Verwerkersovereenkomst
Versie 1.0 – Laatste update: mei 2026
Deze verwerkersovereenkomst (hierna: "DPA") maakt onderdeel uit van de Overeenkomst tussen Looop B.V. (hierna: "Verwerker") en de Klant (hierna: "Verwerkingsverantwoordelijke") en regelt de verwerking van persoonsgegevens door Looop namens de Klant, conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG / GDPR).
Door gebruik te maken van de Dienst van Looop, stemt de Klant in met de bepalingen van deze DPA.
Artikel 1 – Definities
In deze DPA wordt verstaan onder:
- AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
- Verwerking: elke bewerking op persoonsgegevens, zoals verzamelen, opslaan, raadplegen of verwijderen.
- Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies of openbaarmaking van persoonsgegevens.
Artikel 2 – Onderwerp en duur van de verwerking
2.1 Looop verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Dienst (contract lifecycle management) en conform de gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
2.2 De verwerking vindt plaats voor de duur van de Overeenkomst. Na beëindiging worden persoonsgegevens conform artikel 8 verwijderd of teruggegeven.
Artikel 3 – Aard en doel van de verwerking
Looop verwerkt persoonsgegevens voor de volgende doeleinden:
- Opslag en beheer van contracten en documenten
- Versturen van notificaties over contractverloopdatums
- Faciliteren van de e-signworkflow
- Inlogbeheer en toegangscontrole voor gebruikers van de Klant
Categorieën betrokkenen: medewerkers, klanten, leveranciers en andere contractpartijen van de Klant.
Categorieën persoonsgegevens: naam, e-mailadres, functietitel, handtekening, en overige gegevens die de Klant in het platform opslaat.
Artikel 4 – Verplichtingen van de Verwerker
Looop verplicht zich om:
- Persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke;
- Vertrouwelijkheid te waarborgen en alleen personen toegang te verlenen die gebonden zijn aan een geheimhoudingsplicht;
- Passende technische en organisatorische beveiligingsmaatregelen te treffen conform artikel 32 AVG;
- De Verwerkingsverantwoordelijke te assisteren bij het nakomen van zijn verplichtingen jegens betrokkenen;
- Na afloop van de dienstverlening alle persoonsgegevens te wissen of terug te geven;
- Alle relevante informatie beschikbaar te stellen om naleving aan te tonen.
Artikel 5 – Sub-verwerkers
5.1 Looop maakt gebruik van de volgende sub-verwerkers:
| Sub-verwerker | Doel | Vestigingsplaats |
|---|---|---|
| Supabase Inc. | Databaseopslag | EU (Frankfurt) |
| Clerk Inc. | Authenticatie | VS (SCC's van toepassing) |
| Vercel Inc. | Hosting platform | VS (SCC's van toepassing) |
| Resend Inc. | E-mailverzending | VS (SCC's van toepassing) |
5.2 Looop sluit met alle sub-verwerkers een verwerkersovereenkomst af die minimaal gelijkwaardig is aan deze DPA. Looop informeert de Verwerkingsverantwoordelijke bij wijzigingen in de lijst van sub-verwerkers met een opzegtermijn van 30 dagen.
Artikel 6 – Beveiliging
Looop treft, gelet op de stand van de techniek en de risico's van de verwerking, passende technische en organisatorische maatregelen. Zie de Databeveiligingsverklaring voor een overzicht van de getroffen maatregelen.
Artikel 7 – Datalekken
7.1 Looop meldt een datalek dat betrokkenen van de Verwerkingsverantwoordelijke raakt, zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking, aan de Verwerkingsverantwoordelijke.
7.2 De melding bevat in ieder geval: de aard van het datalek, de betrokken categorieën en (bij benadering) het aantal betrokkenen, de verwachte gevolgen en de maatregelen die zijn genomen.
Artikel 8 – Verwijdering van gegevens
Na beëindiging van de Overeenkomst verwijdert Looop alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen 30 dagen, tenzij wettelijke bewaarverplichtingen van toepassing zijn. Op verzoek verstrekt Looop een bevestiging van verwijdering.
Artikel 9 – Auditrechten
De Verwerkingsverantwoordelijke heeft het recht om audits te (laten) uitvoeren om naleving van deze DPA te controleren. Looop verleent medewerking aan dergelijke audits, mits vooraf aangemeld en uitgevoerd tijdens kantooruren, en op kosten van de Verwerkingsverantwoordelijke.
Contactgegevens
Voor vragen over de verwerking van persoonsgegevens of deze DPA:
Looop B.V.
[INVULLEN: straat en huisnummer]
[INVULLEN: postcode en stad]
E-mail: [INVULLEN: e-mailadres]