01.Artikel 1 — Partijen
Deze Verwerkersovereenkomst (hierna "DPA") wordt gesloten tussen:
De Verwerkingsverantwoordelijke (hierna "de Professional")
De professional die een schoonheids- of welzijnsinstelling uitbaat en een abonnement heeft afgesloten op het WezBook-platform, zoals geïdentificeerd in zijn Account.
De Verwerker (hierna "WezBook")
- Bedrijfsnaam : WezBook
- Rechtsvorm : [IN TE VULLEN]
- Hoofdzetel : [IN TE VULLEN]
- SIRET : [IN TE VULLEN]
- E-mail : [email protected]
02.Artikel 2 — Definities
- Persoonsgegevens : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4.1 van de AVG).
- Verwerking : elke bewerking uitgevoerd op Persoonsgegevens (verzameling, registratie, opslag, raadpleging, overdracht, verwijdering, enz.).
- Betrokkene : natuurlijke persoon wiens Persoonsgegevens worden verwerkt.
- Gegevensinbreuk : inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of ongeoorloofde toegang tot Persoonsgegevens.
- Subverwerker : elke subverwerker ingeschakeld door WezBook om Persoonsgegevens te verwerken voor rekening van de Professional.
- Gedocumenteerde instructies : schriftelijke instructies van de Professional met betrekking tot de Verwerking van Persoonsgegevens.
- Toezichthoudende autoriteit : de Franse Gegevensbeschermingsautoriteit (CNIL).
03.Artikel 3 — Doel en reikwijdte van de verwerking
3.1 Doel
Deze DPA definieert de voorwaarden waaronder WezBook, als verwerker, Persoonsgegevens verwerkt voor rekening van de Professional, als verwerkingsverantwoordelijke, in het kader van het gebruik van het WezBook-platform.
Deze DPA vult de Algemene Verkoopvoorwaarden (AVV) en het Privacybeleid aan.
3.2 Aard en doeleinden van de verwerking
WezBook verwerkt Persoonsgegevens voor de volgende doeleinden:
- Beheer van afspraken en tijdsloten
- Klantrelatiebeheer van het salon (klantenbestand, geschiedenis)
- Verzending van SMS-herinneringen en e-mailmeldingen voor rekening van het salon
- Registratie van kassatransacties via de WezPay-module (optioneel supplement, conform art. 286-I-3°bis van het Franse CGI)
- Productie van statistieken en analyses voor het salon
3.3 Duur van de verwerking
De verwerking wordt uitgevoerd gedurende de volledige duur van het abonnement van de Professional op WezBook.
Na afloop van het abonnement worden de gegevens verwerkt overeenkomstig artikel 4.7 van deze DPA, onder voorbehoud van wettelijke bewaarverplichtingen (met name de bewaring van kassagegevens gedurende 6 jaar overeenkomstig artikel L.102 B van het LPF).
3.4 Categorieën van betrokkenen
- Eindklanten van het salon (geregistreerd en tijdelijk)
- Werknemers en medewerkers van het salon
3.5 Soorten verwerkte persoonsgegevens
| Categorie | Gegevens |
|---|---|
| Identiteit | Voornaam, achternaam |
| Contactgegevens | Telefoonnummer, e-mailadres |
| Afspraken | Data, tijden, geboekte diensten, toegewezen werknemer, status |
| Klantnotities | Vrije tekstcommentaren toegevoegd door de Professional |
| Transacties (WezPay) | Bedragen, dienstdetails, betaalmiddel (alleen type), kassabonnen, kassa-afsluitingen, terugbetalingen, creditnota's |
| Technische gegevens | Interne identifiers, tijdstempels |
3.6 Gevoelige gegevens
WezBook is niet ontworpen om bijzondere categorieën gegevens te verwerken in de zin van artikel 9 van de AVG (gezondheidsgegevens, raciale of etnische afkomst, politieke opvattingen, enz.).
De Professional verbindt zich ertoe geen gevoelige gegevens in te voeren in vrije tekstvelden (klantnotities), tenzij hij de uitdrukkelijke toestemming van de Betrokkene heeft verkregen overeenkomstig artikel 9.2(a) van de AVG. WezBook controleert de inhoud van vrije tekstvelden niet en kan niet aansprakelijk worden gesteld voor de inhoud ervan.
