Yovale verwerkersovereen-komst

«Dienst» betekent de door Yovale beheerde WordPress-hostingdienst die beschikbaar wordt gesteld onder de eindgebruikerslicentieovereenkomst van Yovale.

«Klantpersoonsgegevens» betekent persoonsgegevens die Yovale namens de klant verwerkt in verband met de dienst.

«Betrokkene» betekent een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens zijn opgenomen in de klantpersoonsgegevens.

«Subverwerker» betekent elke derde partij die door Yovale is ingeschakeld om klantpersoonsgegevens te verwerken in verband met de dienst.

Termen die hier niet zijn gedefinieerd — waaronder «Verwerkingsverantwoordelijke», «Verwerker», «Persoonsgegevens», «Verwerking», «Inbreuk op persoonsgegevens» en «Toezichthoudende autoriteit» — hebben de betekenis die is gegeven in Artikel 4 van de AVG.

De klant is de verwerkingsverantwoordelijke van de klantpersoonsgegevens. De klant bepaalt de doeleinden en middelen van de verwerking.

Yovale is de verwerker van de klantpersoonsgegevens. Yovale verwerkt klantpersoonsgegevens uitsluitend op gedocumenteerde instructies van de klant, inclusief die welke zijn opgenomen in de door de klant via het Yovale-dashboard ingestelde serviceconfiguratie.

Wanneer Yovale persoonsgegevens rechtstreeks van personen verzamelt voor eigen doeleinden — bijvoorbeeld in de relatie met de rekeninghouder — treedt Yovale op als verwerkingsverantwoordelijke voor die gegevens, en die verwerking wordt beheerst door het Yovale-privacybeleid en niet door deze VOK.

Het onderwerp van de verwerking is het hosten, opslaan, doorzenden, back-uppen en operationeel onderhouden van klantpersoonsgegevens binnen de WordPress-sites van de klant en de bijbehorende dashboardoppervlakken.

De duur van de verwerking komt overeen met de duur van de dienst. De verplichtingen van Yovale uit hoofde van deze VOK lopen door totdat alle klantpersoonsgegevens zijn verwijderd of teruggegeven overeenkomstig Sectie 10.

De aard van de verwerking omvat het verzamelen, registreren, organiseren, structureren, opslaan, ophalen, doorzenden, hosten en wissen van klantpersoonsgegevens, voor zover vereist voor de levering van de dienst.

Het doel van de verwerking is het stellen van de klant in staat de door de dienst gehoste WordPress-site(s) te exploiteren, inclusief het leveren van site-inhoud aan bezoekers, het accepteren van formulierinzendingen, het bieden van het administratieve dashboard, het genereren van back-ups, het beschikbaar stellen van logbestanden en het ondersteunen van door de klant gekozen integraties.

Categorieën klantpersoonsgegevens: identificatiegegevens (namen, e-mailadressen, account-ID's), contactgegevens ingediend via formulieren op klantsites, inhoud opgesteld door klantgebruikers, transactiegegevens binnen WooCommerce-sites waar van toepassing, technische signalen (IP-adressen, user agents, tijdstempels), en alle andere persoonsgegevens die de klant in de dienst wil opslaan.

Categorieën betrokkenen: eigen gebruikers en personeel van de klant, bezoekers van de klantensite, klanten en leden van de klant, en andere natuurlijke personen wier persoonsgegevens de klant via de dienst wil verwerken.

Bijzondere categorieën persoonsgegevens: de klant dient geen bijzondere categorieën persoonsgegevens zoals gedefinieerd in Artikel 9 AVG te uploaden zonder Yovale vooraf schriftelijk te informeren.

Yovale verwerkt klantpersoonsgegevens uitsluitend op gedocumenteerde instructies van de klant. De instructies zijn: (i) deze VOK, (ii) de eindgebruikerslicentieovereenkomst van Yovale, (iii) de door de klant via het dashboard ingestelde serviceconfiguratie, en (iv) eventuele verdere schriftelijke instructies die de klant per e-mail aan Yovale verstrekt via dpo@yovale.com.

Indien Yovale op grond van EU- of lidstaatrecht verplicht is klantpersoonsgegevens te verwerken anders dan op instructie van de klant, zal Yovale de klant vóór de verwerking informeren over die wettelijke verplichting, tenzij dat recht dergelijke mededeling verbiedt op grond van gewichtige redenen van algemeen belang.

Yovale zorgt ervoor dat personeel dat bevoegd is klantpersoonsgegevens te verwerken is gebonden door passende vertrouwelijkheidsverplichtingen, hetzij via hun arbeidsovereenkomst of via gelijkwaardige schriftelijke toezeggingen.

De toegang tot klantpersoonsgegevens binnen Yovale is beperkt tot personeel dat toegang nodig heeft om hun rol te vervullen en wordt geregistreerd voor auditdoeleinden.

Netwerk: TLS 1.2 of hoger voor alle gegevens in transit. Cloudflare DDoS-bescherming op elke klantensite. WAF-regels afgestemd op WordPress-bedreigingspatronen.

