Verwerkersovereenkomst (DPA)

Bijlage bij de Algemene Voorwaarden van Exposentry | Laatst bijgewerkt: 4 juni 2026

Deze Verwerkersovereenkomst ("DPA") is van toepassing wanneer Hasecon bij de uitvoering van de Exposentry-dienst persoonsgegevens verwerkt namens de Klant, en maakt deel uit van de overeenkomst tussen partijen. Begrippen die in de AVG zijn gedefinieerd, hebben in deze DPA dezelfde betekenis.

1. Partijen en rolverdeling

Deze DPA ziet uitsluitend op de scandata: persoonsgegevens die in de uitkomsten van een Scan kunnen voorkomen. Voor accountgegevens is Hasecon zelfstandig verwerkingsverantwoordelijke; daarop is de Privacyverklaring van toepassing, niet deze DPA.

2. Onderwerp en duur

Hasecon verwerkt scandata uitsluitend ten behoeve van het uitvoeren van de Dienst voor de Klant. Deze DPA geldt zolang Hasecon namens de Klant scandata verwerkt en eindigt wanneer de verwerking eindigt en de gegevens conform artikel 9 zijn verwijderd of teruggegeven.

3. Aard en doel van de verwerking; categorieën

OnderdeelOmschrijving
DoelGeautomatiseerde beveiligingsscanning van door de Klant gevalideerde domeinen en het opstellen van rapporten
Soort verwerkingVerzamelen, analyseren, vastleggen, opslaan, en aan de Klant beschikbaar stellen
Categorieën betrokkenenPersonen van wie gegevens in de gescande domeinen/infrastructuur voorkomen (bv. medewerkers, beheerders)
Categorieën persoonsgegevensOnder meer: e-mailadressen, namen, technische identifiers, registratiegegevens (WHOIS), en wat overigens in scandata wordt aangetroffen
Bijzondere categorieënNiet beoogd; de Klant zorgt ervoor geen bijzondere persoonsgegevens onnodig in scope te brengen

4. Instructies

Hasecon verwerkt scandata uitsluitend op basis van gedocumenteerde instructies van de Klant, waaronder de instructie die besloten ligt in het gebruik van de Dienst en de keuze van de te scannen domeinen. Hasecon stelt de Klant op de hoogte indien een instructie naar haar oordeel in strijd is met de AVG, behoudens een wettelijk verbod daarop.

5. Vertrouwelijkheid

Hasecon zorgt dat personen die toegang hebben tot de scandata tot geheimhouding gehouden zijn.

6. Beveiliging

Hasecon treft passende technische en organisatorische maatregelen (art. 32 AVG), waaronder versleuteling tijdens transport (TLS), toegangscontrole en authenticatie, logische scheiding van scandata per Klant, monitoring en logging, en regelmatige updates. Een nadere specificatie is opgenomen in Bijlage A.

7. Subverwerkers

De Klant verleent Hasecon algemene toestemming voor het inschakelen van subverwerkers. De actuele subverwerkers zijn opgenomen in Bijlage B. Hasecon legt elke subverwerker ten minste dezelfde verplichtingen op als in deze DPA, en informeert de Klant over voorgenomen wijzigingen, zodat de Klant daartegen bezwaar kan maken. Doorgifte buiten de EER vindt uitsluitend plaats op basis van een passend overdrachtsmechanisme onder de AVG.

8. Rechten van betrokkenen en incidenten

Hasecon ondersteunt de Klant redelijkerwijs bij het afhandelen van verzoeken van betrokkenen en bij verplichtingen rond beveiliging, datalekken en gegevensbeschermingseffectbeoordelingen (DPIA's). Hasecon meldt een datalek met betrekking tot scandata zonder onredelijke vertraging, en in beginsel binnen 48 uur na ontdekking, aan de Klant.

9. Teruggave en verwijdering

Na beëindiging van de verwerking verwijdert Hasecon de scandata, of geeft deze terug aan de Klant, naar keuze van de Klant, behoudens een wettelijke bewaarplicht. Scanrapporten worden conform de Privacyverklaring maximaal 2 jaar bewaard, tenzij de Klant om eerdere verwijdering verzoekt.

10. Audit

Hasecon stelt de Klant op verzoek de informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen, en maakt audits mogelijk. Partijen kunnen afspreken dat een audit door een onafhankelijke deskundige plaatsvindt; de redelijke kosten daarvan komen voor rekening van de Klant, tenzij uit de audit een wezenlijke tekortkoming van Hasecon blijkt.

11. Aansprakelijkheid en rangorde

Op deze DPA is de aansprakelijkheidsregeling uit de Algemene Voorwaarden van toepassing in de verhouding tussen Hasecon en de Klant. Deze beperking laat onverlet de aansprakelijkheid die op grond van art. 82 AVG rechtstreeks jegens betrokkenen of toezichthouders kan bestaan en die niet contractueel kan worden uitgesloten. Bij strijdigheid tussen deze DPA en de Algemene Voorwaarden prevaleert, uitsluitend voor zover het de verwerking van persoonsgegevens namens de Klant betreft, deze DPA.


Bijlage A — Beveiligingsmaatregelen

Bijlage B — Subverwerkers

SubverwerkerDoelLocatie
MollieBetalingsverwerkingEU (Nederland)
Gmail (Google Workspace)Verzending van rapporten en transactionele e-mailEU
AuthenticatievoorzieningAccountauthenticatieEU / eigen beheer
HostingproviderHosting van applicatie en scandataEU

Een actueel overzicht van subverwerkers is op aanvraag beschikbaar via scan@exposentry.io.