04.Artikel 4 — Verplichtingen van WezBook (verwerker)
4.1 Verwerking op gedocumenteerde instructies (art. 28.3(a))
WezBook verwerkt Persoonsgegevens uitsluitend op gedocumenteerde instructies van de Professional. Instructies worden geacht te zijn gegeven door de Professional via:
- Het gebruik van Platformfuncties (elke actie vormt een instructie)
- De parameters geconfigureerd in de salonbeheerruimte
- Elke aanvullende schriftelijke instructie verzonden per e-mail
WezBook verwerkt Persoonsgegevens niet voor andere doeleinden dan die voorzien in deze DPA. Als WezBook door het recht van de Europese Unie of het Franse recht verplicht is een verwerking uit te voeren, zal het de Professional hiervan op de hoogte brengen vóór de verwerking, tenzij dit wettelijk verboden is.
WezBook zal de Professional onmiddellijk informeren als naar zijn mening een instructie een schending vormt van de AVG of andere bepalingen van het EU-recht of het Franse recht inzake gegevensbescherming.
4.2 Vertrouwelijkheid (art. 28.3(b))
WezBook zorgt ervoor dat de personen die bevoegd zijn om Persoonsgegevens te verwerken:
- Zich ertoe verbinden de vertrouwelijkheid te respecteren via een schriftelijke overeenkomst
- Onderworpen zijn aan een passende wettelijke geheimhoudingsverplichting
De toegang tot Persoonsgegevens is beperkt tot de leden van het WezBook-personeel die deze nodig hebben in het kader van hun functies.
4.3 Beveiliging van de verwerking (art. 28.3(c) en art. 32)
WezBook implementeert de passende technische en organisatorische maatregelen om een passend beveiligingsniveau te garanderen, zoals beschreven in Bijlage 1 van deze DPA.
Deze maatregelen omvatten met name:
- Versleuteling van Persoonsgegevens in transit (TLS/HTTPS) en in rust (AES-256, AWS)
- Het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen te garanderen
- Het vermogen om de toegang tot gegevens tijdig te herstellen in geval van een incident
- Regelmatige tests van de effectiviteit van beveiligingsmaatregelen
4.4 Verdere verwerking (art. 28.3(d) en art. 28.2)
Algemene machtiging — De Professional geeft WezBook een algemene schriftelijke machtiging om subverwerkers in te schakelen voor de uitvoering van de verwerkingen beschreven in deze DPA. De lijst van subverwerkers is gedetailleerd in Bijlage 2.
Kennisgeving van wijzigingen — WezBook zal de Professional minstens 30 dagen vóór de implementatie van de wijziging informeren over elke toevoeging of vervanging van een subverwerker, per e-mail of via een melding op het Platform.
De Professional heeft 15 dagen vanaf de kennisgeving om gemotiveerd bezwaar te maken. Bij gebreke van bezwaar binnen deze termijn wordt de wijziging geacht te zijn aanvaard.
Bij bezwaar zullen partijen trachten een oplossing te vinden. Als geen akkoord wordt bereikt, kan de Professional zijn abonnement zonder boete opzeggen.
Verplichtingen van subverwerkers — WezBook legt aan elke subverwerker contractueel dezelfde gegevensbeschermingsverplichtingen op als voorzien in deze DPA (artikel 28.4 van de AVG). WezBook blijft volledig verantwoordelijk jegens de Professional voor de uitvoering door zijn subverwerkers van hun verplichtingen.
4.5 Bijstand voor de rechten van betrokkenen (art. 28.3(e))
WezBook helpt de Professional, door middel van passende technische en organisatorische maatregelen, bij de nakoming van zijn verplichting om gevolg te geven aan verzoeken tot uitoefening van de rechten van Betrokkenen:
- Recht van inzage (art. 15)
- Recht op rectificatie (art. 16)
- Recht op wissing (art. 17)
- Recht op beperking van de verwerking (art. 18)
- Kennisgevingsverplichting (art. 19)
- Recht op overdraagbaarheid (art. 20)
- Recht van bezwaar (art. 21)
WezBook stelt functies voor gegevensexport (JSON, CSV) en klantverwijdering beschikbaar in het Platform.
Beperking — Kassagegevens: overeenkomstig artikel 17.3(b) van de AVG is het recht op wissing niet van toepassing op kassagegevens geregistreerd via WezPay, die onderworpen zijn aan een wettelijke bewaarplicht van 6 jaar (artikel L.102 B van het Wetboek van Fiscale Procedures) en onveranderlijkheid (artikel 286-I-3°bis van het Franse CGI). WezBook zal de Professional informeren over deze beperking zodat hij de Betrokkene hiervan op de hoogte kan brengen.
