SlimService
SlimService
Duidelijk. Snel live. Geen gedoe.
Terug naar home

Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 2026-02-04

Deze verwerkersovereenkomst (“DPA”) vormt een bijlage bij en maakt integraal onderdeel uit van de overeenkomst en de algemene voorwaarden van SlimService. De DPA is van toepassing zodra SlimService persoonsgegevens verwerkt namens een Klant.

Verwerker: Z.Fernandes h.o.d.n. SlimService (eenmanszaak), Fazantstraat 101 C, 3083ZG Rotterdam, Nederland, KvK 93320132, btw-id NL005015462B59, contact: hello@slimservice.nl.

1. Definities

In deze DPA hebben termen zoals “persoonsgegevens”, “verwerking”, “verwerkingsverantwoordelijke”, “verwerker”, “betrokkene” en “datalek” de betekenis zoals in de toepasselijke privacywetgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG).

2. Rollen en toepasselijkheid

  • De Klant treedt op als verwerkingsverantwoordelijke (“Controller”).
  • SlimService treedt op als verwerker (“Processor”) voor zover zij persoonsgegevens verwerkt namens de Klant.
  • Deze DPA is van toepassing op alle verwerkingen die SlimService uitvoert in het kader van de dienstverlening aan de Klant, voor zover SlimService daarbij als verwerker optreedt.

3. Onderwerp, aard en duur van de verwerking

SlimService verwerkt persoonsgegevens namens de Klant ten behoeve van WhatsApp intake, automatisering van workflows en het technisch beheren, hosten en onderhouden van de oplossing. De verwerking duurt gedurende de looptijd van de overeenkomst en eindigt wanneer de overeenkomst eindigt, behoudens een noodzakelijke afwikkelingsperiode conform artikel 10.

4. Doeleinden van de verwerking

  • Het afhandelen van intake en klantvragen via WhatsApp.
  • Het plannen, bevestigen en wijzigen van afspraken en/of offertes, inclusief notificaties en opvolging.
  • Support, onderhoud, incidentafhandeling en beveiligingslogging.
  • Optioneel: geaggregeerde rapportage, uitsluitend in niet-herleidbare vorm, tenzij anders overeengekomen.

5. Categorieën persoonsgegevens en betrokkenen

Afhankelijk van de inrichting verwerkt SlimService (standaard) de volgende categorieën gegevens namens de Klant:

  • Naam en telefoonnummer.
  • WhatsApp metadata (bijvoorbeeld afleverstatus, timestamps en technische statusinformatie).
  • Bedrijfsinformatie die relevant is voor de dienstverlening (zoals openingstijden en dienstaanbod) voor zover dit persoonsgegevens bevat.
  • Technische logs (beperkte metadata), uitsluitend voor beveiliging en werking.
  • Optioneel: WhatsApp-berichtinhoud uitsluitend wanneer de Klant expliciet content-logging afneemt en dit schriftelijk is overeengekomen.

Betrokkenen zijn in beginsel: (a) eindklanten en prospects van de Klant; en (b) geautoriseerde medewerkers en contactpersonen van de Klant.

6. Instructies van de Klant

SlimService verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, voor zover noodzakelijk voor de uitvoering van de overeenkomst. Indien SlimService van oordeel is dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving, stelt SlimService de Klant daarvan onverwijld op de hoogte.

7. Vertrouwelijkheid

SlimService waarborgt dat personen die onder haar gezag persoonsgegevens verwerken zich hebben verbonden tot geheimhouding of een passende wettelijke geheimhoudingsplicht hebben.

8. Beveiligingsmaatregelen

SlimService treft passende technische en organisatorische beveiligingsmaatregelen, afgestemd op de aard van de verwerking en de risico’s. Deze maatregelen omvatten onder meer:

  • Toegangsbeperking op basis van autorisatie en het principe van minimale toegang (least privilege).
  • Tweefactorauthenticatie waar dit door leveranciers en systemen wordt ondersteund.
  • Versleuteling tijdens transport (TLS) voor relevante verbindingen.
  • Beheer van geheimen en sleutels op een wijze die voorkomt dat credentials in broncode of publieke omgevingen terechtkomen.
  • Monitoring en logging gericht op beveiliging en incidentdetectie, met lean retentie.
  • Herstelmaatregelen en back-ups waar dit van toepassing is op de gebruikte infrastructuur.

