Conform artikel 28 AVG/GDPR — Versie 1.0, maart 2026
Deze verwerkersovereenkomst ("Overeenkomst") is van toepassing op de verwerking van persoonsgegevens door:
Verwerker:
Refundely B.V.
KvK-nummer: 42037508
Adres: Kleine-Gartmanplantsoen 11 3, 1017 RP Amsterdam
E-mail: privacy@refundely.com
Verwerkingsverantwoordelijke:
De organisatie die een abonnement heeft afgesloten op het Refundely-platform ("Klant").
Deze Overeenkomst maakt onlosmakelijk deel uit van de Algemene Voorwaarden en Privacyverklaring van Refundely. Bij tegenstrijdigheid prevaleert deze Overeenkomst voor wat betreft de verwerking van persoonsgegevens.
In deze Overeenkomst wordt verstaan onder:
3.1 De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke, ten behoeve van het geautomatiseerd verwerken van borgrestituties via het Refundely-platform.
3.2 De duur van deze Overeenkomst is gelijk aan de looptijd van het abonnement van de Klant op het Refundely-platform, inclusief eventuele verlengingen.
3.3 Na beëindiging van de overeenkomst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht van toepassing is.
Categorieën persoonsgegevens
| Categorie | Gegevens | Betrokkenen |
|---|---|---|
| Financiële gegevens | IBAN-nummers (versleuteld), borgbedragen | Huurders |
| Identificatiegegevens | Namen, initialen | Huurders |
| Contactgegevens | E-mailadressen (indien aanwezig) | Huurders |
| Administratieve gegevens | Factuurnummers, adresgegevens uit facturen | Huurders |
De Verwerker garandeert dat zij:
5.1 De Verwerkingsverantwoordelijke geeft de Verwerker algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers. De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van sub-verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden om bezwaar te maken.
5.2 De Verwerker waarborgt dat sub-verwerkers dezelfde verplichtingen inzake gegevensbescherming worden opgelegd als in deze Overeenkomst.
5.3 Huidige sub-verwerkers:
| Sub-verwerker | Doel | Locatie | Waarborg |
|---|---|---|---|
| Mistral AI | AI-extractie van factuurgegevens | Frankrijk (EU) | AVG van toepassing, geen modeltraining op klantdata |
| Supabase Inc. | Database, authenticatie, opslag, edge functions | EU regio / VS | EU Data Residency, Standard Contractual Clauses (SCC's) |
| Vercel Inc. | Website hosting en CDN | EU / VS | EU-first edge network, SCC's |
| Stripe Inc. | Betalingsverwerking abonnementen | Ierland (EU) / VS | PCI-DSS gecertificeerd, SCC's |
5.4 Wijzigingen in sub-verwerkers worden minimaal 30 dagen vooraf gemeld via e-mail aan de contactpersoon van de Verwerkingsverantwoordelijke. Bij bezwaar kan de Verwerkingsverantwoordelijke de overeenkomst beëindigen.
De Verwerker heeft de volgende technische en organisatorische maatregelen getroffen (artikel 32 AVG):
Encryptie
Toegangsbeheer
Logging en traceerbaarheid
Bestandsbeveiliging
7.1 De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging en in ieder geval binnen 48 uur na ontdekking van een datalek dat betrekking heeft op de persoonsgegevens die onder deze Overeenkomst worden verwerkt.
7.2 De melding bevat ten minste:
7.3 De Verwerker werkt volledig mee aan het onderzoek en de melding bij de Autoriteit Persoonsgegevens (indien nodig binnen 72 uur na ontdekking door de Verwerkingsverantwoordelijke).
