Verwerkersovereenkomst

Verwerkt u persoonsgegevens? Dan zijn wij uw verwerker

Als u via uw dienst persoonsgegevens verwerkt, zijn wij uw verwerker. In deze verwerkersovereenkomst leggen wij vast hoe wij omgaan met de gegevens die u ons toevertrouwt.

Snelmenu

Versie-informatie

Versie: 1.1 Ingangsdatum: zaterdag 18 april 2026 Laatst bijgewerkt: zaterdag 18 april 2026
Download PDF

Inleiding

Deze verwerkersovereenkomst regelt hoe xYnta Hosting B.V. omgaat met persoonsgegevens die u als klant op onze infrastructuur opslaat of verwerkt. De overeenkomst is gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) — de Europese privacywet.

Deze verwerkersovereenkomst maakt deel uit van onze algemene voorwaarden. Door akkoord te gaan met de algemene voorwaarden gaat u ook akkoord met deze verwerkersovereenkomst. Ze gaan op hetzelfde moment in.

In deze overeenkomst gebruiken we de wettelijke begrippen "Verwerkingsverantwoordelijke" (dat bent u als klant: u bepaalt welke gegevens worden verwerkt en waarvoor) en "Verwerker" (dat zijn wij: wij verwerken de gegevens in uw opdracht). Waar dat juridisch kan, schrijven we gewoon "u" en "wij". Voor privacyvragen en datalekken kunt u ons bereiken via info@xynta.nl.

Artikel 1 — Begrippen

  1. AVG: de Algemene Verordening Gegevensbescherming (EU 2016/679) — de Europese privacywet.
  2. Persoonsgegevens: alle informatie over een identificeerbare persoon, zoals bedoeld in de AVG.
  3. Verwerking: alles wat er met persoonsgegevens kan worden gedaan, zoals opslaan, lezen, wijzigen of verwijderen.
  4. Verwerkingsverantwoordelijke: u als klant — u bepaalt zelf welke gegevens worden verwerkt en met welk doel.
  5. Verwerker: wij — xYnta Hosting B.V. — wij verwerken gegevens op uw instructie en in uw opdracht.
  6. Sub-verwerker: een externe partij die wij inschakelen en die daarbij toegang kan krijgen tot persoonsgegevens die u bij ons opslaat.
  7. Datalek: een beveiligingsincident waarbij persoonsgegevens per ongeluk of onrechtmatig zijn vernietigd, verloren, gewijzigd of toegankelijk geworden voor onbevoegden.
  8. Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben.

Artikel 2 — Wat verwerken wij namens u?

  1. Wij verwerken persoonsgegevens uitsluitend in uw opdracht en op basis van uw instructies, tenzij een wettelijke verplichting ons iets anders verplicht.
  2. De verwerking vindt plaats in het kader van onze hostingdiensten: het beschikbaar stellen en beheren van hosting-, server- en netwerkomgevingen. Omdat wij de infrastructuur beheren, hebben wij technische toegang tot de omgevingen waarop u gegevens opslaat. Wij gebruiken die toegang alleen voor beheer- en onderhoudstaken, niet voor eigen doeleinden.
  3. U bepaalt zelf welke gegevens u op onze infrastructuur opslaat. Wij hebben geen zicht op de specifieke inhoud van die gegevens en zijn daar ook niet voor verantwoordelijk. De categorieën van gegevens en betrokkenen die onder deze overeenkomst kunnen vallen, staan beschreven in Bijlage 1.
  4. U staat er voor in dat de verwerking van persoonsgegevens via onze infrastructuur rechtmatig is en dat u alle vereiste grondslagen en toestemmingen heeft. Als u bijzondere categorieën persoonsgegevens verwerkt via onze infrastructuur — zoals gezondheidsgegevens, strafrechtelijke gegevens of biometrische gegevens — informeert u ons daar vooraf over, zodat wij indien nodig aanvullende maatregelen kunnen treffen. De persoonsgegevens blijven uw eigendom en dat van de betrokkenen.

Artikel 3 — Hoe lang bewaren wij uw gegevens?

  1. Wij bewaren persoonsgegevens die u op onze infrastructuur opslaat zolang uw dienst actief is. U kunt op elk moment zelf gegevens verwijderen via het Klantenportaal of het controlepaneel.
  2. Technische gegevens die wij zelf genereren in het kader van beheer en beveiliging — zoals logbestanden en serverstatistieken — bewaren wij niet langer dan noodzakelijk. In de praktijk hanteren wij de volgende richtlijnen:
    1. Toegangs- en systeemlogboeken: maximaal negentig dagen, tenzij een beveiligingsincident of wettelijke verplichting een langere bewaring vereist.
    2. Serverstatistieken en prestatiedata: maximaal twaalf maanden in geaggregeerde vorm.
  3. Bij beëindiging van de overeenkomst verwijderen wij alle gegevens conform artikel 12 van onze algemene voorwaarden: actieve gegevens binnen zeven dagen, back-ups en snapshots binnen dertig dagen na de einddatum.

