Winkelwagen

Nog geen items in de winkelwagen

Verwerkingsovereenkomst SMT

Laatste update: 15 juni 2026

Verwerkersovereenkomst ANEMA SMT

Versie: 1.0
Datum: 15-06-2026
Status: definitief

Contractverwijzing: De verwerkersovereenkomst ANEMA SMT, versie 1.0 d.d. 15-06-2026, maakt onderdeel uit van de hoofd- of SaaS-overeenkomst.

Deze verwerkersovereenkomst ("Verwerkersovereenkomst") hoort bij de hoofd- of SaaS-overeenkomst tussen ANEMA en de opdrachtgever die gebruikmaakt van ANEMA SMT.

De opdrachtgever geldt als Verwerkingsverantwoordelijke. ANEMA, gevestigd te Heerenveen, ingeschreven bij de Kamer van Koophandel onder nummer 62200151, geldt als Verwerker.

Verwerkingsverantwoordelijke en Verwerker worden hierna afzonderlijk aangeduid als "Partij" en gezamenlijk als "Partijen".

 

1. Doel en reikwijdte

1.1 Deze Verwerkersovereenkomst regelt de verwerking van persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke in het kader van het gebruik, beheer, onderhoud, hosting, beveiliging en ondersteuning van ANEMA SMT.

1.2 Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van Verwerkingsverantwoordelijke en uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, waaronder begrepen de hoofd- of SaaS-overeenkomst, deze Verwerkersovereenkomst en schriftelijke instructies die Verwerkingsverantwoordelijke later geeft.

1.3 Verwerker bepaalt niet zelfstandig het doel van de verwerking van persoonsgegevens die namens Verwerkingsverantwoordelijke binnen ANEMA SMT worden verwerkt. Voor zover ANEMA persoonsgegevens verwerkt voor eigen administratieve, facturatie-, beveiligings-, bewijs- of geschilbeslechtingsdoeleinden, treedt ANEMA daarvoor op als zelfstandig verwerkingsverantwoordelijke.

1.4 Indien Verwerker van mening is dat een instructie in strijd is met de AVG of andere toepasselijke privacywetgeving, informeert Verwerker Verwerkingsverantwoordelijke daarover zo spoedig mogelijk.

 

2. Omschrijving van de verwerking

2.1 De aard, het doel, de duur, de categorieën persoonsgegevens, de categorieën betrokkenen en de verwerkingslocaties zijn opgenomen in Bijlage 1.

2.2 De verwerking bestaat in ieder geval uit het opslaan, raadplegen, wijzigen, ordenen, beveiligen, back-uppen, herstellen, ondersteunen, verwijderen en exporteren van gegevens binnen of ten behoeve van ANEMA SMT.

2.3 Verwerker verwerkt persoonsgegevens zolang de hoofd- of SaaS-overeenkomst van kracht is, en daarna uitsluitend voor zover noodzakelijk voor afronding, export, verwijdering, wettelijke bewaarplichten, beveiliging, administratie of geschilbeslechting.

 

3. Beveiliging

3.1 Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onrechtmatige verwerking, onbevoegde toegang, ongeoorloofde wijziging en ongeoorloofde verstrekking.

3.2 Deze maatregelen houden rekening met de stand van de techniek, uitvoeringskosten, aard, omvang, context en doelen van de verwerking en de risico's voor betrokkenen.

3.3 De beveiligingsmaatregelen omvatten, waar passend:

  • toegangsbeveiliging en autorisatie op basis van rollen of noodzaak;
  • gebruik van sterke wachtwoorden en waar beschikbaar meerfactorauthenticatie;
  • logging van relevante systeem- en beheeractiviteiten;
  • beveiliging van verbindingen met passende encryptie;
  • periodieke back-ups en herstelmogelijkheden;
  • maatregelen voor beschikbaarheid, integriteit en vertrouwelijkheid;
  • beperking van toegang tot productiegegevens tot bevoegde personen;
  • scheiding van omgevingen waar dit redelijkerwijs passend is;
  • patching, onderhoud en beheer van systemen;
  • afspraken met ingeschakelde derden over beveiliging en vertrouwelijkheid.

3.4 Verwerker mag beveiligingsmaatregelen wijzigen, mits het beschermingsniveau daardoor niet wezenlijk afneemt.

 

4. Geheimhouding

4.1 Verwerker zorgt ervoor dat personen die onder zijn gezag toegang hebben tot persoonsgegevens, gebonden zijn aan een passende geheimhoudingsplicht.

