Verwerkersovereenkomst
Verwerkersovereenkomst
Door gebruik te maken van de Leadapp software en bijbehorende Diensten onder een overeenkomst die je met Leadapp hebt gesloten (de “Hoofdovereenkomst”), kun je diverse gegevens van jouw klanten, leveranciers, medewerkers en anderen opslaan en verwerken in onze software. Deze gegevens kunnen tevens Persoonsgegevens bevatten, zoals namen, e-mailadressen, adresgegevens en telefoonnummers.
Onder de Algemene Verordening Gegevensbescherming (“AVG”) treed jij in de regel op als verwerkingsverantwoordelijke voor Persoonsgegevens die jij via de Diensten invoert of anderszins beschikbaar stelt. Leadapp treedt op als verwerker, wat betekent dat wij Persoonsgegevens namens jou op passende en beveiligde wijze verwerken, overeenkomstig deze verwerkersovereenkomst (de “Verwerkersovereenkomst”).
Deze Verwerkersovereenkomst bevat de afspraken die op grond van artikel 28 AVG tussen verwerkingsverantwoordelijke en verwerker moeten worden gemaakt en vormt een integraal onderdeel van de Hoofdovereenkomst. Deze Verwerkersovereenkomst komt elektronisch tot stand en vereist geen natte handtekening.
Definities van juridische begrippen
De AVG hanteert diverse juridische begrippen. Om deze Verwerkersovereenkomst begrijpelijk te maken, hebben de onderstaande termen de betekenis die hieraan wordt gegeven. Termen die niet zijn gedefinieerd, hebben de betekenis zoals opgenomen in de AVG of de Hoofdovereenkomst.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4(1) AVG.
- Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
- Verwerking (van Persoonsgegevens): elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals bedoeld in artikel 4(2) AVG.
- Verwerkingsverantwoordelijke: de persoon of organisatie die het doel van en de middelen voor de Verwerking vaststelt (artikel 4(7) AVG). In deze Verwerkersovereenkomst ben jij de Verwerkingsverantwoordelijke.
- Verwerker: de persoon of organisatie die Persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke (artikel 4(8) AVG). In deze Verwerkersovereenkomst is Leadapp de Verwerker.
- Subverwerker: een derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.
- Derde: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan, niet zijnde de Betrokkene, de Verwerkingsverantwoordelijke, de Verwerker, of personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker bevoegd zijn Persoonsgegevens te verwerken (artikel 4(10) AVG).
- Hoofdovereenkomst: de overeenkomst(en) tussen jou en Leadapp inzake de levering van de Diensten, waaronder begrepen (waar van toepassing) orderformulieren, online checkout/bestelling, offertes, algemene voorwaarden en andere documenten die daarin van toepassing zijn verklaard, waarvan deze Verwerkersovereenkomst een bijlage vormt.
- Verwerkersovereenkomst: deze overeenkomst, inclusief bijlagen, waarin de afspraken zijn vastgelegd over de Verwerking van Persoonsgegevens door Leadapp namens jou.
Wie is wie?
Waar in deze Verwerkersovereenkomst wordt gesproken over “jij”, “je”, “jou” of “jouw”, wordt bedoeld: jij als klant van Leadapp en de entiteit die met Leadapp de Hoofdovereenkomst heeft gesloten (de Verwerkingsverantwoordelijke).
Waar in deze Verwerkersovereenkomst wordt gesproken over “wij”, “ons” of “onze”, wordt bedoeld: Leadapp, gevestigd te Amersfoort, Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 96134429 (de Verwerker).
Leadapp kan integraties aanbieden met diensten van derden (bijvoorbeeld sociale platforms). Dergelijke derden kunnen Persoonsgegevens verwerken onder hun eigen voorwaarden en als zelfstandig verwerkingsverantwoordelijke. Leadapp is niet verantwoordelijk voor verwerkingen door derden buiten de scope van de Diensten. Jij blijft verantwoordelijk voor de beoordeling en acceptatie van voorwaarden van derden wanneer je integraties activeert.
Wanneer geldt deze Verwerkersovereenkomst? Kan deze Verwerkersovereenkomst los worden beëindigd?