Compute: elke WordPress-site van een klant draait in een speciale Docker-container met geïsoleerd bestandssysteem, geheugenlimieten en speciale PHP-FPM-workers. Geen gedeeld PHP-runtime tussen klanten.

Opslag: versleuteling in rust voor back-upopslag (Cloudflare R2) met AES-256. Versleutelingssleutels beheerd onder het standaard sleutelbeheercontract van de provider.

Authenticatie: dashboardtoegang vereist e-mailgeverifieerde inloggegevens. Interserviceaanroepen tussen het dashboard en VPS-agenten zijn HMAC-ondertekend met serverspecifieke geheimen.

Bewaking: activiteitslogboeken per site en AI-crawlerlogboeken zichtbaar in het klantdashboard; infrastructuurmetrics bewaard en geanalyseerd voor anomaliedetectie.

Yovale handhaaft een schriftelijk informatiebeveiligingsbeleid dat minimaal jaarlijks wordt herzien.

Personeel met toegang tot productiesystemen is onderworpen aan een gedocumenteerd onboarding- en offboardingproces, inclusief het verstrekken, intrekken en beoordelen van inloggegevens.

Wijzigingsbeheer van productie-infrastructuur wordt beoordeeld en geregistreerd. Kritieke wijzigingen worden gevalideerd in een testomgeving vóór implementatie.

Back-ups worden minimaal elk kwartaal getest op herstelbaarheid.

Yovale voert periodieke tests, beoordelingen en evaluaties uit van de effectiviteit van zijn technische en organisatorische maatregelen, inclusief kwetsbaarheidsscanning van de productiestapel en beoordeling van toegangslogboeken.

Significante zwakke punten die via tests worden geïdentificeerd, worden aangepakt via het wijzigingsbeheerproces van Yovale. Bevindingen die relevant zijn voor klanten — zoals kwetsbaarheden die de gehoste WordPress-kern beïnvloeden — worden aan klanten gecommuniceerd via het dashboard of per e-mail.

De klant machtigt Yovale subverwerkers in te schakelen voor de verwerking van klantpersoonsgegevens, met inachtneming van de voorwaarden in deze Sectie 5. Yovale onderhoudt de actuele lijst van subverwerkers op zijn vertrouwenspagina en biedt minimaal 30 dagen vooraf kennisgeving van elke toevoeging of vervanging.

Infrastructuur: Hetzner (DE), OVH (FR, CA, DE), Vultr (meerdere regio's), Cloudflare (globale edge, DNS, WAF, R2-opslag).

E-mailbezorging: Postmark, wanneer de klant door Yovale verzonden transactionele e-mail inschakelt. Als de klant zijn eigen SMTP-provider configureert, is die provider geen Yovale-subverwerker.

Betalingen: Razorpay (primair), PayPal (secundair), Stripe (waar van toepassing). Betalingsverwerkers ontvangen alleen de gegevens die nodig zijn om een transactie te verwerken.

Klantenondersteuning: de contactgegevens van de klant en ondersteuningscommunicatie worden verwerkt in het interne helpdesksysteem van Yovale.

Elke subverwerker wordt ingeschakeld onder een schriftelijk contract dat gegevensbeschermingsverplichtingen bevat die inhoudelijk gelijkwaardig zijn aan die in deze VOK, inclusief beveiligingsverplichtingen uit hoofde van Artikel 32 AVG.

Indien de klant binnen 30 dagen na kennisgeving op redelijke gronden bezwaar maakt tegen een nieuwe subverwerker op basis van gegevensbeschermingsgronden, zullen partijen het bezwaar te goeder trouw bespreken. Als geen oplossing kan worden bereikt, kan de klant het betreffende deel van de dienst opzeggen wegens gewichtige redenen zonder boete, met ingang van de voorgestelde onboardingdatum van de subverwerker.

De klant kan klantpersoonsgegevens die zijn opgeslagen in de dienst rechtstreeks exporteren, wijzigen of verwijderen via het Yovale-dashboard, WP-CLI-toegang en de WordPress-beheerinterface.

Deze selfservicetools zijn doorgaans voldoende voor de klant om te reageren op verzoeken voor inzage, rectificatie, wissing, beperking en overdraagbaarheid uit hoofde van Artikelen 15-20 AVG.

Wanneer de selfservicetools onvoldoende zijn — bijvoorbeeld bij het opvragen van gegevens uit een verwijderde omgeving — kan de klant een schriftelijk verzoek indienen bij dpo@yovale.com. Yovale biedt redelijke hulp binnen 10 werkdagen na ontvangst, afhankelijk van juridische en technische beperkingen, en zonder extra kosten tenzij het verzoek onevenredig veel inspanning vereist.

Als een betrokkene rechtstreeks contact opneemt met Yovale over klantpersoonsgegevens, zal Yovale niet inhoudelijk reageren op het verzoek maar het zonder onredelijke vertraging doorsturen naar de betreffende klant.

Yovale stelt de klant zonder onredelijke vertraging en in ieder geval binnen 72 uur na bevestiging op de hoogte van een bevestigde inbreuk op persoonsgegevens die klantpersoonsgegevens betreft.

