Verwerkersovereenkomst

Laatst bijgewerkt: maart 2026

Deze verwerkersovereenkomst ("DPA") is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en maakt integraal onderdeel uit van de overeenkomst tussen InVorm en de Gebruiker.

Artikel 1 — Partijen

  • Verwerkingsverantwoordelijke: de Gebruiker (voedingscoach of diëtist) die een account heeft bij InVorm en cliëntgegevens invoert en beheert.
  • Verwerker: Edge Digital, ingeschreven bij de Kamer van Koophandel onder nummer 92411959, handelend onder de naam InVorm, hierna te noemen "InVorm".

Artikel 2 — Onderwerp en duur van de verwerking

InVorm verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke voor de duur van de overeenkomst (het actieve abonnement), ten behoeve van:

  • Het opslaan en beheren van cliëntdossiers
  • Het genereren van AI-gestuurde voedingsadviezen en voedingsplannen
  • Het faciliteren van digitale intakeformulieren
  • Het faciliteren van het cliëntportaal (berichten, check-ins, evaluaties)
  • Het genereren van rapportages en overzichten
  • Het verzenden van e-mails namens de Gebruiker aan diens cliënten

Artikel 3 — Soort persoonsgegevens

De volgende categorieën persoonsgegevens worden verwerkt:

Gewone persoonsgegevens:

  • Naam, adres, postcode, woonplaats
  • E-mailadres en telefoonnummer
  • Geboortedatum en geslacht
  • Leefstijlgegevens (werk, beweging, hobby's)

Bijzondere persoonsgegevens (Art. 9 AVG):

  • Gezondheidsgegevens: gewicht, lengte, BMI, vetpercentage, spiermassa, buikomvang, visceraal vet
  • Medische gegevens: aandoeningen, medicatie, allergieën, supplementen, zwangerschap
  • Voedingsgegevens: eetgewoonten, dieetvoorkeuren, voedingsintoleranties
  • Psychologische gegevens: stressniveau, motivatie, slaapkwaliteit

Let op: De verwerking van bijzondere persoonsgegevens vindt plaats op basis van uitdrukkelijke toestemming van de betrokkene (cliënt) of omdat de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnosen of het verstrekken van gezondheidszorg (Art. 9 lid 2 sub h AVG). De Verwerkingsverantwoordelijke is verantwoordelijk voor het verkrijgen van de juiste rechtsgrond.

Artikel 4 — Categorieën betrokkenen

  • Cliënten van de Verwerkingsverantwoordelijke (voedingscoach/diëtist)

Artikel 5 — Verplichtingen van de verwerker

InVorm verbindt zich tot het volgende:

  • Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.
  • Ervoor te zorgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden.
  • Alle passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie Artikel 7).
  • Geen andere verwerker in te schakelen zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke (zie Artikel 6).
  • De Verwerkingsverantwoordelijke bij te staan bij het vervullen van diens verplichtingen ten aanzien van verzoeken van betrokkenen (inzage, correctie, verwijdering, etc.).
  • De Verwerkingsverantwoordelijke bij te staan bij het uitvoeren van een DPIA (gegevensbeschermingseffectbeoordeling) indien van toepassing.
  • Na afloop van de overeenkomst alle persoonsgegevens te verwijderen of terug te geven, naar keuze van de Verwerkingsverantwoordelijke, tenzij bewaring wettelijk verplicht is.
  • Alle informatie ter beschikking te stellen die nodig is om naleving van de verplichtingen in dit artikel aan te tonen, en audits en inspecties mogelijk te maken.

Artikel 6 — Sub-verwerkers

InVorm maakt gebruik van de volgende sub-verwerkers. Door akkoord te gaan met deze verwerkersovereenkomst geeft de Verwerkingsverantwoordelijke toestemming voor het inschakelen van deze sub-verwerkers:

Sub-verwerkerDoelLocatieWaarborgen
Vercel Inc.Hosting en applicatie-infrastructuurVS (regio EU beschikbaar)DPA + SCC
Neon Inc.PostgreSQL databasehostingEU (Frankfurt)DPA + EU-hosting
Anthropic PBCAI-voedingsadviezen en voedingsplannenVSDPA + SCC, data niet gebruikt voor training
Stripe Inc.BetalingsverwerkingVS / IerlandDPA + SCC, PCI DSS gecertificeerd
Resend Inc.Transactionele e-mailverzendingVSDPA + SCC
Upstash Inc.Rate limiting (Redis)EU (Frankfurt)DPA + EU-hosting

InVorm zal de Verwerkingsverantwoordelijke minimaal 30 dagen van tevoren per e-mail informeren over voorgenomen wijzigingen in sub-verwerkers. De Verwerkingsverantwoordelijke kan binnen die termijn bezwaar maken. Bij gegrond bezwaar zal InVorm de wijziging niet doorvoeren of de Verwerkingsverantwoordelijke de mogelijkheid bieden de overeenkomst te beëindigen.