4.2 De geheimhoudingsplicht geldt voor personeel, ingehuurde krachten, adviseurs en andere derden die door Verwerker worden ingeschakeld en toegang kunnen krijgen tot persoonsgegevens of vertrouwelijke data.

4.3 Verwerker verstrekt persoonsgegevens niet aan derden, behalve voor zover dit nodig is voor uitvoering van de overeenkomst, op instructie van Verwerkingsverantwoordelijke, op grond van deze Verwerkersovereenkomst of op grond van een wettelijke verplichting.

 

5. Subverwerkers

5.1 Verwerker is gerechtigd derden in te schakelen voor hosting, beheer, onderhoud, beveiliging, monitoring, back-ups, e-mail, logging, support of andere ondersteuning van ANEMA SMT, voor zover dit noodzakelijk of redelijkerwijs passend is voor de uitvoering, beveiliging of continuïteit van de dienstverlening.

5.2 Verwerker draagt ervoor zorg dat met dergelijke derden passende schriftelijke afspraken worden gemaakt ter bescherming van persoonsgegevens en vertrouwelijke data. Deze afspraken bevatten ten minste verplichtingen over vertrouwelijkheid, beveiliging, verwerking volgens instructies en ondersteuning bij AVG-verplichtingen.

5.3 De bij aanvang bekende subverwerkers staan vermeld in Bijlage 2.

5.4 Verwerker informeert Verwerkingsverantwoordelijke over wezenlijke wijzigingen in subverwerkers. Verwerkingsverantwoordelijke mag tegen een nieuwe subverwerker gemotiveerd bezwaar maken binnen veertien (14) dagen na kennisgeving, indien de inzet van die subverwerker aantoonbaar leidt tot een wezenlijk privacy- of beveiligingsrisico.

5.5 Indien Verwerkingsverantwoordelijke tijdig en gemotiveerd bezwaar maakt, treden Partijen in overleg over een redelijke oplossing. Als geen redelijke oplossing mogelijk is, mag Verwerkingsverantwoordelijke het betrokken onderdeel van de overeenkomst beëindigen voor zover de verwerking door de betreffende subverwerker noodzakelijk is.

5.6 Verwerker blijft tegenover Verwerkingsverantwoordelijke verantwoordelijk voor de nakoming van verplichtingen door subverwerkers.

 

6. Doorgifte en locatie van verwerking

6.1 Verwerking vindt in beginsel plaats binnen de Europese Economische Ruimte (EER), tenzij in Bijlage 1 of Bijlage 2 anders is vermeld.

6.2 Verwerker verwerkt persoonsgegevens buiten de EER alleen indien daarvoor een geldige grondslag bestaat op grond van de AVG, zoals een adequaatheidsbesluit, Standard Contractual Clauses of een ander toegestaan doorgiftemechanisme.

6.3 Verwerker informeert Verwerkingsverantwoordelijke op verzoek over de landen waar persoonsgegevens worden verwerkt, voor zover Verwerker daarover redelijkerwijs beschikt.

 

7. Datalekken en beveiligingsincidenten

7.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, en voor zover redelijkerwijs mogelijk uiterlijk binnen vierentwintig (24) uur na ontdekking, over een inbreuk in verband met persoonsgegevens die betrekking heeft op de verwerking voor Verwerkingsverantwoordelijke.

7.2 De melding bevat, voor zover op dat moment bekend:

  • de aard van de inbreuk;
  • de categorieën en geschatte aantallen betrokkenen;
  • de categorieën en geschatte aantallen persoonsgegevens;
  • de waarschijnlijke gevolgen;
  • de genomen of voorgestelde maatregelen;
  • een contactpunt voor nadere informatie.

7.3 Verwerker neemt redelijke maatregelen om de gevolgen van een datalek te beperken en verdere ongeoorloofde verwerking te voorkomen.

7.4 Verwerkingsverantwoordelijke blijft verantwoordelijk voor eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen, tenzij Partijen schriftelijk anders afspreken.

 

8. Verzoeken van betrokkenen

8.1 Indien een betrokkene rechtstreeks contact opneemt met Verwerker over uitoefening van AVG-rechten, zoals inzage, rectificatie, verwijdering, beperking, overdraagbaarheid of bezwaar, verwijst Verwerker de betrokkene waar mogelijk naar Verwerkingsverantwoordelijke.