De melding wordt gestuurd naar het e-mailadres dat is gekoppeld aan het klantaccount. Als dat kanaal niet beschikbaar is, zal Yovale proberen de melding te doen via het Yovale-dashboard en eventuele alternatieve contactpersonen die zijn geregistreerd.

Elke melding zal, voor zover dan bekend, de aard van de inbreuk, de categorieën en het geschatte aantal betrokken betrokkenen en persoonsgegevensrecords, de waarschijnlijke gevolgen van de inbreuk, en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken en de mogelijke nadelige gevolgen ervan te beperken, beschrijven.

Informatie die niet beschikbaar is binnen het eerste 72-uursvenster wordt in volgende updates verstrekt naarmate die beschikbaar komen. Yovale zal samenwerken met de klant bij het nakomen van eventuele verplichtingen van de klant om toezichthoudende autoriteiten of betrokkenen te informeren uit hoofde van Artikelen 33 en 34 AVG.

Yovale stelt de klant de informatie ter beschikking die redelijkerwijs nodig is om naleving van Artikel 28 AVG aan te tonen, inclusief deze VOK, de publieke lijst van subverwerkers en het beveiligingsoverzicht van Yovale gepubliceerd op /security.

Op redelijk schriftelijk verzoek zal Yovale binnen 30 dagen reageren op specifieke vragen die redelijkerwijs nodig zijn om de klant in staat te stellen zijn eigen AVG-verplichtingen na te komen.

Wanneer de klant redelijkerwijs van mening is dat de bovenstaande informatie onvoldoende bewijs van naleving levert, kan de klant een audit van de verwerkingsactiviteiten van Yovale aanvragen. Audits zijn beperkt tot één keer per periode van twaalf maanden, moeten worden uitgevoerd tijdens normale kantooruren, mogen de Yovale-activiteiten niet verstoren of de beveiliging van andere klanten in gevaar brengen, en moeten worden uitgevoerd door de klant of door een onafhankelijke derde auditor onder een voor Yovale aanvaardbare vertrouwelijkheidstoezegging.

De klant draagt de kosten van elke audit die hij op grond van dit artikel initieert, behalve wanneer de audit een materiële schending van deze VOK door Yovale aan het licht brengt, in welk geval Yovale de redelijke auditkosten draagt.

Klanten kunnen hun hostingregio selecteren bij het inrichten. Yovale exploiteert infrastructuur in de Europese Unie (Hetzner DE, OVH FR/DE) en verschillende niet-EU-regio's. Klantpersoonsgegevens blijven in de door de klant geselecteerde regio, behoudens het noodzakelijke edge-cachegedrag van Cloudflare en het globale bereik van het dashboardcontrolevlak.

Wanneer klantpersoonsgegevens worden doorgegeven buiten de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland naar een land dat niet onderworpen is aan een toepasselijk adequaatheidsbesluit, is de doorgifte onderworpen aan de EU Standaardcontractbepalingen (2021/914) en de UK International Data Transfer Addendum, die door verwijzing zijn opgenomen in deze VOK en automatisch van toepassing zijn op dergelijke doorgiften.

Yovale en eventuele niet-EER subverwerkers treden respectievelijk op als gegevensexporteur en gegevensimporteur voor de toepassing van de Standaardcontractbepalingen. Yovale verstrekt op verzoek een kopie van de relevante clausules.

Bij beëindiging van de dienst kan de klant, binnen 30 dagen na de beëindigingsdatum, teruggave van klantpersoonsgegevens aanvragen via de standaard exporttools die beschikbaar zijn in het dashboard, of verzoeken dat Yovale deze verwijdert.

Na dit venster van 30 dagen zal Yovale klantpersoonsgegevens binnen nog eens 30 dagen permanent verwijderen, tenzij bewaring vereist is op grond van EU- of lidstaatrecht, in welk geval Yovale de beveiligings- en vertrouwelijkheidsverplichtingen van deze VOK blijft toepassen zolang de gegevens worden bewaard.

Routinematige back-ups van de productieomgeving kunnen resterende kopieën van verwijderde klantpersoonsgegevens bevatten tot 90 dagen na de verwijderingsdatum. Dergelijke resterende kopieën zijn onderworpen aan dezelfde beveiligingsverplichtingen en worden niet voor enig ander doel gebruikt.

Aansprakelijkheid op grond van deze VOK is onderworpen aan de beperkingen die zijn vastgelegd in de eindgebruikerslicentieovereenkomst van Yovale.

Wanneer een bepaling van deze VOK conflicteert met de eindgebruikerslicentieovereenkomst van Yovale over een kwestie van gegevensbescherming, prevaleert deze VOK voor zover het conflict reikt.

Contact met de functionaris voor gegevensbescherming: dpo@yovale.com. Algemene vragen over gegevensbescherming kunnen ook worden gestuurd naar support@yovale.com.

De EU-vertegenwoordiger van Yovale kan op verzoek worden gecontacteerd via dpo@yovale.com.