9. Inschakeling van subverwerkers

SlimService kan subverwerkers inschakelen voor uitvoering van de dienstverlening. SlimService zorgt ervoor dat subverwerkers minimaal dezelfde verplichtingen op zich nemen als in deze DPA. SlimService hanteert als uitgangspunt dat substantiële wijzigingen in kernsubverwerkers redelijkerwijs vooraf worden gecommuniceerd.

9.1 Kernsubverwerkers (basisstack)

  • n8n Cloud (EU-regio Frankfurt), voor workflow-automatisering in de operationele dienstverlening.
  • Twilio, als standaard WhatsApp BSP.
  • Namecheap Private Email, voor e-mailinfrastructuur.
  • Netlify (alleen marketingwebsite) en Plausible Analytics (cookieless), voor websitebeheer en analyse, voor zover dit persoonsgegevens betreft.
  • Mollie, uitsluitend wanneer betalingen of betaalverzoeken onderdeel zijn van de gekozen inrichting.

9.2 Conditionele subverwerkers (alleen indien door Klant geactiveerd)

  • Google Drive en overige gekoppelde tools uitsluitend wanneer de Klant deze koppeling expliciet activeert of vereist voor de oplossing.
  • 360dialog uitsluitend als uitzondering wanneer de Klant een directe Meta-partner vereist met vaste maandfee per nummer, en migratie schriftelijk is overeengekomen.

10. Bewaring, teruggave en verwijdering

SlimService hanteert een lean bewaarbeleid en verwerkt standaard geen WhatsApp-berichtinhoud. De volgende uitgangspunten gelden:

  • Operationele en security logs (metadata-only): maximaal 90 dagen.
  • Optionele geaggregeerde, niet-herleidbare rapportagegegevens: maximaal 24 maanden.
  • Na einde overeenkomst: teruggave of export van beschikbare klantdata op verzoek, gevolgd door verwijdering binnen maximaal 30 dagen, tenzij een wettelijke verplichting of lopend geschil langere bewaring noodzakelijk maakt.

11. Assistentie aan de Klant

SlimService verleent, binnen redelijke grenzen en voor zover passend binnen de dienstverlening, assistentie bij: (a) verzoeken van betrokkenen; (b) beveiligingsincidenten; en (c) het uitvoeren van een DPIA of overleg met toezichthouders, voor zover de verwerking dat vereist. Indien de assistentie buiten de overeengekomen scope valt, kan SlimService hiervoor een redelijk tarief hanteren.

12. Datalekken

SlimService meldt een datalek aan de Klant zo snel mogelijk en zonder onredelijke vertraging nadat SlimService daarvan kennis heeft genomen. De melding bevat, voor zover beschikbaar, informatie over de aard van het incident, de vermoedelijke gevolgen en de genomen of voorgenomen maatregelen.

13. Audit en informatie

De Klant kan, indien redelijk en noodzakelijk, informatie opvragen om naleving van deze DPA aan te tonen. SlimService kan hiervoor in eerste instantie volstaan met relevante documentatie, verklaringen of rapportages. Een audit op locatie vindt uitsluitend plaats na redelijke voorafgaande aankondiging, tijdens kantooruren, met minimale verstoring van bedrijfsvoering en onder passende vertrouwelijkheid.

14. Doorgifte buiten de EER

SlimService streeft naar verwerking binnen de EER. Indien doorgifte buiten de EER plaatsvindt via leveranciers, hanteert SlimService passende waarborgen zoals SCC’s of andere wettelijk erkende mechanismen, afhankelijk van de leverancier en de verwerking.

15. Slotbepalingen

Indien bepalingen in deze DPA ongeldig blijken, blijven de overige bepalingen onverminderd van kracht. Deze DPA is aanvullend op de algemene voorwaarden. Bij tegenstrijdigheden prevaleert deze DPA uitsluitend voor zover het verplichtingen omtrent verwerking van persoonsgegevens betreft.