Wanneer WezBook rechtstreeks een verzoek tot uitoefening van rechten van een Betrokkene ontvangt, zal hij dit binnen 48 uur doorsturen naar de Professional.
4.6 Bijstand voor beveiligings- en kennisgevingsverplichtingen (art. 28.3(f))
WezBook helpt de Professional bij de naleving van zijn verplichtingen uit hoofde van artikel 32 tot 36 van de AVG:
Kennisgeving van gegevensinbreuk (art. 33 en 34) — WezBook zal de Professional op de hoogte brengen van elke Gegevensinbreuk binnen 48 uur nadat hij er kennis van heeft genomen, met vermelding van:
- De aard van de inbreuk
- De categorieën en het geschatte aantal Betrokkenen
- De waarschijnlijke gevolgen van de inbreuk
- De genomen of voorgestelde maatregelen om de inbreuk te verhelpen
WezBook zal samenwerken met de Professional om hem in staat te stellen de CNIL binnen de in artikel 33 van de AVG bepaalde termijn van 72 uur op de hoogte te brengen.
Effectbeoordeling (art. 35 en 36) — WezBook zal de Professional de informatie verstrekken die nodig is voor het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA), indien vereist, alsook voor elk voorafgaand overleg met de CNIL.
4.7 Lot van de gegevens bij einde contract (art. 28.3(g))
Bij afloop of beëindiging van het abonnement, naar keuze van de Professional:
Optie A — Teruggave: De Professional kan de export van al zijn Persoonsgegevens vragen in een gestructureerd en leesbaar formaat (JSON, CSV) binnen 30 dagen na het einde van het abonnement.
Optie B — Verwijdering: Bij gebreke van een exportverzoek binnen 30 dagen zal WezBook de Persoonsgegevens verwijderen binnen een bijkomende termijn van 30 dagen (d.w.z. 60 dagen na het einde van het abonnement).
Uitzondering — Kassagegevens (art. 286-I-3°bis van het Franse CGI): Kassagegevens geregistreerd via de WezPay-module worden minimaal 6 jaar bewaard overeenkomstig de fiscale verplichtingen (artikel L.102 B van het Wetboek van Fiscale Procedures). De Professional kan tijdens deze periode op elk moment de export van deze gegevens vragen. Na afloop van de termijn van 6 jaar zullen deze gegevens worden verwijderd.
Back-ups: Back-upkopieën die Persoonsgegevens bevatten, worden gewist overeenkomstig de back-uprotatiecyclus, binnen een maximale termijn van 90 dagen na verwijdering van de productiegegevens.
4.8 Audit en inspectie (art. 28.3(h))
WezBook stelt de Professional alle informatie ter beschikking die nodig is om aan te tonen dat aan zijn verplichtingen uit hoofde van artikel 28 van de AVG is voldaan.
WezBook machtigt audits, inclusief inspecties, uitgevoerd door de Professional of een door hem gemachtigde auditor, en draagt hieraan bij, onder de volgende voorwaarden:
- De Professional stuurt een schriftelijk auditverzoek met een opzegtermijn van 30 dagen
- De audit wordt uitgevoerd tijdens kantooruren
- De auditor is gebonden aan een vertrouwelijkheidsverplichting
- De audit mag de activiteiten van WezBook niet onevenredig verstoren
WezBook kan de terbeschikkingstelling van onafhankelijke auditrapporten, beveiligingscertificeringen of conformiteitsrapporten voorstellen als alternatief voor een audit ter plaatse.
De auditkosten zijn voor rekening van de Professional, tenzij uit de audit blijkt dat WezBook zijn verplichtingen uit hoofde van deze DPA heeft geschonden.
05.Artikel 5 — Verplichtingen van de Professional (verwerkingsverantwoordelijke)
De Professional, in zijn hoedanigheid van verwerkingsverantwoordelijke, verbindt zich ertoe:
- Over een geldige rechtsgrondslag te beschikken voor elke verwerking van Persoonsgegevens toevertrouwd aan WezBook (toestemming, uitvoering van een contract, gerechtvaardigd belang, enz.)
