Verwerkersovereenkomst

Conform artikel 28 AVG/GDPR — Versie 1.0, maart 2026

Artikel 1 — Partijen

Deze verwerkersovereenkomst ("Overeenkomst") is van toepassing op de verwerking van persoonsgegevens door:

Verwerker:

Refundely B.V.

KvK-nummer: 42037508

Adres: Kleine-Gartmanplantsoen 11 3, 1017 RP Amsterdam

E-mail: privacy@refundely.com

Verwerkingsverantwoordelijke:

De organisatie die een abonnement heeft afgesloten op het Refundely-platform ("Klant").

Deze Overeenkomst maakt onlosmakelijk deel uit van de Algemene Voorwaarden en Privacyverklaring van Refundely. Bij tegenstrijdigheid prevaleert deze Overeenkomst voor wat betreft de verwerking van persoonsgegevens.

Artikel 2 — Definities

In deze Overeenkomst wordt verstaan onder:

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
Verwerking: elke bewerking van persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen of vernietigen.
Betrokkenen: de natuurlijke personen wier persoonsgegevens worden verwerkt, met name huurders wier gegevens via facturen worden verwerkt.
Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld voor (een deel van) de verwerking.
Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot persoonsgegevens (artikel 4 lid 12 AVG).

Artikel 3 — Onderwerp en duur

3.1 De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke, ten behoeve van het geautomatiseerd verwerken van borgrestituties via het Refundely-platform.

3.2 De duur van deze Overeenkomst is gelijk aan de looptijd van het abonnement van de Klant op het Refundely-platform, inclusief eventuele verlengingen.

3.3 Na beëindiging van de overeenkomst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht van toepassing is.

Categorieën persoonsgegevens

Categorie	Gegevens	Betrokkenen
Financiële gegevens	IBAN-nummers (versleuteld), borgbedragen	Huurders
Identificatiegegevens	Namen, initialen	Huurders
Contactgegevens	E-mailadressen (indien aanwezig)	Huurders
Administratieve gegevens	Factuurnummers, adresgegevens uit facturen	Huurders

Artikel 4 — Verplichtingen van de Verwerker

De Verwerker garandeert dat zij:

4.1 Persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, waaronder ook de verwerking ten behoeve van het uitvoeren van de dienst zoals beschreven in de Algemene Voorwaarden.
4.2 Waarborgt dat personen die toegang hebben tot de persoonsgegevens zich hebben verplicht tot geheimhouding of onder een passende wettelijke verplichting van vertrouwelijkheid staan.
4.3 Passende technische en organisatorische maatregelen neemt om een op het risico afgestemd beveiligingsniveau te waarborgen (zie Artikel 6).
4.4 Voldoet aan de voorwaarden voor het inschakelen van sub-verwerkers (zie Artikel 5).
4.5 De Verwerkingsverantwoordelijke bijstaat bij het vervullen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, etc.).
4.6 De Verwerkingsverantwoordelijke bijstaat bij het nakomen van de verplichtingen uit artikelen 32 t/m 36 AVG (beveiliging, meldplicht datalekken, gegevensbeschermingseffectbeoordeling).
4.7 Na beëindiging van de dienstverlening alle persoonsgegevens verwijdert of retourneert, en bestaande kopieën verwijdert, tenzij opslag wettelijk verplicht is.
4.8 Alle informatie ter beschikking stelt die nodig is om nakoming van de verplichtingen uit artikel 28 AVG aan te tonen, en audits (inclusief inspecties) door of namens de Verwerkingsverantwoordelijke mogelijk maakt.

Artikel 5 — Sub-verwerkers

5.1 De Verwerkingsverantwoordelijke geeft de Verwerker algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers. De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van sub-verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden om bezwaar te maken.

5.2 De Verwerker waarborgt dat sub-verwerkers dezelfde verplichtingen inzake gegevensbescherming worden opgelegd als in deze Overeenkomst.