- Deze Verwerkersovereenkomst komt tot stand en treedt in werking zodra jij de Hoofdovereenkomst accepteert (waaronder begrepen via online acceptatie) of zodra jij de Diensten gebruikt nadat deze Verwerkersovereenkomst aan jou beschikbaar is gesteld.
- Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Hoofdovereenkomst. Indien de Hoofdovereenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch. Het is niet mogelijk deze Verwerkersovereenkomst afzonderlijk te beëindigen zonder beëindiging van de Hoofdovereenkomst.
- Na beëindiging van de Hoofdovereenkomst kan de Verwerkingsverantwoordelijke Persoonsgegevens exporteren of ophalen overeenkomstig de Hoofdovereenkomst. Leadapp hanteert een standaard bewaartermijn (“grace period”) van maximaal 90 dagen na beëindiging om export/ophalen mogelijk te maken. Na afloop van deze termijn worden Persoonsgegevens verwijderd of geanonimiseerd, tenzij Leadapp op grond van wet- of regelgeving gehouden is bepaalde gegevens langer te bewaren.
Welke Persoonsgegevens verwerken wij en met welk doel?
- Leadapp verwerkt Persoonsgegevens uitsluitend voor het leveren, onderhouden, beveiligen en ondersteunen van de Diensten zoals beschreven in de Hoofdovereenkomst, en uitsluitend op basis van jouw gedocumenteerde instructies, waaronder mede begrepen instructies die voortvloeien uit jouw configuratie en gebruik van de Diensten.
- Leadapp verwerkt Persoonsgegevens in overeenstemming met deze Verwerkersovereenkomst, de Hoofdovereenkomst, de AVG en overige toepasselijke wet- en regelgeving op het gebied van gegevensbescherming.
- Leadapp verwerkt niet bewust bijzondere categorieën van Persoonsgegevens (artikel 9 AVG) en geen gegevens over strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG). Indien jij ervoor kiest dergelijke gegevens in de Diensten op te nemen, garandeer jij dat je daarvoor een geldige rechtsgrondslag hebt en passende waarborgen treft; jij blijft als Verwerkingsverantwoordelijke verantwoordelijk voor die Verwerking.
- Een algemene beschrijving van de Verwerking (waaronder categorieën Betrokkenen en Persoonsgegevens) is opgenomen in Bijlage 1. Deze beschrijving kan van tijd tot tijd worden verfijnd om aan te sluiten bij de Diensten, mits de bescherming onder deze Verwerkersovereenkomst niet materieel wordt verminderd.
Jouw verantwoordelijkheden als Verwerkingsverantwoordelijke
- Jij garandeert dat je beschikt over een geldige rechtsgrondslag om Persoonsgegevens te verzamelen en te verwerken, en om Leadapp te instrueren Persoonsgegevens namens jou te verwerken, en dat jouw instructies voldoen aan toepasselijke wet- en regelgeving.
- Jij bent verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van de Persoonsgegevens en de wijze waarop jij deze hebt verkregen.
- Jij blijft verantwoordelijk voor het bepalen van passende bewaartermijnen, dataminimalisatie, toegangsbeheer aan jouw zijde, en het informeren van Betrokkenen (onder meer via jouw eigen privacyverklaringen) over Verwerking via de Diensten.
- Jij stelt Leadapp onverwijld op de hoogte indien jij kennisneemt van onjuistheden, onrechtmatige Verwerking, of instructies die strijdig zijn met toepasselijke wetgeving.
Geheimhouding
- Leadapp behandelt alle Persoonsgegevens die zij namens jou verwerkt als vertrouwelijk en ziet erop toe dat personen die bevoegd zijn Persoonsgegevens te verwerken gebonden zijn aan een geheimhoudingsverplichting (contractueel of wettelijk).
- Leadapp mag Persoonsgegevens uitsluitend verstrekken (i) op basis van jouw gedocumenteerde instructies, (ii) aan geautoriseerde Subverwerkers conform deze Verwerkersovereenkomst, of (iii) indien dit vereist is op grond van wet- of regelgeving. Waar wettelijk toegestaan stelt Leadapp jou vooraf op de hoogte van een dergelijke verplichting tot verstrekking.
- Waar worden Persoonsgegevens verwerkt en hoe worden deze beveiligd?