Artikel 4 — Wat doen wij om uw gegevens te beschermen?

  1. Wij leven de verplichtingen na die de AVG en andere toepasselijke privacywetgeving aan ons opleggen als verwerker.
  2. Wij zorgen ervoor dat medewerkers en anderen die namens ons toegang hebben tot persoonsgegevens, gebonden zijn aan een geheimhoudingsplicht en alleen handelen op onze instructie.
  3. Als wij denken dat een instructie van u in strijd is met de AVG of andere privacywetgeving, laten wij u dat direct weten. Wij zijn in dat geval niet verplicht de instructie uit te voeren.
  4. Als u een gegevensbeschermingseffectbeoordeling (DPIA) moet uitvoeren en onze verwerking daarvoor relevant is, verlenen wij op uw verzoek redelijke medewerking.
  5. Wij verwerken geen persoonsgegevens buiten de Europese Economische Ruimte (EER), tenzij dit noodzakelijk is voor de uitvoering van de diensten en er een geldige rechtsgrondslag voor doorgifte is op grond van de AVG. Voor doorgifte naar Canada — waar wij incidenteel beroep kunnen doen op DirectAdmin voor technische ondersteuning — geldt het adequaatheidsbesluit van de Europese Commissie voor Canada als rechtsgrondslag. Voor doorgifte naar landen zonder adequaatheidsbesluit, zoals de Verenigde Staten en India, maken wij gebruik van standaardcontractbepalingen conform artikel 46 AVG. Op uw verzoek informeren wij u over de landen waar verwerking plaatsvindt en de daarvoor geldende waarborgen.

Artikel 5 — Hoe beveiligen wij uw gegevens?

  1. Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige toegang, wijziging of verstrekking. Dit is een inspanningsverplichting — absolute beveiliging kunnen wij niet garanderen.
  2. Wij beschouwen onze beveiligingsmaatregelen als vertrouwelijk. Wij geven geen gedetailleerde informatie over onze beveiligingsarchitectuur of interne systemen, omdat die informatie in verkeerde handen de veiligheid van systemen en gegevens — ook die van u — in gevaar kan brengen.
  3. U bent zelf verantwoordelijk voor de beveiliging van uw eigen systemen, het toegangsbeheer voor uw eigen gebruikers en de manier waarop u gegevens op onze infrastructuur opslaat en beheert.

Artikel 6 — Wie schakelen wij in bij de uitvoering?

  1. Door akkoord te gaan met deze verwerkersovereenkomst geeft u ons algemene toestemming om de sub-verwerkers in te schakelen die in Bijlage 2 staan. We onderscheiden twee soorten:
    1. Vaste sub-verwerkers: partijen die structureel zijn ingeschakeld bij onze dienstverlening en daardoor toegang kunnen hebben tot gegevens op onze infrastructuur.
    2. Incidentele sub-verwerkers: partijen — zoals softwareleveranciers of technische specialisten — die alleen bij een concreet probleem tijdelijk toegang krijgen tot een specifieke omgeving. Wij vragen u hiervoor altijd vooraf om toestemming, per geval.
  3. Als wij een nieuwe vaste sub-verwerker willen inschakelen of een bestaande willen vervangen, laten wij u dat minimaal dertig dagen van tevoren weten. Als u bezwaar heeft en wij dat niet kunnen oplossen, mag u de overeenkomst beëindigen tegen de datum waarop de wijziging ingaat.
  4. Met alle vaste sub-verwerkers sluiten wij een verwerkersovereenkomst of gelijkwaardige afspraken die ten minste dezelfde bescherming bieden als deze overeenkomst. Wij blijven verantwoordelijk voor de naleving van die afspraken.

Artikel 7 — Wat doen wij bij een datalek?

  1. Als wij een datalek ontdekken of vermoeden dat betrekking heeft op persoonsgegevens die u op onze infrastructuur verwerkt, laten wij u dat zo snel mogelijk weten — en in ieder geval binnen 48 uur na ontdekking. Zo kunt u zelf beoordelen of u het datalek moet melden bij de Autoriteit Persoonsgegevens of bij betrokkenen. Dat is uw verantwoordelijkheid als Verwerkingsverantwoordelijke.
  2. Onze melding aan u bevat, voor zover wij dat op dat moment weten:
    1. een omschrijving van wat er is gebeurd;
    2. welke categorieën van betrokkenen en persoonsgegevens mogelijk zijn geraakt;
    3. een schatting van het aantal betrokkenen en gegevens;
    4. onze contactgegevens voor vervolgvragen;
    5. de waarschijnlijke gevolgen;
    6. de maatregelen die wij hebben genomen of voorstellen om de schade te beperken.
  3. Als u aanvullende informatie nodig heeft voor uw eigen melding, verlenen wij op verzoek redelijke medewerking.
  4. Onze melding houdt geen erkenning van schuld of aansprakelijkheid in.

