Juridisch
Verwerkersovereenkomst (DPA)
Laatst bijgewerkt: 2026-05-19
Deze pagina beschrijft hoe FeestForge omgaat met persoonsgegevens wanneer wij optreden als verwerker namens een zakelijke afnemer (school, BSO, kinderdagverblijf, eventbureau), en bevat onze sub-verwerker-lijst, datalekprocedure en aanvraagprocedure voor een formele verwerkersovereenkomst (Data Processing Agreement, DPA).
1. Wie is wie in deze relatie?
Voor reguliere consumentenbestellingen (een ouder die voor het eigen kind een feestpakket bestelt) is FeestForge zelf verwerkingsverantwoordelijke in de zin van art. 4 AVG. Dan geldt onze privacyverklaring — een aparte DPA is dan niet nodig.
Voor zakelijke afnemers die FeestForge inzetten namens andere ouders/kinderen — bijvoorbeeld een school die voor de eindejaarsfeestjes pakketten bestelt, een BSO die uitnodigingen laat maken, of een eventbureau dat FeestForge als white-label inbouwt — is de afnemer verwerkingsverantwoordelijke en treedt FeestForge op als verwerker. In dat geval is een DPA verplicht (art. 28 AVG).
2. DPA aanvragen
Stuur een mail naar info@feestforge.nl met als onderwerp "DPA-aanvraag". Vermeld:
- Bedrijfsnaam, KvK-nummer en vestigingsadres.
- Naam en e-mailadres van de tekenbevoegde.
- Korte omschrijving van waarvoor je FeestForge wil inzetten (welke gegevenscategorieën, hoeveel betrokkenen, doel).
- Eventueel: jullie eigen DPA-template ter beoordeling.
Wij sturen binnen 5 werkdagen onze standaard DPA-template ter ondertekening. Deze is gebaseerd op de modules van de EU Standard Contractual Clauses (SCC) waar relevant en de EDPB-richtsnoeren over verwerker-relaties. Voor afwijkende clausules zijn wij open voor onderhandeling, met als grens dat het de wettelijke AVG-vereisten niet onderuit haalt.
3. Onze sub-verwerkers
FeestForge maakt voor de uitvoering van haar dienst gebruik van de onderstaande sub-verwerkers. Met elke partij is een geldige DPA gesloten op grond van art. 28 lid 4 AVG. Voor doorgifte naar landen buiten de Europese Economische Ruimte (EER) gebruiken wij de EU Standard Contractual Clauses (Implementing Decision (EU) 2021/914) als doorgiftewaarborg conform art. 46 AVG.
| Sub-verwerker | Doel | Verwerkte gegevens | Locatie | Transfer-mechanisme | DPA |
|---|---|---|---|---|---|
| Stripe Payments Europe Ltd | Betalingen, fraudepreventie | Naam, e-mail, betaalmiddel-token | Ierland (EER) | Intra-EER | Link |
| Render Services Inc. | Web hosting, applicatie-server | Alle order- en intake-data tijdens verwerking | VS, instances in Frankfurt | SCC (modules 2 + 3) | Link |
| Cloudflare Inc. | DNS, CDN, DDoS-bescherming, bot-management | IP-adres, request-metadata | VS, EU edges | SCC | Link |
| Replicate Inc. | Foto-cartoonisering via Flux Kontext | Geüploade foto + voornaam jarige (prompt-context) | VS | SCC | Link |
| OpenAI Ireland Ltd | Afbeelding-generatie (GPT-Image-1), tekst (GPT) | Voornaam jarige, thema, beschrijvingen, foto (alleen voor uitnodiging/schatkaart die op foto gebaseerd is) | Ierland; modellen in VS | SCC + zero-retention API-endpoint | Link |
| Anthropic PBC | Tekstgeneratie (AI) | Voornamen, thema, kort prompt-context | VS | SCC + zero-retention | Link |
| Resend Inc. | E-mailbezorging (transactionele mail) | E-mailadres, naam, ordergegevens, bijlage-PDF | VS; EU-regio Frankfurt | SCC | Link |
Een DPA-kopie van een specifieke sub-verwerker, of de SCC-tekst zelf, kun je opvragen via info@feestforge.nl.
4. Wijzigingen in de sub-verwerker-lijst
Wij behouden ons het recht voor sub-verwerkers toe te voegen, te vervangen of te verwijderen wanneer dat nodig is voor de dienst. Wijzigingen publiceren wij op deze pagina.
Voor zakelijke afnemers met een actieve DPA bij ons:
- Wij informeren je minimaal 30 dagen vóór ingangsdatum per e-mail aan het in de DPA opgegeven contactadres.