- Leadapp host en verwerkt Persoonsgegevens primair binnen de Europese Economische Ruimte (“EER”), tenzij anders vermeld of noodzakelijk voor specifieke functionaliteiten (bijvoorbeeld via bepaalde Subverwerkers).
- Leadapp treft passende technische en organisatorische maatregelen (“TOM’s”) om Persoonsgegevens te beveiligen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de Verwerking, alsmede de risico’s voor Betrokkenen.
- Inbreuken in verband met Persoonsgegevens
- Een “Inbreuk in verband met Persoonsgegevens” is een inbreuk op de beveiliging die leidt tot – al dan niet opzettelijk – de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (artikel 4(12) AVG).
- Leadapp stelt jou zonder onredelijke vertraging op de hoogte nadat zij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens die betrekking heeft op Persoonsgegevens die Leadapp namens jou verwerkt.
- Leadapp verstrekt informatie die redelijkerwijs nodig is om jou te ondersteunen bij verplichtingen onder artikelen 33 en 34 AVG, rekening houdend met de informatie die bij Leadapp beschikbaar is.
- Jij blijft verantwoordelijk voor de beoordeling of melding aan een toezichthoudende autoriteit en/of Betrokkenen vereist is en voor het doen van dergelijke meldingen, tenzij anders vereist op grond van wet- of regelgeving.
Rechten van Betrokkenen en ondersteuning van de Verwerkingsverantwoordelijke
Betrokkenen hebben rechten onder de AVG (waaronder inzage, rectificatie, wissing, beperking, dataportabiliteit en bezwaar). Jij bent als Verwerkingsverantwoordelijke verantwoordelijk voor de afhandeling van verzoeken van Betrokkenen. Leadapp verleent redelijke ondersteuning (via functionaliteiten, documentatie en support) om jou in staat te stellen aan jouw verplichtingen te voldoen, rekening houdend met de aard van de Verwerking.
Indien Leadapp rechtstreeks een verzoek van een Betrokkene ontvangt, zal Leadapp dit verzoek zonder onredelijke vertraging aan jou doorsturen en niet inhoudelijk reageren, tenzij dit wettelijk verplicht is of jij Leadapp hiertoe opdracht geeft.
Subverwerkers en toegang door derden
- Jij verleent Leadapp een algemene toestemming om Subverwerkers in te schakelen voor het leveren van de Diensten.
- Leadapp houdt een actueel overzicht van Subverwerkers bij via https://www.leadapp.nl/legal/subverwerkers
- Leadapp informeert jou over voorgenomen wijzigingen in de Subverwerkerslijst door het Trust Center te actualiseren en/of via andere redelijke elektronische middelen. Indien jij de Diensten blijft gebruiken na dergelijke kennisgeving, word jij geacht de bijgewerkte Subverwerkerslijst te hebben aanvaard.
- Jij kunt op redelijke gegevensbeschermingsgronden bezwaar maken tegen een nieuwe Subverwerker door Leadapp hiervan binnen 30 dagen na kennisgeving op de hoogte te stellen. Indien partijen het bezwaar niet redelijkerwijs kunnen oplossen, mag jij het betreffende deel van de Diensten beëindigen overeenkomstig de Hoofdovereenkomst, zonder boete, met ingang van het einde van de lopende betaalperiode (tenzij anders overeengekomen).
- Leadapp blijft verantwoordelijk voor de nakoming door haar Subverwerkers in dezelfde mate alsof Leadapp de diensten van de Subverwerker zelf zou verrichten.
Doorgifte buiten de EER
- Indien de Verwerking leidt tot doorgifte van Persoonsgegevens buiten de EER, draagt Leadapp zorg voor passende waarborgen overeenkomstig Hoofdstuk V AVG (bijvoorbeeld Standard Contractual Clauses of andere geldige doorgiftemechanismen).
Ondersteuning bij DPIA’s en toezichthoudende autoriteiten
- Rekening houdend met de aard van de Verwerking en de informatie waarover Leadapp beschikt, verleent Leadapp redelijke ondersteuning bij gegevensbeschermingseffectbeoordelingen (“DPIA’s”) en – indien van toepassing – voorafgaande raadpleging van een toezichthoudende autoriteit.