- Betrokkenen te informeren (zijn eindklanten) over de verwerking van hun gegevens, overeenkomstig de artikelen 13 en 14 van de AVG, met name over het bestaan van de verwerker WezBook
- Uitsluitend rechtmatige en accurate Persoonsgegevens aan WezBook door te geven
- Geen gevoelige gegevens (art. 9 AVG) in te voeren in vrije tekstvelden zonder de uitdrukkelijke toestemming van de Betrokkene te hebben verkregen
- Instructies te geven conform de AVG en het toepasselijke recht
- Toezicht te houden op de verwerking en de conformiteit van WezBook te controleren
- Te reageren op verzoeken tot uitoefening van rechten van Betrokkenen binnen de wettelijke termijnen
06.Artikel 6 — Gegevensoverdrachten buiten de EU/EER
6.1 Beginsel
Persoonsgegevens worden gehost binnen de Europese Unie (AWS — regio's Ierland en Frankfurt).
6.2 Overdrachten naar de Verenigde Staten
Sommige subverwerkers van WezBook zijn gevestigd in de Verenigde Staten. De overdrachten van Persoonsgegevens naar deze subverwerkers worden omkaderd door:
- Het Data Privacy Framework (DPF) EU-VS — adequaatheidsbesluit van de Europese Commissie van 10 juli 2023, voor DPF-gecertificeerde subverwerkers
- De Standaardcontractbepalingen (SCB) goedgekeurd bij Uitvoeringsbesluit 2021/914 van de Europese Commissie, voor niet-DPF-gecertificeerde subverwerkers
6.3 Aanvullende waarborgen
WezBook verbindt zich ertoe:
- Te controleren of elke subverwerker gevestigd buiten de EU/EER passende waarborgen heeft
- De Professional te informeren over elke wijziging die internationale overdrachten beïnvloedt
- Overdrachten op te schorten als de waarborgen niet meer worden gegarandeerd
De details van de waarborgen per subverwerker zijn opgenomen in Bijlage 2.
07.Artikel 7 — Duur
Deze DPA treedt in werking op de datum van inschrijving op het WezBook-abonnement en blijft van kracht gedurende de volledige duur van het abonnement.
De volgende artikelen blijven na het einde van de DPA van kracht:
- Artikel 4.2 (vertrouwelijkheid) — zonder beperking in de tijd
- Artikel 4.7 (lot van de gegevens) — tot effectieve verwijdering van alle gegevens
- Artikel 4.8 (audit) — gedurende 1 jaar na het einde van het abonnement
- Artikel 8 (aansprakelijkheid) — overeenkomstig de toepasselijke verjaringstermijnen
- Bijlage 2 (subverwerkers) — voor de duur van de gegevensbewaring
08.Artikel 8 — Aansprakelijkheid
8.1 Aansprakelijkheid van WezBook
WezBook is aansprakelijk voor schade veroorzaakt door een verwerking die niet voldoet aan de verplichtingen die specifiek op de verwerker rusten krachtens de AVG of wanneer hij heeft gehandeld buiten de rechtmatige instructies van de Professional of in strijd ermee (artikel 82.2 van de AVG).
8.2 Aansprakelijkheid van de Professional
De Professional is aansprakelijk voor schade veroorzaakt door een verwerking die niet in overeenstemming met de AVG wordt uitgevoerd (artikel 82.2 van de AVG), met name wat betreft de rechtmatigheid van zijn instructies en de naleving van zijn informatieverplichtingen jegens Betrokkenen.
8.3 Beperking
De aansprakelijkheid van WezBook uit hoofde van deze DPA is onderworpen aan de beperkingen voorzien in de Algemene Verkoopvoorwaarden.
09.Artikel 9 — Toepasselijk recht en bevoegdheid
Deze DPA wordt beheerst door Frans recht.
Bij geschil verbinden partijen zich ertoe een minnelijke oplossing te zoeken. Bij gebreke daarvan zal het geschil worden voorgelegd aan de bevoegde rechtbanken van [IN TE VULLEN].
De bevoegde toezichthoudende autoriteit is de Franse Gegevensbeschermingsautoriteit (CNIL).
