Verwerkersovereenkomst AVG
Versie 1.0 | Laatst bijgewerkt: 13 februari 2026 | Conform artikel 28 AVG
Let op: Deze verwerkersovereenkomst is van toepassing op alle klanten van Kyan Digital die gebruikmaken van SaaS-diensten (SmartNote, ZZPKlaar) of maatwerk software waarbij persoonsgegevens worden verwerkt. Door gebruik te maken van onze diensten gaat u akkoord met deze voorwaarden.
Partijen
Verwerkingsverantwoordelijke (Klant)
De organisatie of persoon die een overeenkomst heeft met Kyan Digital en persoonsgegevens laat verwerken via onze software.
Verwerker
Kyan Digital
Handelsnaam van: Kyan Baaz BV
KVK: 78704022
Adres: Meander 251, 6825 MC Arnhem
E-mail: privacy@kyandigital.nl
Artikel 1 - Definities
- AVG: Algemene Verordening Gegevensbescherming (EU 2016/679)
- Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
- Verwerking: Elke handeling met persoonsgegevens (verzamelen, opslaan, raadplegen, wijzigen, verstrekken, wissen)
- Datalek: Inbreuk op beveiliging die leidt tot verlies, wijziging of ongeautoriseerde toegang tot persoonsgegevens
- Betrokkene: Degene op wie de persoonsgegevens betrekking hebben
- Subverwerker: Derde partij die Kyan Digital inschakelt voor verwerking
Artikel 2 - Onderwerp en duur
- Deze overeenkomst regelt de verwerking van persoonsgegevens door Kyan Digital namens Klant.
- De overeenkomst geldt voor de duur van de dienstverleningsovereenkomst.
- Bij beëindiging eindigt deze verwerkersovereenkomst automatisch.
Artikel 3 - Aard en doel van de verwerking
3.1 SmartNote (ECD voor zorgorganisaties)
Doel: Elektronisch Cliëntendossier, cliëntbeheer, rapportage, planning
Categorieën persoonsgegevens:
- Identificatiegegevens (naam, BSN, geboortedatum, contactgegevens)
- Zorggegevens (diagnoses, behandelplannen, medicatie, SOAP-rapportages)
- Bijzondere persoonsgegevens (medische gegevens - artikel 9 AVG)
- Familiegegevens (contactpersonen, vertegenwoordigers)
Betrokkenen: Cliënten/patiënten, familieleden, zorgverleners
3.2 ZZPKlaar (freelancer compliance platform)
Doel: Administratie, contractbeheer, facturatie voor freelancers
Categorieën persoonsgegevens:
- Identificatiegegevens (naam, KVK, BTW-nummer, adres)
- Financiële gegevens (facturen, betalingen)
- Contractgegevens
Betrokkenen: Freelancers (ZZP'ers), opdrachtgevers, contactpersonen
3.3 Maatwerk software
Afhankelijk van specifieke overeenkomst. Wordt per project gedocumenteerd in bijlage bij deze overeenkomst.
Artikel 4 - Verplichtingen van de verwerker (Kyan Digital)
Kyan Digital verplicht zich tot:
- Instructies: Alleen persoonsgegevens verwerken volgens gedocumenteerde instructies van Klant (behalve bij wettelijke verplichting).
- Vertrouwelijkheid: Personen die toegang hebben tot gegevens zijn gebonden aan geheimhouding.
- Beveiliging: Passende technische en organisatorische maatregelen treffen (zie artikel 6).
- Subverwerkers: Alleen inzetten met voorafgaande toestemming Klant (zie artikel 5).
- Ondersteuning: Klant helpen bij uitoefening rechten betrokkenen (inzage, rectificatie, verwijdering).
- Audits: Medewerking verlenen aan audits en inspecties.
- Datalekken: Datalekken binnen 24 uur melden aan Klant.
- Verwijdering: Alle gegevens verwijderen na einde overeenkomst (tenzij wettelijke bewaarplicht).
Artikel 5 - Subverwerkers
5.1 Goedgekeurde subverwerkers
Klant geeft algemene toestemming voor inzet van onderstaande subverwerkers:
| Subverwerker |
Dienst |
Locatie |
AVG-garanties |
| Hetzner Online GmbH |
Hosting (servers) |
Duitsland (EU) |
ISO 27001, TISAX, verwerkersovereenkomst |
| Mollie B.V. |
Betalingsverwerking |
Nederland (EU) |
PCI-DSS, verwerkersovereenkomst |
| TransIP B.V. |
E-mailhosting |
Nederland (EU) |
ISO 27001, verwerkersovereenkomst |
5.2 Nieuwe subverwerkers
- Kyan Digital informeert Klant minimaal 30 dagen vooraf bij toevoegen nieuwe subverwerker.
- Klant kan bezwaar maken binnen 14 dagen (met opgaaf van redenen).
- Bij bezwaar zoekt Kyan Digital naar alternatief of kan Klant opzeggen zonder kosten.