- Indien dergelijke ondersteuning substantiële inspanning vereist bovenop standaard support, kan Leadapp hiervoor redelijke kosten in rekening brengen. Leadapp zal deze kosten vooraf communiceren.
Aansprakelijkheid
- Iedere partij blijft verantwoordelijk voor naleving van de AVG en overige toepasselijke privacywetgeving binnen haar rol (Verwerkingsverantwoordelijke of Verwerker).
- Voor zover Leadapp aansprakelijk is in verband met deze Verwerkersovereenkomst, zijn de aansprakelijkheidsbeperkingen en uitsluitingen uit de Hoofdovereenkomst van toepassing, voor zover maximaal toegestaan onder toepasselijk recht.
- Jij vrijwaart Leadapp voor aanspraken van derden, boetes of sancties voor zover deze voortvloeien uit jouw onrechtmatige instructies, het niet nakomen van jouw verplichtingen als Verwerkingsverantwoordelijke, of onrechtmatig gebruik van de Diensten, behoudens voor zover veroorzaakt door een schending door Leadapp van deze Verwerkersovereenkomst of toepasselijk recht.
Audits en compliance-verificatie
Jij hebt het recht om te verifiëren of Leadapp deze Verwerkersovereenkomst naleeft. Partijen komen overeen dat verificatie waar mogelijk wordt ingevuld via documentatie, certificeringen en rapportages die beschikbaar worden gesteld via onze website.
- Indien jij redelijke gronden hebt om aan te nemen dat Leadapp niet voldoet aan deze Verwerkersovereenkomst, kun jij aanvullende informatie of een audit verzoeken. Leadapp kan – waar beschikbaar – een onafhankelijk auditrapport van een derde partij verstrekken als alternatief voor een on-site audit.
- Een audit dient: (i) minimaal 30 dagen vooraf schriftelijk te worden aangekondigd, (ii) beperkt te blijven tot de relevante Verwerking, (iii) plaats te vinden tijdens normale kantooruren, (iv) onder passende geheimhouding te vallen, en (v) de bedrijfsvoering van Leadapp niet onredelijk te verstoren.
- Audits zijn voor jouw rekening. Leadapp mag eisen dat de auditor onafhankelijk en voldoende gekwalificeerd is en mag een auditor weigeren bij belangenconflict of onvoldoende geheimhoudingswaarborgen.
- Auditresultaten worden als vertrouwelijk behandeld. Jij mag resultaten delen met toezichthouders of externe adviseurs op een need-to-know basis onder geheimhouding.
Hoe gaan we om met geschillen?
- Indien een geschil ontstaat, zullen partijen zich redelijkerwijs inspannen om dit in onderling overleg op te lossen. Indien geen oplossing wordt bereikt, wordt het geschil exclusief voorgelegd aan de bevoegde rechter van het arrondissement Midden-Nederland, locatie Utrecht, tenzij dwingend recht anders bepaalt.
- Op deze Verwerkersovereenkomst en eventuele niet-contractuele verplichtingen die daaruit voortvloeien of daarmee verband houden is Nederlands recht van toepassing.
Rangorde bij tegenstrijdigheden
Indien er een tegenstrijdigheid bestaat tussen deze Verwerkersovereenkomst en de Hoofdovereenkomst voor zover het gaat om de Verwerking van Persoonsgegevens, prevaleert deze Verwerkersovereenkomst. Voor alle overige onderwerpen blijft de Hoofdovereenkomst van toepassing.
Bijlage 1: Beschrijving van de Verwerking van Persoonsgegevens

Bijlage 2: Beschrijving van de technische en organisatorische beveiligingsmaatregelen van de Verwerker
Leadapp treft passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen.
- Informatie over security-standaarden en assurance wordt beschikbaar gesteld via onze website (waaronder – indien van toepassing – certificeringen en auditrapportages van derden).
- Toegangsbeheermaatregelen, waaronder least-privilege en waar passend multi-factor authenticatie.
- Encryptie en beveiligde transmissiemechanismen, passend bij het risicoprofiel van de Verwerking.
- Monitoring, vulnerability management en patch-processen om risico’s op ongeautoriseerde toegang of verlies te beperken.
- Incident response procedures ter ondersteuning van tijdige melding en afhandeling van Inbreuken in verband met Persoonsgegevens.