Verwerkersovereenkomst

Laatst bijgewerkt: 19 februari 2026

Deze Verwerkersovereenkomst ("Overeenkomst") is opgesteld conform artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en maakt integraal onderdeel uit van de Algemene Voorwaarden van Fleetfusion, h.o.d.n. JustRunBiz

1. Definities

  • "Verwerkingsverantwoordelijke" ("Klant"): de gebruiker/organisatie die de Dienst gebruikt en bepaalt welke persoonsgegevens worden verwerkt en voor welk doel.
  • "Verwerker": Fleetfusion, h.o.d.n. JustRunBiz, gevestigd te Avennelaan 6, 5711 BC Someren (KvK: 78068347).
  • "Subverwerker": een derde partij die door de Verwerker wordt ingeschakeld om persoonsgegevens te verwerken.
  • "Betrokkene": de persoon op wie de persoonsgegevens betrekking hebben.
  • "Persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Art. 4 lid 1 AVG).
  • "Inbreuk in verband met persoonsgegevens" ("Datalek"): een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang tot persoonsgegevens (Art. 4 lid 12 AVG).

2. Onderwerp en Duur

2.1 Onderwerp

De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke in het kader van het leveren van de JustRunBiz-diensten (boekhouding, facturatie, HR, CRM, bankkoppelingen, AI-assistent).

2.2 Duur

Deze Overeenkomst is geldig zolang de Verwerkingsverantwoordelijke gebruik maakt van de Dienst. Bij beëindiging van de Dienst eindigt deze Overeenkomst automatisch, onverminderd de verplichtingen die naar hun aard doorlopen.

3. Aard en Doel van de Verwerking

De verwerking vindt plaats ten behoeve van:

  • Het leveren van boekhouding-, facturatie-, HR- en CRM-diensten
  • Het ophalen en tonen van banktransacties (via Enable Banking)
  • Het bieden van AI-assistentie (Atlas, aangedreven door Anthropic Claude)
  • Het genereren van rapportages en analyses
  • Het verwerken van e-commerce-gegevens (indien Shopify-integratie actief)

4. Soorten Persoonsgegevens

De volgende categorieën persoonsgegevens kunnen worden verwerkt:

  • Contactgegevens (naam, adres, e-mail, telefoonnummer)
  • Financiële gegevens (facturen, boekhouding, banktransacties, rekeningnummers)
  • HR-gegevens (personeelsgegevens, contractinformatie, verlofregistratie, mogelijk BSN)
  • Klant-/leveranciersgegevens (CRM-contacten, communicatiegeschiedenis)
  • E-commerce-gegevens (bestellingen, productgegevens)
  • AI-gespreksgegevens (vragen en context aan Atlas AI)

5. Categorieën Betrokkenen

  • Medewerkers en personeel van de Verwerkingsverantwoordelijke
  • Klanten en contactpersonen van de Verwerkingsverantwoordelijke
  • Leveranciers van de Verwerkingsverantwoordelijke
  • Andere personen wiens gegevens door de Verwerkingsverantwoordelijke in het platform worden ingevoerd

6. Verplichtingen van de Verwerker

De Verwerker verbindt zich tot het volgende:

  1. Verwerking op instructie (Art. 28 lid 3 sub a): Persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting de Verwerker tot verwerking verplicht.
  2. Geheimhouding (Art. 28 lid 3 sub b): Alle personen die toegang hebben tot persoonsgegevens zijn gebonden aan geheimhoudingsverplichtingen.
  3. Beveiligingsmaatregelen (Art. 28 lid 3 sub c / Art. 32): De Verwerker treft passende technische en organisatorische maatregelen, waaronder:
    • Versleuteling in transit (TLS 1.3) en opslag (AES-256)
    • Role-based access control (RBAC) en Row Level Security
    • Regelmatige beveiligingsbeoordelingen
    • Automatische versleutelde backups
    • Geheimhoudingsovereenkomsten met medewerkers
  4. Subverwerkers (Art. 28 lid 2 en 4): De Verwerker schakelt subverwerkers in onder de voorwaarden beschreven in artikel 8 van deze Overeenkomst.
  5. Bijstand bij rechten betrokkenen (Art. 28 lid 3 sub e): De Verwerker verleent medewerking aan verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) conform Art. 15-22 AVG.
  6. Bijstand bij DPIA (Art. 28 lid 3 sub f / Art. 35-36): De Verwerker verleent bijstand bij gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging bij de toezichthouder.
  7. Verwijdering of retournering (Art. 28 lid 3 sub g): Na beëindiging van de Dienst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, of retourneert deze op verzoek, tenzij bewaring wettelijk verplicht is (bijv. fiscale bewaarplicht van 7 jaar).
  8. Audits (Art. 28 lid 3 sub h): De Verwerker stelt alle informatie beschikbaar die nodig is om naleving aan te tonen en maakt audits mogelijk. Audits worden aangekondigd met minimaal 30 dagen voorafgaande kennisgeving en vinden plaats tijdens kantooruren. De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke.

7. Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke:

  • Garandeert dat de verwerking een rechtmatige grondslag heeft (Art. 6 AVG)
  • Informeert betrokkenen over de verwerking conform Art. 13-14 AVG
  • Geeft de Verwerker duidelijke, schriftelijke instructies
  • Is verantwoordelijk voor de juistheid en rechtmatigheid van de verstrekte persoonsgegevens

8. Subverwerkers

8.1 Toestemming

De Verwerkingsverantwoordelijke verleent hierbij algemene schriftelijke toestemming aan de Verwerker om subverwerkers in te schakelen. De actuele lijst van subverwerkers is beschikbaar op justrunbiz.com/subprocessors.

8.2 Kennisgeving

De Verwerker informeert de Verwerkingsverantwoordelijke minimaal 30 dagen vooraf over wijzigingen in de subverwerkers. De Verwerkingsverantwoordelijke kan bezwaar maken. Bij bezwaar treedt de Verwerker in overleg; als geen oplossing wordt gevonden, kan de Verwerkingsverantwoordelijke de Dienst beëindigen.

8.3 Verantwoordelijkheid

De Verwerker legt dezelfde verplichtingen als in deze Overeenkomst op aan subverwerkers en blijft volledig aansprakelijk voor het handelen van subverwerkers.

9. Internationale Gegevensoverdrachten

Sommige subverwerkers bevinden zich buiten de EER (met name in de VS). De Verwerker waarborgt dat internationale overdrachten plaatsvinden conform hoofdstuk V AVG, middels:

  • Standard Contractual Clauses (SCCs) per Uitvoeringsbesluit 2021/914 van de Europese Commissie
  • Het EU-U.S. Data Privacy Framework waar van toepassing
  • Adequaatheidsbesluiten (bijv. Canada)
  • Aanvullende technische maatregelen (versleuteling, pseudonimisering)

10. Melding Datalekken

De Verwerker meldt een datalek aan de Verwerkingsverantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 24 uur na ontdekking. De melding bevat:

  • De aard van het datalek, waaronder categorieën en aantallen betrokkenen
  • Contactgegevens van de functionaris gegevensbescherming
  • Waarschijnlijke gevolgen van het datalek
  • Maatregelen die zijn getroffen of voorgesteld om het datalek te verhelpen

De Verwerker verleent alle medewerking zodat de Verwerkingsverantwoordelijke kan voldoen aan de meldingsplicht bij de Autoriteit Persoonsgegevens (Art. 33, binnen 72 uur) en eventueel bij betrokkenen (Art. 34).

11. Aansprakelijkheid

De aansprakelijkheid van partijen wordt beheerst door de Algemene Voorwaarden van de Dienst. De Verwerker is aansprakelijk voor schade veroorzaakt door verwerking in strijd met deze Overeenkomst of de AVG (Art. 82 AVG).

12. Toepasselijk Recht en Geschillen

Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

13. Contact

  • E-mail: stijn@justrunbiz.com
  • Post: Fleetfusion, h.o.d.n. JustRunBiz, Avennelaan 6, 5711 BC Someren

Zakelijke klanten die een ondertekend exemplaar van deze Overeenkomst wensen, kunnen contact opnemen via stijn@justrunbiz.com.

Gerelateerde Documenten

PrivacybeleidSubverwerkerslijstAlgemene VoorwaardenSecurity