Verwerkersovereenkomst
Laatst bijgewerkt op 26 mei 2026.
Deze verwerkersovereenkomst (hierna: DPA) is een addendum bij de overeenkomst tussen de klant en GRIP Facility B.V. inzake het gebruik van CleanOps. De DPA voldoet aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).
1. Partijen
- Verwerker: GRIP Facility B.V., gevestigd te Nieuwe Hemweg 48, 1013 CX Amsterdam, ingeschreven bij de Kamer van Koophandel onder nummer 65069463, als aanbieder van de CleanOps-applicatie.
- Verwerkingsverantwoordelijke: de klant zoals genoemd in de hoofdovereenkomst.
2. Onderwerp van de verwerking
De verwerking betreft het uitvoeren van de CleanOps-overeenkomst: het hosten, verwerken en beschikbaar stellen van calculatie-, contract- en objectdata die de klant in CleanOps invoert.
3. Aard, doel en duur
De verwerking heeft tot doel:
- het leveren van de CleanOps-applicatie en bijbehorende modules
- support en incident-afhandeling
- facturatie en accountbeheer
De verwerking loopt zolang de hoofdovereenkomst van kracht is, plus een uitloopperiode van 30 dagen voor lees-toegang en data-export.
4. Soorten persoonsgegevens
- Bedrijfsgegevens (rechtspersoon, KvK)
- Contactgegevens van medewerkers (naam, functie, e-mail, telefoon)
- Gebruikersaccounts (inlognaam, gehasht wachtwoord, rol)
- Operationele data (objecten, ruimtes, calculaties, contracten)
Er worden geen bijzondere categorieen persoonsgegevens verwerkt in de zin van AVG artikel 9.
5. Categorieen betrokkenen
- Medewerkers van de klant met toegang tot CleanOps
- Contactpersonen bij eindopdrachtgevers van de klant, voor zover deze in CleanOps worden vastgelegd
6. Verplichtingen verwerker
- De verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke.
- De verwerker treft passende technische en organisatorische beveiligingsmaatregelen conform ISO 27001.
- Personeel met toegang tot persoonsgegevens is gebonden aan een geheimhoudingsplicht.
- De verwerker stelt de verwerkingsverantwoordelijke binnen 48 uur op de hoogte van een datalek waarbij persoonsgegevens van de klant betrokken zijn.
- De verwerker werkt mee aan verzoeken van betrokkenen die de klant ontvangt op grond van AVG-rechten.
7. Sub-processors
De klant geeft algemene toestemming voor de inschakeling van sub-processors. Wijzigingen in de lijst van sub-processors kondigt CleanOps minimaal 30 dagen vooraf aan, waarbij de klant het recht heeft om gemotiveerd bezwaar te maken. Bij gegrond bezwaar zoekt CleanOps in overleg een passend alternatief, of de klant kan het contract beeindigen.
| Sub-processor | Dienst | Locatie |
|---|---|---|
| Xynta | WordPress- en applicatie-hosting | Nederland |
| Zoho Desk | Support- en sales-mail | EU (Frankfurt) |
| Google (GA4) | Bezoekersanalyse | EU-data-residency |
| Microsoft (Clarity) | Gedragsanalyse en sessie-replays | EU |
8. Beveiligingsmaatregelen
- Encryptie in transit via TLS 1.3
- Encryptie in rust via AES-256 voor klantdatabases
- Tweefactor-authenticatie verplicht voor alle admin- en supportaccounts
- Audit-trail op data-toegang en wijzigingen
- Jaarlijkse externe penetration-test
- Logische scheiding tussen klantomgevingen (multi-tenant met tenant-isolatie)
9. Audit-rechten
De klant heeft het recht om eenmaal per kalenderjaar, op eigen kosten en met een redelijke aankondigingstermijn van minimaal 4 weken, een audit uit te laten voeren op de naleving van deze DPA.
10. Beeindiging
Na beeindiging van de hoofdovereenkomst draagt CleanOps de persoonsgegevens binnen 30 dagen over of vernietigt deze, naar keuze van de klant. CleanOps levert op verzoek een schriftelijke bevestiging van vernietiging. Wettelijke bewaarplichten blijven onverlet.
11. Aansprakelijkheid en geschillen
De aansprakelijkheids- en geschillenbepalingen uit de hoofdovereenkomst en de algemene voorwaarden zijn onverkort van toepassing op deze DPA.