Verwerkersovereenkomst (DPA)

Versie 2026-06-01 · Art. 28 GDPR

Concept-versie. Deze tekst moet aangepast worden aan de definitieve infrastructuur en gereviewd worden door een DPO.

1. Partijen en rollen

De Klant treedt op als Verwerkingsverantwoordelijke voor de gegevens van zijn restaurantgasten en personeel die hij invoert in het Rheos Cellar-platform. Rheos treedt op als Verwerker in de zin van Art. 28 GDPR.

2. Onderwerp en duur

Rheos verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van het Rheos Cellar SaaS-platform, voor de duur van de overeenkomst.

3. Soort gegevens en categorieën betrokkenen

• POS-gegevens: tijdstip, product, prijs, verkoper (geen identificatie van gasten)
• Leveranciersgegevens: contactnaam, e-mail, telefoon
• Personeelsgegevens: gebruikersnaam, e-mail (voor login)

4. Instructies

Rheos verwerkt gegevens uitsluitend op gedocumenteerde instructie van de Klant. Het gebruik van de Diensten conform de Algemene Voorwaarden geldt als instructie.

5. Vertrouwelijkheid

Personeel met toegang tot persoonsgegevens is contractueel tot geheimhouding gehouden.

6. Beveiligingsmaatregelen

• Encryptie in transit (TLS 1.2+) en at-rest (AES-256 via Supabase)
• Tweefactorauthenticatie voor administratieve toegang
• Row-Level Security op database-niveau (multi-tenant isolatie)
• Dagelijkse back-ups, 30 dagen retentie
• Logging van alle datatoegang

7. Subverwerkers

De Klant geeft algemene toestemming voor de volgende subverwerkers:

• Supabase Inc. — hosting & database (EU-region)
• Mollie B.V. — betalingen
• Anthropic PBC — AI (enkel op expliciete actie van de gebruiker)
• Vercel Inc. — hosting van de webapplicatie

Rheos meldt elke wijziging in deze lijst minstens 30 dagen vooraf. De Klant kan bezwaar maken; bij wezenlijk bezwaar mag de overeenkomst beëindigd worden.

8. Doorgifte buiten EER

Wanneer subverwerkers data buiten de EER verwerken, gebeurt dit onder de Standard Contractual Clauses van de Europese Commissie.

9. Bijstand bij datalekken

Rheos meldt elk datalek binnen 24 uur na detectie aan de Klant met alle informatie nodig voor een melding aan de DPA.

10. Rechten van betrokkenen

Rheos biedt technische functionaliteit voor inzage-, correctie- en verwijderingsverzoeken via de exportfunctie in het dashboard. Manuele bijstand binnen 5 werkdagen.

11. Einde overeenkomst

Na opzegging worden alle persoonsgegevens binnen 30 dagen verwijderd, met uitzondering van gegevens die wettelijk bewaard moeten blijven (facturen).