Contactgegevens voor datalekken
Meldingen: privacy@refundely.com
Bereikbaar: 24/7 voor urgente beveiligingsincidenten
8.1 De Verwerker staat de Verwerkingsverantwoordelijke bij in het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG (artikelen 15 t/m 22), waaronder:
8.2 Het Refundely-platform biedt de Verwerkingsverantwoordelijke de mogelijkheid om zelfstandig:
8.3 Indien een betrokkene zich rechtstreeks tot de Verwerker wendt, verwijst de Verwerker deze naar de Verwerkingsverantwoordelijke en informeert zij de Verwerkingsverantwoordelijke hierover.
| Gegevens | Bewaartermijn | Grondslag |
|---|---|---|
| Factuurbestanden (PDF's) | 30 dagen na verwerking | Dataminimalisatie |
| Geëxtraheerde huurdergegevens | Tot verwijdering door Klant of beëindiging dienst | Uitvoering overeenkomst |
| Versleutelde IBAN-nummers | Tot verwijdering door Klant of beëindiging dienst | Uitvoering overeenkomst |
| SEPA-export gegevens | 7 jaar | Wettelijke bewaarplicht (fiscaal) |
| Audit logs | 7 jaar | Wettelijke bewaarplicht |
9.2 Bij beëindiging van het abonnement worden alle persoonsgegevens van huurders binnen 30 dagen verwijderd, met uitzondering van gegevens waarvoor een wettelijke bewaarplicht geldt.
9.3 Verwijdering geschiedt via een volledige cascade-verwijdering: deposits, facturen, branches, bedrijfsinstellingen, profiel en authenticatiegegevens. Elke stap wordt geverifieerd.
10.1 De Verwerker behandelt alle persoonsgegevens als vertrouwelijk. Deze geheimhoudingsplicht geldt ook na beëindiging van deze Overeenkomst.
10.2 De Verwerker waarborgt dat medewerkers die toegang hebben tot persoonsgegevens een geheimhoudingsverklaring hebben ondertekend of onder een wettelijke geheimhoudingsplicht vallen.
10.3 De geheimhoudingsplicht is niet van toepassing voor zover verstrekking wettelijk verplicht is, mits de Verwerker de Verwerkingsverantwoordelijke hiervan vooraf op de hoogte stelt (voor zover wettelijk toegestaan).
11.1 De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren (of te laten uitvoeren door een onafhankelijke derde) om naleving van deze Overeenkomst te controleren.
11.2 De Verwerker verleent medewerking aan dergelijke audits en stelt alle benodigde informatie ter beschikking.
11.3 Audits worden minimaal 30 dagen vooraf schriftelijk aangekondigd en vinden plaats tijdens reguliere kantooruren.
11.4 De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat de Verwerker in gebreke is gebleven.
11.5 Het Refundely-platform biedt een ingebouwde audit trail met onwijzigbare logbestanden die op elk moment door de Verwerkingsverantwoordelijke kunnen worden geraadpleegd via het instellingenmenu.
12.1 De Verwerker is aansprakelijk voor schade die voortvloeit uit verwerkingen die in strijd zijn met deze Overeenkomst of de AVG, voor zover de Verwerker niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, of buiten of in strijd met de instructies van de Verwerkingsverantwoordelijke heeft gehandeld.
12.2 De aansprakelijkheid van de Verwerker is beperkt conform de bepalingen in de Algemene Voorwaarden van Refundely.
13.1 De Verwerker verwerkt persoonsgegevens primair binnen de Europese Economische Ruimte (EER).
13.2 Voor zover persoonsgegevens buiten de EER worden verwerkt (via sub-verwerkers), geschiedt dit uitsluitend:
13.3 De AI-verwerking (Mistral AI) vindt volledig plaats binnen de EU (Frankrijk). Er worden geen persoonsgegevens buiten de EU verwerkt voor AI-doeleinden.
14.1 Op deze Overeenkomst is Nederlands recht van toepassing.
14.2 Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de Verwerker.
14.3 Wijzigingen van deze Overeenkomst zijn slechts geldig indien schriftelijk overeengekomen tussen beide partijen.
14.4 Indien een bepaling van deze Overeenkomst nietig of vernietigbaar blijkt, tast dit de geldigheid van de overige bepalingen niet aan.
14.5 Deze Overeenkomst treedt in werking bij acceptatie van de Algemene Voorwaarden van het Refundely-platform.
Deze verwerkersovereenkomst is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR).
Zie ook onze Privacyverklaring en Algemene Voorwaarden.
Vragen? Mail naar privacy@refundely.com