8.2 Verwerker verleent Verwerkingsverantwoordelijke redelijke medewerking bij het afhandelen van verzoeken van betrokkenen, voor zover Verwerkingsverantwoordelijke deze verzoeken niet zelfstandig via ANEMA SMT kan afhandelen.

8.3 Indien aanvullende werkzaamheden nodig zijn die buiten de normale dienstverlening vallen, kunnen Partijen daarvoor redelijke kosten of nadere afspraken overeenkomen.

 

9. Medewerking bij AVG-verplichtingen

9.1 Verwerker verleent Verwerkingsverantwoordelijke redelijke medewerking bij het nakomen van verplichtingen op grond van de AVG, voor zover deze verplichtingen verband houden met de verwerking door Verwerker.

9.2 Deze medewerking kan betrekking hebben op beveiliging, datalekken, gegevensbeschermingseffectbeoordelingen, voorafgaande raadpleging van toezichthouders en informatieverzoeken van toezichthouders.

9.3 Verwerker is niet verplicht juridisch advies te geven aan Verwerkingsverantwoordelijke.

 

10. Bewaartermijnen, export en verwijdering

10.1 Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de uitvoering van de overeenkomst of dan wettelijk is toegestaan of verplicht.

10.2 Tijdens de looptijd van de overeenkomst kan Verwerkingsverantwoordelijke gegevens exporteren via de daarvoor beschikbare functionaliteiten van ANEMA SMT, voor zover deze functionaliteiten beschikbaar zijn.

10.3 Na beëindiging van de overeenkomst worden persoonsgegevens en data verwijderd of geanonimiseerd overeenkomstig de bewaartermijnen in Bijlage 1, behoudens voor zover bewaring noodzakelijk is op grond van wettelijke verplichtingen, beveiliging, administratie, back-ups, bewijsvoering of geschilbeslechting.

10.4 Back-ups kunnen nog gedurende de reguliere back-upcyclus persoonsgegevens bevatten. Verwerker zorgt ervoor dat back-ups niet actief worden gebruikt, behalve voor herstel-, beveiligings- of continuïteitsdoeleinden.

10.5 Op verzoek van Verwerkingsverantwoordelijke verleent Verwerker redelijke medewerking aan export of overdracht van data, voor zover technisch mogelijk en voor zover dit verzoek tijdig voor of kort na beëindiging wordt gedaan.

 

11. Controle en audit

11.1 Verwerker stelt aan Verwerkingsverantwoordelijke alle informatie beschikbaar die redelijkerwijs nodig is om aan te tonen dat Verwerker de verplichtingen uit deze Verwerkersovereenkomst nakomt.

11.2 Verwerkingsverantwoordelijke mag maximaal eenmaal per kalenderjaar een audit laten uitvoeren door een onafhankelijke deskundige, mits:

  • Verwerkingsverantwoordelijke vooraf een redelijk auditplan verstrekt;
  • de audit tijdens normale kantooruren plaatsvindt;
  • de bedrijfsvoering, beveiliging en vertrouwelijkheid van Verwerker en andere klanten niet onredelijk worden verstoord;
  • de auditor een passende geheimhoudingsplicht aanvaardt;
  • Verwerkingsverantwoordelijke de eigen kosten en redelijke kosten van Verwerker draagt, tenzij uit de audit een wezenlijke tekortkoming blijkt.

11.3 Verwerker mag in plaats van of naast een audit bestaande rapportages, certificeringen, beleidsdocumenten of verklaringen verstrekken, voor zover deze voldoende inzicht geven in de relevante maatregelen.

 

12. Aansprakelijkheid

12.1 De aansprakelijkheid van Partijen onder deze Verwerkersovereenkomst volgt de aansprakelijkheidsregeling uit de hoofd- of SaaS-overeenkomst, tenzij dwingend recht anders bepaalt.

12.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de verwerking, de juistheid van instructies, de informatie aan betrokkenen, de grondslag voor verwerking en de inhoud van de ingevoerde gegevens.

12.3 Verwerker is verantwoordelijk voor naleving van de verplichtingen die in deze Verwerkersovereenkomst uitdrukkelijk aan Verwerker zijn opgelegd.

 

13. Duur en einde

13.1 Deze Verwerkersovereenkomst treedt in werking op de datum van ondertekening of, indien eerder, op het moment dat Verwerker persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke.

