DPA

Verwerkersovereenkomst

Onze standaard Data Processing Agreement onder de AVG. Treedt automatisch in werking bij elk actief abonnement.

Laatst bijgewerkt: april 2026

1. Partijen & rollen

Verwerkingsverantwoordelijke is de Klant (doorgaans een zorgorganisatie) die De Zorg App inzet om persoonsgegevens te verwerken. Verwerker is De Zorg App. Deze verwerkersovereenkomst (DPA) is onderdeel van de Algemene Voorwaarden en treedt in werking zodra er een actief abonnement is.

2. Onderwerp & duur

De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Verantwoordelijke, voor het leveren van de Dienst. De duur is gelijk aan de looptijd van het abonnement, verlengd met de bewaartermijnen uit het Retentiebeleid.

3. Soorten gegevens & betrokkenen

Categorie	Voorbeelden	Betrokkenen
Accountgegevens	Naam, e-mail, telefoon, rol, (hash van) wachtwoord	Medewerkers Verantwoordelijke
Cliëntgegevens	Naam, adres, contactpersoon, relatie, voorkeuren	Cliënten Verantwoordelijke
Zorggegevens (bijzonder, art. 9)	Medicatie, logboek, agenda, geofence-meldingen	Cliënten Verantwoordelijke
Locatiegegevens	GPS-coördinaten telefoon/tracker	Cliënten / mantelzorgers
Communicatie	Chatberichten, oproepmetadata	Medewerkers & cliënten
Facturatie	Organisatie-, factuur- en betaalgegevens	Verantwoordelijke

4. Instructies

De Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verantwoordelijke. De Verwerker meldt het onverwijld wanneer een instructie naar zijn mening in strijd is met de AVG; hij is niet verplicht de rechtmatigheid van instructies inhoudelijk te toetsen.

5. Beveiliging

De Verwerker neemt passende technische en organisatorische maatregelen conform art. 32 AVG, waaronder:

AES-256-GCM envelope-encryptie per klantorganisatie voor zorg- en chatinhoud.
TLS 1.2+ voor al het verkeer, inclusief database-verbindingen.
2-factor-authenticatie voor beheerders.
Geautomatiseerde securityupdates, fail2ban, harde firewall, pentest- en log-review.
Dagelijkse back-ups met gescheiden opslag; RPO 24 uur, RTO 4 uur.

De volledige beschrijving staat op /security.php.

6. Sub-verwerkers

De Verantwoordelijke geeft de Verwerker algemene schriftelijke toestemming om sub-verwerkers in te zetten, zoals genoemd op onze sub-verwerkerspagina. Bij voorgenomen wijziging van de sub-verwerkerslijst informeren wij de Verantwoordelijke ten minste 30 dagen vooraf; de Verantwoordelijke kan binnen die termijn met onderbouwing bezwaar maken. Als bezwaar en alternatief niet tot een werkbare oplossing leiden, mogen beide partijen de overeenkomst voor het betreffende onderdeel opzeggen.

7. Internationale doorgifte

De persoonsgegevens worden uitsluitend verwerkt binnen de Europese Economische Ruimte (EER). Mocht doorgifte naar een derde land nodig zijn, dan gebeurt dit alleen op basis van een adequaatheidsbesluit of passende EU-modelcontractbepalingen.

8. Medewerking aan rechten van betrokkenen

De Verwerker ondersteunt de Verantwoordelijke bij verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) voor zover dat redelijkerwijs mogelijk is via de standaardfunctionaliteit van de Dienst. Voor bovenmatig werk mag de Verwerker een redelijke vergoeding in rekening brengen.

9. Datalekken

Bij een (vermoedelijk) datalek dat de Dienst raakt, informeert de Verwerker de Verantwoordelijke zonder onredelijke vertraging, in beginsel binnen 24 uur na ontdekking. De volledige procedure staat beschreven in ons Datalekprotocol. De formele melding aan de Autoriteit Persoonsgegevens en/of betrokkenen is de verantwoordelijkheid van de Verantwoordelijke.

10. Audit

De Verantwoordelijke mag eenmaal per 12 maanden, op eigen kosten, een audit laten uitvoeren naar de naleving van deze DPA door een onafhankelijke deskundige en behoudens strikte geheimhouding. Zulke audits vinden plaats tijdens kantooruren, ten minste 30 dagen vooraf aangekondigd, en mogen de bedrijfsvoering van de Verwerker niet verstoren. De Verwerker is gerechtigd om recente SOC 2-, ISO 27001- of NEN 7510- rapporten aan te leveren ter vervanging van een audit ter plaatse.

11. Aansprakelijkheid

De aansprakelijkheid van de Verwerker onder deze DPA is beperkt tot de grenzen die zijn opgenomen in de Algemene Voorwaarden (artikel 8). Boetes opgelegd door een toezichthouder aan de Verantwoordelijke komen uitsluitend voor rekening van de Verwerker voor zover die boete aantoonbaar is veroorzaakt door een toerekenbare tekortkoming van de Verwerker.

12. Einde van de verwerking

Na beëindiging van het abonnement stelt de Verwerker de persoonsgegevens in machine- leesbare vorm beschikbaar voor export gedurende 30 dagen. Daarna verwijdert de Verwerker de persoonsgegevens, behoudens wettelijke bewaarplichten (zoals 7 jaar voor facturatiegegevens).

13. Toepasselijk recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de rechtbank Noord-Holland, locatie Alkmaar.