Direct naar inhoud

Verwerkersovereenkomst

Versie 1.0 — laatst gecontroleerd 10 juli 2026

1. Wat dit is

Deze verwerkersovereenkomst (DPA) onder artikel 28 AVG regelt de persoonsgegevens die Wexlo — een handelsnaam van Rybier Consulting (KvK 66637694), President Allendelaan 263, 1068 VM Amsterdam namens u verwerkt bij het scannen van de websites die u aanwijst. Ze geldt automatisch als onderdeel van onze algemene voorwaarden voor elke klant — een handtekening is niet nodig. Heeft u voor uw administratie een ondertekend exemplaar nodig, mail dan [email protected] en we sturen u er een. Spreken deze DPA en de voorwaarden elkaar tegen op het punt van gegevensbescherming, dan prevaleert deze DPA.

2. Rollen

Voor de scanverwerking die hier wordt beschreven bent u de verwerkingsverantwoordelijke (of een verwerker voor uw eigen klanten; dan treden wij op als uw subverwerker) en zijn wij uw verwerker: u bepaalt welke domeinen we scannen en wij verwerken wat op die pagina’s staat uitsluitend om uw rapporten te maken. Voor uw account, bestellingen en facturen zijn we zelfstandig verwerkingsverantwoordelijke — die verwerking staat in het privacybeleid en valt buiten deze DPA.

3. Onderwerp, duur, aard en doel

Onderwerp: geautomatiseerd toegankelijkheidsscannen van de websites die u registreert, en het genereren en leveren van de bijbehorende rapporten. Duur: de looptijd van uw abonnement, plus de verwijdertermijn in artikel 10. Aard: geautomatiseerd verzamelen en analyseren van publiek bereikbare webpagina’s. Doel: uitsluitend het leveren van de rapporten en bijbehorende functies van uw abonnement — nooit voor eigen doeleinden.

4. Welke gegevens het betreft

Categorieën gegevens: de persoonsgegevens die toevallig zichtbaar zijn op de publiek bereikbare pagina’s van de websites die u aanwijst (bijvoorbeeld namen op een teampagina). Categorieën betrokkenen: bezoekers van en personen die voorkomen op die websites. By design minimaliseren we dit radicaal: we slaan alleen gestructureerde bevindingen op — de regel, het WCAG-criterium, de ernst en een CSS-selector — en nooit screenshots of HTML van uw pagina’s. Het realistische residu aan persoonsgegevens in onze systemen is daarmee beperkt tot wat in een URL of CSS-selector kan voorkomen.

5. Uw instructies

We verwerken uitsluitend op uw gedocumenteerde instructies. Het registreren van een domein en het configureren van uw abonnement zijn die instructies; aanvullende instructies kunnen per e-mail worden afgesproken. We melden het u als een instructie naar ons oordeel de AVG schendt. Buiten uw instructies verwerken we alleen waar EU- of lidstaatrecht dat vereist, en we informeren u daarover vooraf tenzij dat recht dat verbiedt.

6. Vertrouwelijkheid en beveiliging

Toegang tot persoonsgegevens is beperkt tot personen die haar nodig hebben om de dienst te leveren en die aan vertrouwelijkheid zijn gebonden. Rekening houdend met de stand van de techniek en de aard van de gegevens passen we de maatregelen van artikel 32 AVG toe, waaronder: TLS-versleuteling onderweg (afgedwongen met HSTS), versleuteling in rust bij onze database- en opslagleveranciers, EU-gehoste infrastructuur, dataminimalisatie by design (geen screenshots of HTML opgeslagen), eenmalige inloglinks in plaats van wachtwoorden, least-privilege-toegang, rate limiting en logging van beveiligingsrelevante gebeurtenissen.

