscontrole

Fysieke toegang tot de locaties van Finarato is beperkt door technische toegangsmaatregelen. De datacenters van Microsoft Azure (West-Europa) zijn gecertificeerd conform ISO 27001, SOC 2 en gelijkwaardige normen.

7.2 Toegangscontrole systemen

Individuele accounts met sterk wachtwoordbeheer, automatische time-out, blokkering na foutieve inlogpogingen, MFA voor beheertoegang, firewalls.

7.3 Toegangscontrole gegevens

Rolgebaseerde toegangsrechten (need-to-know), gescheiden productie- en testomgevingen, logging van toegang en wijzigingen, periodieke toegangsreview.

7.4 Encryptie

  • Transport: HTTPS/TLS met minimaal 2048-bit certificaat.
  • Opslag in rust (primair — Azure): Azure-native encryptie AES-256 voor alle opgeslagen klantgegevens.
  • Back-ups (Crashplan): versleuteld opgeslagen met AES-256.

7.5 Beschikbaarheid en integriteit

  • Dagelijkse back-ups op Azure met retentie van 30 dagen (automatische rollover).
  • Secundaire replicatie met versiebeheer naar Crashplan.
  • Azure-redundantie op opslagniveau (LRS/GRS afhankelijk van configuratie).
  • Antivirussoftware, spam- en inbraakdetectiesystemen.
  • 24/7 monitoring van systeembeschikbaarheid en -prestaties.
  • Noodherstelplan (BC/DR) dat jaarlijks wordt getest.

7.6 Kwetsbaarheidsbeheer

  • Jaarlijkse penetratietests op systemen die klantgegevens bevatten.
  • Regelmatig patch- en updatebeheer.

7.7 Personeel

  • Alle medewerkers met toegang tot klantgegevens ondertekenen een geheimhoudings- en privacyverplichting.
  • Regelmatige bewustmakingstraining over gegevensbeveiliging en privacy.

 

Artikel 8 – Aansprakelijkheidsbeperking

Alle aansprakelijkheid in het kader van deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen in de Algemene Voorwaarden.

 

Artikel 9 – Duur en beëindiging

9.1 De looptijd van deze DPA is gelijk aan die van de Overeenkomst.

9.2 Na beëindiging wist of retourneert Finarato alle Persoonsgegevens conform artikel 3.4 en 4.10. Finarato bevestigt de verwijdering schriftelijk op verzoek.

 

Artikel 10 – Overige bepalingen

10.1 Bij tegenstrijdigheid met de Algemene Voorwaarden voor privacy-gerelateerde zaken, prevaleert deze DPA.

10.2 Ongeldigheid van enige bepaling laat de overige bepalingen onverlet.

10.3 Op deze DPA is Belgisch recht van toepassing. Exclusieve bevoegdheid: rechtbanken van het gerechtelijk arrondissement Tongeren.

 

Finarato BV • Hasseltsesteenweg 508, 3700 Tongeren • BTW BE0764.496.689 • privacy@finarato.be