5.3 Huidige sub-verwerkers:

Sub-verwerker	Doel	Locatie	Waarborg
Mistral AI	AI-extractie van factuurgegevens	Frankrijk (EU)	AVG van toepassing, geen modeltraining op klantdata
Supabase Inc.	Database, authenticatie, opslag, edge functions	EU regio / VS	EU Data Residency, Standard Contractual Clauses (SCC's)
Vercel Inc.	Website hosting en CDN	EU / VS	EU-first edge network, SCC's
Stripe Inc.	Betalingsverwerking abonnementen	Ierland (EU) / VS	PCI-DSS gecertificeerd, SCC's

5.4 Wijzigingen in sub-verwerkers worden minimaal 30 dagen vooraf gemeld via e-mail aan de contactpersoon van de Verwerkingsverantwoordelijke. Bij bezwaar kan de Verwerkingsverantwoordelijke de overeenkomst beëindigen.

Artikel 6 — Beveiligingsmaatregelen

De Verwerker heeft de volgende technische en organisatorische maatregelen getroffen (artikel 32 AVG):

Encryptie

IBAN-nummers versleuteld met AES-256-GCM (met unieke IV per versleuteling)
Encryptiesleutels uitsluitend server-side opgeslagen, nooit blootgesteld aan de frontend
TLS/SSL voor alle data in transit
Database-encryptie at rest (Supabase/PostgreSQL)

Toegangsbeheer

Row-Level Security (RLS) op databaseniveau — strikte isolatie per organisatie
Role-Based Access Control (RBAC) met drie niveaus: admin, manager, gebruiker
JWT-gebaseerde authenticatie met automatische token-verversing
Wachtwoorden gehasht met bcrypt (nooit leesbaar opgeslagen)
IBAN-maskering in de gebruikersinterface (alleen laatste 4 cijfers zichtbaar)

Logging en traceerbaarheid

Onwijzigbare audit logs — database-triggers blokkeren DELETE en UPDATE
Elke actie gelogd: uploads, goedkeuringen, SEPA-exports, verwijderingen
Vastgelegd per actie: gebruiker-ID, e-mail, actie, IP-adres, tijdstip, gewijzigde velden
Bewaartermijn: 7 jaar conform wettelijke bewaarplicht

Bestandsbeveiliging

Geüploade facturen in private storage buckets (alleen geauthenticeerde gebruikers)
Bestanden automatisch verwijderd na 30 dagen
SHA-256 hash-verificatie ter voorkoming van duplicaten en voor integriteitscontrole

Artikel 7 — Meldplicht datalekken

7.1 De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging en in ieder geval binnen 48 uur na ontdekking van een datalek dat betrekking heeft op de persoonsgegevens die onder deze Overeenkomst worden verwerkt.

7.2 De melding bevat ten minste:

De aard van het datalek, inclusief de categorieën en het geschatte aantal betrokkenen en gegevensrecords
De naam en contactgegevens van de functionaris gegevensbescherming of ander contactpunt
De waarschijnlijke gevolgen van het datalek
De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken

7.3 De Verwerker werkt volledig mee aan het onderzoek en de melding bij de Autoriteit Persoonsgegevens (indien nodig binnen 72 uur na ontdekking door de Verwerkingsverantwoordelijke).

Contactgegevens voor datalekken

Meldingen: privacy@refundely.com

Bereikbaar: 24/7 voor urgente beveiligingsincidenten

Artikel 8 — Rechten van betrokkenen

8.1 De Verwerker staat de Verwerkingsverantwoordelijke bij in het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG (artikelen 15 t/m 22), waaronder:

Recht op inzage (artikel 15)
Recht op rectificatie (artikel 16)
Recht op verwijdering (artikel 17)
Recht op beperking van verwerking (artikel 18)
Recht op dataportabiliteit (artikel 20)
Recht van bezwaar (artikel 21)

8.2 Het Refundely-platform biedt de Verwerkingsverantwoordelijke de mogelijkheid om zelfstandig:

Huurdergegevens in te zien via het invoicedashboard
Gegevens te corrigeren via het bewerkingsformulier
Individuele facturen en huurdergegevens te verwijderen
Alle organisatiegegevens te exporteren (dataportabiliteit)

8.3 Indien een betrokkene zich rechtstreeks tot de Verwerker wendt, verwijst de Verwerker deze naar de Verwerkingsverantwoordelijke en informeert zij de Verwerkingsverantwoordelijke hierover.