Artikel 6 - Beveiligingsmaatregelen
Kyan Digital past de volgende technische en organisatorische maatregelen toe (artikel 32 AVG):
6.1 Technische maatregelen
- Encryptie: TLS 1.3 voor datatransport, AES-256 voor data-at-rest (backups)
- Toegangscontrole: Rol-gebaseerde toegang (RBAC), two-factor authenticatie (2FA)
- Wachtwoorden: Bcrypt hashing (cost factor 12)
- Firewall: UFW firewall + fail2ban voor DDoS-bescherming
- Logging: Alle toegang tot persoonsgegevens wordt gelogd (90 dagen)
- Backups: Dagelijks encrypted backups, 30 dagen retentie, opgeslagen in aparte locatie
- Updates: Wekelijkse beveiligingsupdates, maandelijkse patches
6.2 Organisatorische maatregelen
- Toegangsbeheer: Alleen geautoriseerde medewerkers hebben toegang (need-to-know principe)
- Screening: Achtergrondcheck voor medewerkers met toegang tot productiedata
- Training: Jaarlijkse AVG-training voor alle medewerkers
- Incident response plan: Gedocumenteerde procedure voor datalekken
- Datavernietiging: Veilig wissen volgens NIST 800-88 standaard
6.3 Specifiek voor medische gegevens (SmartNote)
- Voldoet aan NEN 7510 (informatiebeveiliging in de zorg)
- Logging van alle toegang tot cliëntdossiers (audit trail)
- Scheiding test/productie omgevingen
- Geen productiedata in ontwikkel-/testomgevingen
Artikel 7 - Rechten van betrokkenen
7.1 Procedures
Kyan Digital ondersteunt Klant bij verzoeken van betrokkenen:
- Inzage (art. 15 AVG): Data-export binnen 5 werkdagen
- Rectificatie (art. 16 AVG): Correctie binnen 2 werkdagen
- Verwijdering (art. 17 AVG): Definitieve verwijdering binnen 7 dagen
- Dataportabiliteit (art. 20 AVG): Export in CSV/JSON formaat
7.2 Kosten
Standaard ondersteuning is kosteloos. Abnormaal omvangrijke verzoeken (>10 uur werk) kunnen tegen uurtarief worden gefactureerd.
Artikel 8 - Datalekken
8.1 Meldplicht
- Kyan Digital meldt datalekken binnen 24 uur aan Klant.
- Melding bevat: aard van lek, geschatte omvang, getroffen betrokkenen, mogelijke gevolgen, genomen maatregelen.
8.2 Verantwoordelijkheid
- Klant is verantwoordelijk voor melding aan Autoriteit Persoonsgegevens (binnen 72 uur na kennisname).
- Kyan Digital verleent volledige medewerking en documentatie.
Artikel 9 - Audits en inspectie
- Klant mag jaarlijks audit laten uitvoeren door onafhankelijke derde.
- Kyan Digital verstrekt op verzoek documentatie over beveiligingsmaatregelen.
- Kosten audit: voor rekening Klant.
- Audits worden minimaal 14 dagen vooraf aangekondigd en verstooren normale bedrijfsvoering niet.
Artikel 10 - Gegevensdoorgifte buiten EU
Kyan Digital doet GEEN gegevensdoorgifte buiten de EER.
- Alle servers staan in Duitsland (Hetzner Falkenstein datacenter)
- Geen gebruik van Amerikaanse clouddiensten (AWS, Azure, Google Cloud)
- Backups blijven binnen EU
- Support wordt alleen vanuit Nederland verleend
Artikel 11 - Beëindiging en verwijdering
11.1 Na beëindiging overeenkomst
- Klant ontvangt binnen 7 dagen volledige data-export (CSV/JSON).
- Kyan Digital verwijdert alle persoonsgegevens binnen 30 dagen.
- Verwijdering gebeurt onomkeerbaar (overschrijven met random data volgens NIST 800-88).
- Schriftelijke bevestiging van verwijdering wordt verstrekt.
11.2 Uitzonderingen (wettelijke bewaarplicht)
Gegevens noodzakelijk voor facturatie worden 7 jaar bewaard (Belastingdienst verplichting). Deze gegevens:
- Worden geïsoleerd van productieomgeving
- Zijn alleen toegankelijk voor financieel beheer
- Worden na 7 jaar automatisch verwijderd
Artikel 12 - Aansprakelijkheid
- Kyan Digital is aansprakelijk voor schade door niet-naleving van AVG voor zover deze te wijten is aan Kyan Digital.
- Klant is aansprakelijk indien schade ontstaat door onrechtmatige instructies.
- Maximale aansprakelijkheid: zie Algemene Voorwaarden artikel 8.
Artikel 13 - Wijzigingen
- Wijzigingen in verwerkersovereenkomst worden minimaal 60 dagen vooraf gecommuniceerd.
- Bij wezenlijke wijzigingen mag Klant opzeggen zonder boete.
Artikel 14 - Toepasselijk recht
- Nederlands recht is van toepassing.
- Geschillen worden voorgelegd aan rechtbank Gelderland.
- Bij conflict tussen deze overeenkomst en AVG prevaleert AVG.
Artikel 15 - Contact
Functionaris Gegevensbescherming (FG) / Privacy Officer:
Niet verplicht aangesteld (bedrijf <250 medewerkers), maar contactpersoon voor privacy:
E-mail: privacy@kyandigital.nl
Telefoon: (+31) 085 500 2595
Post: Kyan Digital t.a.v. Privacy, Meander 251, 6825 MC Arnhem
Akkoord: Door gebruik te maken van de diensten van Kyan Digital gaat u automatisch akkoord met deze verwerkersovereenkomst. Een aparte ondertekening is niet vereist tenzij u dit expliciet wenst (neem dan contact op).
Deze verwerkersovereenkomst voldoet aan artikel 28 AVG en is voor het laatst bijgewerkt op 13 februari 2026.