Artikel 8 — Wat doen wij met verzoeken van betrokkenen?

  1. Als iemand bij ons een verzoek indient om zijn privacyrechten uit te oefenen — zoals het recht op inzage, correctie of verwijdering van zijn gegevens — sturen wij dat verzoek door naar u. U bent verantwoordelijk voor de afhandeling.
  2. Als u onze medewerking nodig heeft bij de afhandeling van zo'n verzoek, verlenen wij die voor zover het betrekking heeft op onze verwerking.

Artikel 9 — Hoe gaan wij om met vertrouwelijkheid?

  1. Alle persoonsgegevens die wij in het kader van deze overeenkomst verwerken, behandelen wij als strikt vertrouwelijk. Wij delen ze niet met anderen, tenzij dit noodzakelijk is voor de uitvoering van de diensten, u daarvoor toestemming heeft gegeven, of een wettelijke verplichting dit vereist.
  2. Deze geheimhoudingsplicht geldt ook na beëindiging van de verwerkersovereenkomst.

Artikel 10 — Hoe kunt u controleren of wij ons aan de afspraken houden?

  1. U kunt ons maximaal eenmaal per jaar een schriftelijke vragenlijst sturen over de naleving van deze verwerkersovereenkomst. Wij beantwoorden die binnen dertig dagen. De kosten die voor u voortvloeien uit het opstellen en beoordelen van de vragenlijst zijn voor uw rekening.
  2. Als u een concreet en goed onderbouwd vermoeden heeft van een ernstige schending van deze overeenkomst, kunt u een onafhankelijke en aan geheimhouding gebonden auditor inschakelen voor een beperkte audit. Daarvoor gelden de volgende spelregels:
    1. u kondigt de audit minimaal dertig dagen van tevoren schriftelijk aan;
    2. de audit vindt maximaal eenmaal per twaalf maanden plaats;
    3. de audit gaat alleen over de naleving van deze verwerkersovereenkomst — niet over onze interne beveiligingsarchitectuur of systemen;
    4. wij mogen informatie weigeren waarvan openbaarmaking de veiligheid van systemen of gegevens in gevaar brengt;
    5. de kosten van de audit zijn voor uw rekening;
    6. alle betrokken partijen behandelen de bevindingen vertrouwelijk.
  3. Wij beoordelen de bevindingen van een audit en bepalen zelf op welke manier en binnen een redelijke termijn — in verhouding tot het vastgestelde risico — wij eventuele verbeterpunten doorvoeren.

Artikel 11 — Aansprakelijkheid

  1. Onze aansprakelijkheid voor schade die voortvloeit uit een tekortkoming in de nakoming van deze verwerkersovereenkomst is beperkt op dezelfde manier als in onze algemene voorwaarden. De aansprakelijkheidsbeperking uit de algemene voorwaarden geldt voor alle aanspraken onder deze verwerkersovereenkomst.
  2. Wij zijn niet aansprakelijk voor schade die voortvloeit uit verwerkingen die u zelf uitvoert, uit onjuiste of onvolledige instructies van uw kant, of uit het niet nakomen van uw eigen verplichtingen onder de AVG of deze overeenkomst.
  3. Als een betrokkene of toezichthouder een claim indient bij xYnta die voortvloeit uit een schending van de AVG door u, bent u verantwoordelijk voor de afhandeling en de eventuele kosten daarvan.
  4. Een vordering tot schadevergoeding vervalt twaalf maanden na het moment waarop u bekend was of redelijkerwijs bekend had kunnen zijn met de schade en de aansprakelijke partij.

Artikel 12 — Hoe lang geldt deze overeenkomst?

  1. Deze verwerkersovereenkomst gaat in op het moment dat u akkoord gaat met onze algemene voorwaarden en loopt voor de duur van de overeenkomst tussen ons.
  2. Als de overeenkomst eindigt — om welke reden dan ook — verwijderen wij uw persoonsgegevens conform het artikel over verwijdering van gegevens na beëindiging in onze algemene voorwaarden: actieve gegevens binnen zeven dagen na de einddatum, back-ups en snapshots binnen dertig dagen. Als u uw gegevens in een specifiek formaat wil ontvangen, moet dat vooraf schriftelijk worden afgesproken en technisch uitvoerbaar zijn.
  3. Wij mogen deze verwerkersovereenkomst wijzigen. Wezenlijke wijzigingen melden wij u minimaal dertig dagen van tevoren. Als u het er niet mee eens bent, mag u de overeenkomst beëindigen vóór de datum waarop de wijziging ingaat. Als u niet opzegt, gaan wij ervan uit dat u akkoord gaat.