Artikel 7 — Technische en organisatorische beveiligingsmaatregelen

InVorm treft de volgende maatregelen om persoonsgegevens te beschermen:

Versleuteling:

  • TLS 1.2+ voor alle dataoverdracht (in transit)
  • AES-256 versleuteling van gevoelige velden in de database (at rest)
  • Wachtwoorden opgeslagen met bcrypt (cost factor 12)

Toegangsbeveiliging:

  • Multi-tenant architectuur met strikte scheiding van cliëntgegevens per coach
  • Sessie-gebaseerde authenticatie met veilige, httpOnly cookies
  • Optionele tweefactorauthenticatie (TOTP)
  • CSRF-bescherming op alle mutatie-endpoints
  • Rate limiting op authenticatie-endpoints
  • UUID-validatie op alle pad-parameters

Monitoring en logging:

  • Audit logging van beveiligingsrelevante acties (login, wachtwoordwijziging, data-export)
  • Automatische opschoning van audit logs na 90 dagen
  • Gestructureerde logging zonder opname van persoonsgegevens

Ontwikkeling en onderhoud:

  • Input-validatie met Zod schema's op alle API-endpoints
  • Geautomatiseerde tests (400+ tests)
  • Regelmatige dependency-updates

Artikel 8 — Meldplicht datalekken

  • InVorm stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging en waar mogelijk binnen 24 uur op de hoogte van een inbreuk in verband met persoonsgegevens (datalek).
  • De melding bevat ten minste: de aard van de inbreuk, de categorieën en het geschatte aantal betrokkenen, de waarschijnlijke gevolgen, en de maatregelen die zijn genomen of worden voorgesteld.
  • InVorm werkt volledig mee aan het onderzoek en neemt redelijke maatregelen om de gevolgen van de inbreuk te beperken.
  • De Verwerkingsverantwoordelijke is verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens en eventuele betrokkenen.

Artikel 9 — Bijstand bij rechten van betrokkenen

InVorm biedt de volgende mogelijkheden om de Verwerkingsverantwoordelijke te ondersteunen bij verzoeken van betrokkenen:

  • Inzage en overdraagbaarheid: Export van alle cliëntgegevens via de data-exportfunctie in het dashboard.
  • Correctie: Alle cliëntgegevens zijn bewerkbaar via het dashboard.
  • Verwijdering: Volledige verwijdering van een cliëntdossier via het dashboard (cascade delete van alle gerelateerde gegevens).
  • Beperking: Cliënten kunnen op inactief worden gezet.

Artikel 10 — Audits en inspecties

  • De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren of te laten uitvoeren om naleving van deze verwerkersovereenkomst te controleren.
  • InVorm verleent medewerking aan dergelijke audits en stelt de benodigde informatie ter beschikking.
  • De kosten van een audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een schending aan het licht brengt.
  • Audits worden uitgevoerd met een redelijke opzegtermijn van ten minste 30 dagen en worden zo ingericht dat zij de bedrijfsvoering van InVorm zo min mogelijk verstoren.

Artikel 11 — Internationale doorgifte

Voor zover persoonsgegevens worden doorgegeven naar landen buiten de EER (met name de Verenigde Staten), zijn de volgende waarborgen getroffen:

  • Met alle sub-verwerkers buiten de EER zijn Standard Contractual Clauses (SCC) afgesloten conform het uitvoeringsbesluit van de Europese Commissie.
  • Waar van toepassing wordt gebruikgemaakt van het EU-US Data Privacy Framework.
  • Aanvullende technische maatregelen (versleuteling, pseudonimisering) worden toegepast waar nodig.

Artikel 12 — Bewaartermijnen en teruggave

  • Cliëntgegevens worden bewaard zolang het account van de Verwerkingsverantwoordelijke actief is of tot verwijdering door de Verwerkingsverantwoordelijke.
  • Bij beëindiging van de overeenkomst heeft de Verwerkingsverantwoordelijke 30 dagen om gegevens te exporteren, waarna alle cliëntgegevens worden verwijderd.
  • Back-ups worden uiterlijk 90 dagen na verwijdering definitief gewist.
  • Gegevens die op grond van een wettelijke verplichting moeten worden bewaard (bijv. factuurgegevens: 7 jaar) worden na het verstrijken van die termijn verwijderd.

Artikel 13 — Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke (coach/diëtist) is verantwoordelijk voor:

  • Het informeren van cliënten over de verwerking van hun persoonsgegevens.
  • Het verkrijgen van de juiste rechtsgrond voor verwerking, met name voor bijzondere persoonsgegevens (gezondheidsgegevens).
  • Het naleven van het beroepsgeheim en toepasselijke beroepscodes.
  • Het tijdig en correct reageren op verzoeken van betrokkenen.
  • Het uitvoeren van een DPIA (gegevensbeschermingseffectbeoordeling) indien vereist.
  • Het bijhouden van een verwerkingsregister voor de eigen verwerkingen.

Artikel 14 — Aansprakelijkheid

  • InVorm is aansprakelijk voor schade veroorzaakt door verwerking die niet in overeenstemming is met de AVG of deze verwerkersovereenkomst.
  • De aansprakelijkheid van InVorm is beperkt conform de algemene voorwaarden, tenzij de schade het gevolg is van opzet of grove nalatigheid.
  • Partijen vrijwaren elkaar voor claims van derden die voortvloeien uit het niet-naleven van eigen verplichtingen onder deze overeenkomst.

Artikel 15 — Looptijd en beëindiging

  • Deze verwerkersovereenkomst treedt in werking bij het aanmaken van een account en blijft van kracht zolang InVorm persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
  • Bij beëindiging van de hoofdovereenkomst (abonnement) eindigt deze verwerkersovereenkomst automatisch, onverminderd de verplichtingen die naar hun aard bestemd zijn om na beëindiging voort te duren (geheimhouding, teruggave/verwijdering).

Artikel 16 — Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Contact

Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen via info@edgedigital.nl