13.2 Deze Verwerkersovereenkomst eindigt automatisch wanneer de hoofd- of SaaS-overeenkomst eindigt en alle persoonsgegevens overeenkomstig artikel 10 zijn verwijderd, geanonimiseerd of teruggegeven.

13.3 Bepalingen die naar hun aard bestemd zijn om voort te duren, waaronder geheimhouding, beveiliging, aansprakelijkheid en verwijdering, blijven na einde van kracht zolang dat nodig is.

 

14. Rangorde

14.1 Bij strijd tussen deze Verwerkersovereenkomst en de hoofd- of SaaS-overeenkomst geldt voor de verwerking van persoonsgegevens deze Verwerkersovereenkomst.

14.2 Bij strijd tussen deze Verwerkersovereenkomst en dwingende privacywetgeving geldt de dwingende privacywetgeving.

 

15. Versie en aanvaarding

15.1 Deze Verwerkersovereenkomst maakt onderdeel uit van de hoofd- of SaaS-overeenkomst tussen Partijen.

15.2 De versie van deze Verwerkersovereenkomst die gold op het moment van ondertekening of aanvaarding van de hoofd- of SaaS-overeenkomst, is van toepassing op de verwerking van persoonsgegevens binnen ANEMA SMT.

15.3 ANEMA kan deze Verwerkersovereenkomst wijzigen indien dit noodzakelijk is vanwege wijzigingen in wet- en regelgeving, technische inrichting, beveiligingsmaatregelen of subverwerkers. ANEMA informeert Verwerkingsverantwoordelijke over wezenlijke wijzigingen.

15.4 Indien een wijziging leidt tot een wezenlijke verslechtering van de bescherming van persoonsgegevens, kan Verwerkingsverantwoordelijke daartegen gemotiveerd bezwaar maken binnen veertien (14) dagen na kennisgeving.

 

Bijlage 1 - Verwerkingsspecificatie

1. Doel van de verwerking

Het leveren, beheren, beveiligen, onderhouden en ondersteunen van ANEMA SMT, waaronder:

  • gebruikersbeheer en authenticatie;
  • winkel-, organisatie-, personeels-, planning-, omzet-, voorraad-, bestel-, support- en administratieve functionaliteiten voor zover gebruikt;
  • technische ondersteuning, foutanalyse, beveiliging, logging, back-ups en herstel;
  • communicatie met gebruikers over toegang, systeemmeldingen en support.

2. Aard van de verwerking

Opslaan, verzamelen, vastleggen, ordenen, structureren, raadplegen, gebruiken, wijzigen, beveiligen, exporteren, verwijderen, back-uppen, herstellen en analyseren voor technische en supportdoeleinden.

3. Categorieën betrokkenen

  • medewerkers en oud-medewerkers van Verwerkingsverantwoordelijke;
  • gebruikers en beheerders van ANEMA SMT;
  • filialen, winkels, afdelingen, managers en contactpersonen;
  • leveranciers en zakelijke contactpersonen;
  • klanten of bezoekers, indien Verwerkingsverantwoordelijke deze gegevens in ANEMA SMT invoert;
  • sollicitanten, trainees of deelnemers, indien de betreffende modules worden gebruikt;
  • personen die voorkomen in support-, log- of communicatiegegevens.

4. Categorieën persoonsgegevens

  • naam, voornaam, achternaam, initialen;
  • zakelijke contactgegevens, zoals e-mailadres, telefoonnummer en vestiging;
  • accountgegevens, gebruikersnaam, rollen, rechten en instellingen;
  • authenticatiegegevens, zoals wachtwoordhashes, sessiegegevens, 2FA-status en beveiligingsinstellingen;
  • personeels- en planningsgegevens, zoals functie, afdeling, beschikbaarheid, rooster, uren, verlof, prestaties of evaluatiegegevens;
  • bestel-, voorraad-, omzet-, taak-, opleidings-, support- en administratieve gegevens;
  • loggegevens, zoals IP-adres, tijdstip, apparaat- of browsergegevens, acties en foutmeldingen;
  • communicatiegegevens, zoals supportvragen, opmerkingen en systeemberichten;
  • overige gegevens die Verwerkingsverantwoordelijke zelf in ANEMA SMT invoert.