7. Subverwerkers

U geeft algemene toestemming voor de onderstaande subverwerkers. Toevoegingen of vervangingen kondigen we minimaal 30 dagen vooraf per e-mail aan; maakt u op redelijke gegevensbeschermingsgronden bezwaar en kunnen wij geen oplossing bieden, dan mag u uw abonnement beëindigen per de datum waarop de wijziging ingaat.

  • Scalingo — applicatiehosting (Parijs, Frankrijk)
  • Fly.io — scanworker die uw pagina’s bezoekt (regio Frankfurt, Duitsland; Amerikaans bedrijf)
  • Neon — database voor scanbevindingen (regio Frankfurt, Duitsland; Amerikaans bedrijf)
  • Cloudflare — rapportopslag (R2, EU-jurisdictie), DNS en firewall (Amerikaans bedrijf)
  • Upstash — jobwachtrij en rate limiting (EU-regio; Amerikaans bedrijf)
  • Mailjet — rapportbezorging per e-mail (Parijs, Frankrijk; Sinch-groep)
  • Anthropic — AI-gegenereerde rapporttekst uit gestructureerde bevindingen (Verenigde Staten; traint niet op uw gegevens)
  • Sentry — foutmonitoring (EU-dataresidentieregio)

Elke subverwerker is gebonden aan een verwerkersovereenkomst met verplichtingen die materieel gelijkwaardig zijn aan deze, en wij blijven jegens u volledig aansprakelijk voor hun nakoming.

8. Internationale doorgifte

De verwerking vindt plaats in de EU, met één uitzondering die we eerlijk benoemen: de AI-tekstgeneratiestap loopt via de API van Anthropic in de Verenigde Staten, afgedekt met de EU Standard Contractual Clauses en geminimaliseerd tot uitsluitend gestructureerde bevindingen. Sommige EU-regio-subverwerkers (Neon, Fly.io, Cloudflare, Upstash) zijn Amerikaanse bedrijven; hun verwerking voor ons blijft in EU-regio’s, en elke doorgifte die toch plaatsvindt is afgedekt met Standard Contractual Clauses of een adequaatheidsmechanisme zoals het EU-VS Data Privacy Framework.

9. Bijstand en meldplicht datalekken

Rekening houdend met de aard van de verwerking helpen we u bij verzoeken van betrokkenen (inzage, verwijdering en de andere rechten uit hoofdstuk III AVG) en, waar relevant, bij uw verplichtingen onder artikel 32–36 AVG, inclusief gegevensbeschermingseffectbeoordelingen. We melden u zonder onredelijke vertraging nadat we kennis hebben genomen van een datalek dat uw gegevens raakt, met de informatie die artikel 33 lid 3 AVG vereist, zodat u aan uw eigen meldplichten kunt voldoen.

10. Verwijdering en teruggave

Eindigt uw abonnement, dan kunt u uw rapporten exporteren vanuit de portal. Op verzoek verwijderen we de scanbevindingen en rapporten die we voor u bewaren; in elk geval verwijderen of anonimiseren we ze conform de bewaartermijnen in het privacybeleid, behalve waar EU- of Nederlands recht ons verplicht specifieke gegevens te bewaren (zoals facturen).

11. Audits

We stellen de informatie beschikbaar die redelijkerwijs nodig is om naleving van artikel 28 AVG aan te tonen — deze pagina, onze beveiligingssamenvatting en de relevante toezeggingen uit onze subverwerkersovereenkomsten. U mag één keer per contractjaar auditen, met een aankondigingstermijn van minimaal 30 dagen, tijdens kantooruren, zonder toegang tot gegevens van andere klanten en op eigen kosten; waar mogelijk vullen we audits eerst met documentatie in.

12. Aansprakelijkheid en recht

De aansprakelijkheidsregeling uit de algemene voorwaarden geldt ook voor deze DPA. Nederlands recht is van toepassing. Deze DPA bestaat in het Engels (https://wexlo.eu/dpa) en in het Nederlands; wijken de versies af, dan prevaleert de versie in de taal waarin u heeft besteld.