Artikel 9 — Bewaartermijnen en verwijdering

Gegevens	Bewaartermijn	Grondslag
Factuurbestanden (PDF's)	30 dagen na verwerking	Dataminimalisatie
Geëxtraheerde huurdergegevens	Tot verwijdering door Klant of beëindiging dienst	Uitvoering overeenkomst
Versleutelde IBAN-nummers	Tot verwijdering door Klant of beëindiging dienst	Uitvoering overeenkomst
SEPA-export gegevens	7 jaar	Wettelijke bewaarplicht (fiscaal)
Audit logs	7 jaar	Wettelijke bewaarplicht

9.2 Bij beëindiging van het abonnement worden alle persoonsgegevens van huurders binnen 30 dagen verwijderd, met uitzondering van gegevens waarvoor een wettelijke bewaarplicht geldt.

9.3 Verwijdering geschiedt via een volledige cascade-verwijdering: deposits, facturen, branches, bedrijfsinstellingen, profiel en authenticatiegegevens. Elke stap wordt geverifieerd.

Artikel 10 — Geheimhouding

10.1 De Verwerker behandelt alle persoonsgegevens als vertrouwelijk. Deze geheimhoudingsplicht geldt ook na beëindiging van deze Overeenkomst.

10.2 De Verwerker waarborgt dat medewerkers die toegang hebben tot persoonsgegevens een geheimhoudingsverklaring hebben ondertekend of onder een wettelijke geheimhoudingsplicht vallen.

10.3 De geheimhoudingsplicht is niet van toepassing voor zover verstrekking wettelijk verplicht is, mits de Verwerker de Verwerkingsverantwoordelijke hiervan vooraf op de hoogte stelt (voor zover wettelijk toegestaan).

Artikel 11 — Audit en controle

11.1 De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren (of te laten uitvoeren door een onafhankelijke derde) om naleving van deze Overeenkomst te controleren.

11.2 De Verwerker verleent medewerking aan dergelijke audits en stelt alle benodigde informatie ter beschikking.

11.3 Audits worden minimaal 30 dagen vooraf schriftelijk aangekondigd en vinden plaats tijdens reguliere kantooruren.

11.4 De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat de Verwerker in gebreke is gebleven.

11.5 Het Refundely-platform biedt een ingebouwde audit trail met onwijzigbare logbestanden die op elk moment door de Verwerkingsverantwoordelijke kunnen worden geraadpleegd via het instellingenmenu.

Artikel 12 — Aansprakelijkheid

12.1 De Verwerker is aansprakelijk voor schade die voortvloeit uit verwerkingen die in strijd zijn met deze Overeenkomst of de AVG, voor zover de Verwerker niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, of buiten of in strijd met de instructies van de Verwerkingsverantwoordelijke heeft gehandeld.

12.2 De aansprakelijkheid van de Verwerker is beperkt conform de bepalingen in de Algemene Voorwaarden van Refundely.

Artikel 13 — Internationale doorgifte

13.1 De Verwerker verwerkt persoonsgegevens primair binnen de Europese Economische Ruimte (EER).

13.2 Voor zover persoonsgegevens buiten de EER worden verwerkt (via sub-verwerkers), geschiedt dit uitsluitend:

Naar landen met een adequaatheidsbesluit van de Europese Commissie; of
Op basis van Standard Contractual Clauses (SCC's) zoals goedgekeurd door de Europese Commissie; of
Op basis van andere passende waarborgen conform artikel 46 AVG.

13.3 De AI-verwerking (Mistral AI) vindt volledig plaats binnen de EU (Frankrijk). Er worden geen persoonsgegevens buiten de EU verwerkt voor AI-doeleinden.

Artikel 14 — Slotbepalingen

14.1 Op deze Overeenkomst is Nederlands recht van toepassing.

14.2 Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de Verwerker.

14.3 Wijzigingen van deze Overeenkomst zijn slechts geldig indien schriftelijk overeengekomen tussen beide partijen.

14.4 Indien een bepaling van deze Overeenkomst nietig of vernietigbaar blijkt, tast dit de geldigheid van de overige bepalingen niet aan.

14.5 Deze Overeenkomst treedt in werking bij acceptatie van de Algemene Voorwaarden van het Refundely-platform.

Deze verwerkersovereenkomst is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Zie ook onze Privacyverklaring en Algemene Voorwaarden.

Vragen? Mail naar privacy@refundely.com