10.Bijlage 1 — Technische en organisatorische maatregelen (art. 32 AVG)
Versleuteling
| Maatregel | Detail |
|---|---|
| Versleuteling in transit | TLS 1.2+ / HTTPS voor alle communicatie |
| Versleuteling in rust | AES-256 via AWS (sleutels beheerd door AWS KMS) |
| Wachtwoordhashing | BCrypt |
Toegangscontrole
| Maatregel | Detail |
|---|---|
| Authenticatie | Firebase Authentication met JWT-tokens |
| Rolgebaseerde toegangscontrole | RBAC-systeem (gebruiker, werknemer, admin) |
| Gegevensisolatie | Multi-tenant architectuur met isolatie per salon |
| Principe van minimale rechten | Toegang beperkt tot strikt noodzakelijke gegevens |
Bescherming tegen aanvallen
| Maatregel | Detail |
|---|---|
| Rate limiting | Bescherming tegen brute force-aanvallen (Bucket4j) |
| Invoervalidatie | Systematische sanitisatie en validatie |
| Webhook-verificatie | Handtekeningverificatie (Stripe, Twilio, Resend) |
| CORS-bescherming | Restrictieve configuratie |
Monitoring en logging
| Maatregel | Detail |
|---|---|
| Audit trail | Logging van gevoelige acties |
| Monitoring | Continue monitoring van de infrastructuur |
Back-up en continuïteit
| Maatregel | Detail |
|---|---|
| Back-ups | Regelmatige geautomatiseerde back-ups (AWS) |
| Herstel | Geteste herstelprocedures |
| Hosting | AWS Europa-regio's (Ierland eu-west-1 / Frankfurt eu-central-1) |
Specifieke maatregelen fiscale conformiteit (art. 286-I-3°bis van het Franse CGI)
| Maatregel | Detail |
|---|---|
| Onveranderlijkheid | Ketting en digitale handtekening van kassagegevens |
| Traceerbaarheid | Uitgebreide logging van elke kassa-operatie |
| Bewaring | Veilige archivering gedurende minimaal 6 jaar |
| Conformiteit | Individueel attest van de uitgever nr. ATT-WEZPAY-2026-001 (art. 286-I-3°bis van het Franse CGI) |
11.Bijlage 2 — Lijst van subverwerkers
| Subverwerker | Verwerking | Verwerkte gegevens | Locatie | Overdrachtswaarborgen |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Hosting, opslag, back-up | Alle gegevens (versleuteld) | Europa (Ierland / Frankfurt) | Gegevens in de EU |
| Firebase (Google) | Authenticatie | E-mail, naam, gebruikersidentifier | VS | DPF + SCB |
| Stripe | Betalingen en abonnementen | Klant-identifiers, transactiegegevens | VS | DPF + SCB |
| Twilio | SMS-verzending | Telefoonnummers, SMS-inhoud | VS | DPF + SCB |
| Resend | E-mailverzending | E-mailadressen, e-mailinhoud | VS | SCB |
| SumUp | Betalingen via terminal | Transactiereferenties | Europa (Ierland) | Gegevens in de EU |
| Google Places | Salongeolocatie | Adressen, GPS-coördinaten | VS | DPF + SCB |
Elke wijziging van deze lijst zal aan de Professional worden meegedeeld overeenkomstig artikel 4.4 van deze DPA.
12.Bijlage 3 — Beschrijving van de verwerkingen
| Doel | Bewerkingen | Rechtsgrondslag (Professional) | Gegevenscategorieën | Bewaartermijn |
|---|---|---|---|---|
| Klantenbeheer | Verzameling, opslag, raadpleging, wijziging, verwijdering | Uitvoering van contract / Gerechtvaardigd belang | Identiteit, contactgegevens, notities | Duur van de relatie, dan 1 jaar |
| Afspraakbeheer | Verzameling, opslag, raadpleging | Uitvoering van contract | Identiteit, contactgegevens, afspraakdetails | Duur van de relatie, dan 1 jaar |
| SMS-herinneringen | Raadpleging, overdracht (Twilio) | Uitvoering van contract | Telefoonnummer, afspraakdetails | Verzendingsduur |
| E-mailmeldingen | Raadpleging, overdracht (Resend) | Uitvoering van contract | E-mailadres, inhoud | Verzendingsduur |
| Kassaregistratie (WezPay) | Verzameling, opslag, archivering | Wettelijke verplichting (art. 286-I-3°bis van het Franse CGI) | Transacties, bedragen, betaalmiddelen | 6 jaar (fiscale verplichting) |
| Statistieken | Raadpleging, aggregatie | Gerechtvaardigd belang | Afspraak- en kassagegevens (geaggregeerd) | Duur van het abonnement |
Voor elke vraag over deze DPA kunt u ons contacteren op: [email protected]
Andere juridische pagina's
Vragen over onze voorwaarden?
Ons team staat klaar om u te helpen uw rechten en onze verantwoordelijkheden te begrijpen.