- Tot 30 dagen na onze melding heb je het recht gemotiveerd bezwaar te maken tegen de wijziging (art. 28 lid 2 AVG). Bij gegrond bezwaar zoeken wij samen naar een oplossing; bij blijvend geschil heb je het recht de DPA te ontbinden.
5. Beveiligingsmaatregelen
Wij nemen passende technische en organisatorische maatregelen (art. 32 AVG) om jouw gegevens te beschermen:
- TLS 1.2+ versleuteling op alle verbindingen (HTTPS-only, HSTS-header geactiveerd).
- Encryptie at-rest bij Render (productie-volumes).
- Toegang tot productie-data uitsluitend voor de eigenaar (Gijs van der Helm), beveiligd met 2-factor authenticatie en hardware-token (FIDO2).
- Secrets en API-keys uitsluitend in Render Environment Variables, nooit gecommit naar de Git-repository.
- Geautomatiseerde verwijdering van foto-uploads 30 dagen na levering via een geplande job.
- Backups versleuteld en 30 dagen bewaard.
- Geen gedeelde wachtwoorden, geen wachtwoord-hergebruik tussen systemen.
- Afhankelijkheden bewaakt door GitHub Dependabot; security-patches worden binnen 14 dagen toegepast (kritieke kwetsbaarheden binnen 72 uur).
6. Verwerking — instructies, geheimhouding, audit
- Instructies: FeestForge verwerkt persoonsgegevens uitsluitend op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke (de zakelijke afnemer) — vastgelegd in de DPA.
- Geheimhouding: alle personen die namens FeestForge toegang hebben tot de gegevens zijn gebonden aan geheimhouding.
- Bijstand: wij verlenen redelijke bijstand bij het uitoefenen van rechten van betrokkenen (inzage / rectificatie / verwijdering / dataportabiliteit), data protection impact assessments (DPIA) en eventueel overleg met de toezichthouder.
- Audit-recht: de verwerkingsverantwoordelijke kan max. 1× per jaar — of vaker bij een redelijk vermoeden van schending — een audit (laten) uitvoeren bij FeestForge, met inachtneming van vertrouwelijkheid en geheimhouding. Praktisch gebeurt dit door middel van een ingevulde vragenlijst en/of een digitaal gesprek; on-site audits in overleg.
- Teruggave / vernietiging: bij beëindiging van de DPA verwijderen of retourneren wij — naar keuze van de verwerkingsverantwoordelijke — alle persoonsgegevens binnen 30 dagen, behoudens een wettelijke bewaarverplichting.
7. Datalekprotocol
Een datalek is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang tot persoonsgegevens (art. 4 sub 12 AVG).
Onze procedure:
- Detectie via monitoring (Sentry, server-logs, klant-meldingen).
- Binnen 1 uur na detectie: containment-maatregelen (isolatie van de getroffen omgeving, intrekken van compromised credentials).
- Binnen 4 uur: impact-assessment (welke gegevens, hoeveel betrokkenen, ernst).
- Bij verplichte melding (art. 33 AVG, "tenzij het niet waarschijnlijk is dat het tot een risico leidt"): melding bij de Autoriteit Persoonsgegevens binnen 72 uur na kennisname.
- Bij hoog risico voor betrokkenen (art. 34 AVG): onverwijld schriftelijke melding aan de betrokkenen, in begrijpelijke taal.
- Bij datalekken bij een sub-verwerker: wij informeren onze zakelijke afnemers binnen 24 uur na onze eigen kennisname.
- Volledige documentatie van het incident in ons interne datalek-register (art. 33 lid 5 AVG).
Vermoed je een datalek dat met FeestForge te maken heeft? Meld dit direct via info@feestforge.nl met als onderwerp "DATALEK", of bel Wij reageren binnen 24 uur — ook in het weekend.
8. Aansprakelijkheid en vrijwaring
In een ondertekende DPA met een zakelijke afnemer regelen wij de onderlinge aansprakelijkheid voor schade als gevolg van een AVG-overtreding, inclusief de vrijwaring conform art. 82 AVG en de onderlinge regres-mogelijkheid. Standaard hanteren wij een cap die in verhouding staat tot de jaarwaarde van de overeenkomst.
9. Toepasselijk recht
Op deze pagina, op de standaard DPA-template en op elke met FeestForge gesloten verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden behandeld door de Rechtbank Gelderland, locatie Arnhem — voor B2B-relaties geldt geen 1-maand-opt-out.