5. Bijzondere persoonsgegevens

ANEMA SMT is niet bedoeld voor de verwerking van bijzondere categorieën persoonsgegevens, strafrechtelijke persoonsgegevens of nationale identificatienummers, tenzij Partijen dit uitdrukkelijk schriftelijk zijn overeengekomen en passende aanvullende maatregelen zijn vastgesteld. Verwerkingsverantwoordelijke zal dergelijke gegevens niet in ANEMA SMT invoeren, tenzij hiervoor een geldige grondslag bestaat en ANEMA daarmee vooraf schriftelijk heeft ingestemd.

6. Bewaartermijnen

De standaard bewaartermijn is de looptijd van de hoofd- of SaaS-overeenkomst. Na beëindiging worden gegevens verwijderd of geanonimiseerd overeenkomstig onderstaande bewaartermijnen, behoudens wettelijke bewaarplichten, financiële of administratieve bewaartermijnen, beveiliging, logging, back-ups en continuïteit, bewijsvoering of geschilbeslechting, of andersluidende schriftelijke instructies van Verwerkingsverantwoordelijke.

Gegevenssoort Bewaartermijn
Account- en gebruikersgegevens Gedurende de looptijd van de overeenkomst en tot maximaal 30 dagen na beëindiging, tenzij langere bewaring noodzakelijk is voor administratie, beveiliging of geschilbeslechting.
Personeels- en planningsgegevens Gedurende de looptijd van de overeenkomst, tenzij eerder verwijderd of geanonimiseerd op instructie van Verwerkingsverantwoordelijke.
Omzet-, voorraad- en bestelgegevens Gedurende de looptijd van de overeenkomst, tenzij anders schriftelijk overeengekomen.
Supportgegevens Tot maximaal 24 maanden na afhandeling, tenzij langere bewaring noodzakelijk is voor bewijsvoering of geschilbeslechting.
Logging en beveiligingsgegevens Tot maximaal 12 maanden, tenzij langere bewaring noodzakelijk is voor beveiliging, onderzoek of geschilbeslechting.
Back-ups Conform reguliere back-upcyclus, tot maximaal 90 dagen, tenzij langere bewaring noodzakelijk is voor herstel, beveiliging, bewijsvoering of geschilbeslechting.

7. Locatie van verwerking

Verwerking vindt plaats binnen de Europese Economische Ruimte, tenzij in Bijlage 2 anders is vermeld of Partijen schriftelijk anders overeenkomen.

 

Bijlage 2 - Subverwerkers

De volgende subverwerkers zijn bij aanvang bekend of kunnen worden gebruikt.

Subverwerker Dienst Verwerkingslocatie Doorgifte buiten EER
ANEMA Hosting, opslag, netwerk, back-ups Nederland Nee
Microsoft Ireland Operations Ltd. / Microsoft 365 Transactionele e-mail en systeemmeldingen Europa Nee, voor data-at-rest binnen de getoonde Microsoft 365-diensten; beperkte doorgifte kan plaatsvinden conform Microsoft DPA, EU Data Boundary-documentatie en toepasselijke doorgiftemechanismen
ANEMA Monitoring, logging, foutanalyse Nederland Nee
Hotjar Analyse Ierland, Europa Nee
ANEMA Back-upopslag en herstelvoorzieningen Nederland Nee

 

Bijlage 3 - Beveiligingsmaatregelen

  1. Toegangsbeheer met persoonlijke accounts en rollen/rechten.
  2. Beperking van beheerrechten tot bevoegde personen.
  3. Passende wachtwoord- en authenticatiemaatregelen.
  4. Versleutelde verbindingen voor toegang tot de applicatie waar technisch passend.
  5. Back-ups en herstelprocedures.
  6. Logging en monitoring van relevante beheer- en beveiligingsactiviteiten.
  7. Patch- en updatebeheer voor relevante systemen.
  8. Beperkte toegang tot productiegegevens voor support en beheer.
  9. Geheimhoudingsafspraken met personeel en ingeschakelde derden.
  10. Incidentprocedure voor beveiligingsincidenten en datalekken.
  11. Scheiding van klanten, gebruikers of autorisaties binnen de applicatie waar passend.
  12. Periodieke beoordeling van beveiligingsmaatregelen.

 

Publicatienotitie: dit document moet voor publicatie worden aangevuld met een volledig ingevulde subverwerkersbijlage.

Klaar voor een samenwerking?

Vul het contactformulier in of bel ons direct

Naar het contactformulier     Direct bellen