Verwerkersovereenkomst

Conform artikel 28 AVG | Laatst bijgewerkt: 27 april 2026

1. Partijen

Deze Verwerkersovereenkomst (hierna: "VO") is een aanvulling op de Algemene Voorwaarden en wordt aangegaan tussen:

Verwerkingsverantwoordelijke: De Klant (hierna: "Klant")
Verwerker: Hasecon, handelend onder de naam Exposentry (hierna: "Verwerker")

2. Onderwerp en duur

De verwerking vindt plaats in het kader van de Exposentry beveiligingsscanning-dienst. De duur van de verwerking is gelijk aan de looptijd van het abonnement of de eenmalige scan.

3. Aard en doel van de verwerking

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het uitvoeren van beveiligingsscans op door de Klant opgegeven domeinen, het genereren van rapporten, en het versturen van scanresultaten per e-mail.

4. Soort persoonsgegevens

Naam en e-mailadres van de Klant
Domeinnamen en bijbehorende scanresultaten
Technische gegevens gerelateerd aan de gescande domeinen (IP-adressen, certificaten, configuraties)

5. Categorieen betrokkenen

Medewerkers en contactpersonen van de Klant
Beheerders van de door de Klant opgegeven domeinen

6. Verplichtingen van de Verwerker

De Verwerker verbindt zich tot het volgende:

Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Klant.
Passende technische en organisatorische beveiligingsmaatregelen te treffen (art. 32 AVG).
Geen persoonsgegevens buiten de EER te verwerken zonder passende waarborgen.
Vertrouwelijkheid te waarborgen voor alle personen die toegang hebben tot de persoonsgegevens.
De Klant onverwijld te informeren over datalekken (art. 33 AVG).
Medewerking te verlenen aan verzoeken van betrokkenen (art. 15-22 AVG).

7. Sub-verwerkers

De Verwerker maakt gebruik van de volgende sub-verwerkers:

Sub-verwerker	Dienst	Locatie
Stripe, Inc.	Betalingsverwerking	VS (EU-VS DPF)
Resend	E-mailverzending	VS
Keycloak (Hasecon)	Authenticatie	NL (eigen beheer)
Hasecon (eigen beheer)	Serverhosting	Nederland

De Verwerker zal de Klant vooraf informeren over wijzigingen in sub-verwerkers. De Klant heeft het recht bezwaar te maken tegen nieuwe sub-verwerkers.

8. Beveiligingsmaatregelen

Versleutelde verbindingen (TLS) voor alle datatransmissie
Authenticatie en autorisatie via Keycloak (OIDC)
Data-isolatie per klant (aparte OpenKAT-organisatie per domein)
Toegangscontrole op basis van rollen
Gestructureerde logging en monitoring
Regelmatige beveiligingsupdates

9. Teruggave en vernietiging

Na beeindiging van de overeenkomst zal de Verwerker, naar keuze van de Klant, alle persoonsgegevens retourneren of vernietigen, tenzij bewaring wettelijk verplicht is. De Klant kan een exportverzoek indienen via scan@exposentry.io.

10. Audit

De Klant heeft het recht om, met redelijke vooraankondiging en op eigen kosten, audits uit te voeren of te laten uitvoeren om de naleving van deze Verwerkersovereenkomst te verifieren.