Artikel 13 — Welk recht is van toepassing?

  1. Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
  2. Geschillen over deze verwerkersovereenkomst worden voorgelegd aan de bevoegde rechter in Rotterdam.

Bijlage 1 — Welke gegevens verwerken wij namens u?

Hoe werkt dit bij hosting?

De aard van onze dienstverlening — het beschikbaar stellen en beheren van hosting-, server- en netwerkomgevingen — brengt met zich mee dat wij technische toegang hebben tot de infrastructuur waarop u gegevens opslaat. U bepaalt zelf welke gegevens dat zijn. De categorieën hieronder zijn daarom indicatief en niet uitputtend.

Categorieën van persoonsgegevens

Afhankelijk van wat u op onze infrastructuur opslaat, kunnen de volgende categorieën persoonsgegevens worden verwerkt:

  • Identificatiegegevens — zoals namen, gebruikersnamen en klantnummers
  • Contactgegevens — zoals e-mailadressen, telefoonnummers en adressen
  • Technische gegevens — zoals IP-adressen, logbestanden, sessiedata en serverstatistieken
  • Communicatiegegevens — zoals e-mailinhoud die via onze mailservers verloopt
  • Websitegegevens — zoals inhoud van websites en applicaties die op onze infrastructuur worden gehost
  • Accountgegevens — zoals inloggegevens en toegangsrechten van uw eindgebruikers
  • Overige persoonsgegevens die u op onze infrastructuur opslaat

Wij zijn niet verantwoordelijk voor en hebben geen zicht op de specifieke inhoud van de gegevens die u opslaat. Als u bijzondere categorieën persoonsgegevens verwerkt — zoals gezondheidsgegevens, strafrechtelijke gegevens of biometrische gegevens — bent u zelf verantwoordelijk voor de rechtmatigheid daarvan en voor alle vereiste grondslagen en waarborgen. U informeert ons hier vooraf over conform artikel 2.4.

Categorieën van betrokkenen

Wie de betrokkenen zijn, hangt af van uw activiteiten. Dit kunnen onder meer zijn:

  • Uw klanten of eindgebruikers
  • Uw medewerkers of contactpersonen
  • Bezoekers van websites of applicaties die op onze infrastructuur worden gehost
  • Andere personen van wie u gegevens op onze infrastructuur opslaat

Bijlage 2 — Wie schakelen wij in?

Vaste sub-verwerkers

Deze partijen zijn structureel betrokken bij onze dienstverlening en kunnen daardoor toegang hebben tot gegevens die u op onze infrastructuur opslaat:

Partij Wat doen zij? Gevestigd in
Previder B.V. Datacenterhuisvesting en netwerkinfrastructuur Nederland
i4Networks B.V. Internetverbinding en transitdiensten Nederland
TransIP B.V. Externe servers voor monitoring, DNS en beheerde omgevingen Nederland
Tilaa B.V. Externe servers voor monitoring en beheerde omgevingen Nederland
Openprovider Domeinnaamregistratie — verwerkt registrantgegevens van u of uw klanten Nederland
HostFact Facturatie- en klantenadministratie Nederland

Incidentele sub-verwerkers

Deze partijen schakelen wij alleen in bij een concreet technisch probleem waarbij tijdelijke toegang tot een specifieke omgeving noodzakelijk is. Wij vragen u hiervoor altijd vooraf om toestemming — per geval. Zij worden pas ingeschakeld nadat u akkoord heeft gegeven:

Partij Wat doen zij? Gevestigd in
DirectAdmin (JBMC Software) Technische ondersteuning bij problemen met het controlepaneel Canada (adequaatheidsbesluit EU)
Plesk International GmbH Technische ondersteuning bij problemen met het controlepaneel Duitsland
Proxmox Server Solutions GmbH Technische ondersteuning bij problemen met het virtualisatieplatform Oostenrijk
JetBackup Technische ondersteuning bij problemen met de back-upsoftware — back-ups worden op eigen servers van xYnta opgeslagen Israël (standaardcontractbepalingen EU)
CloudLinux Inc. Technische ondersteuning bij problemen met het besturingssysteem Verenigde Staten (standaardcontractbepalingen EU)
Installatron Installatie en beheer van webapplicaties — tijdelijke toegang tot hostingomgeving Verenigde Staten (standaardcontractbepalingen EU)
Releem Databaseoptimalisatie — analyseert serverstatistieken en configuratiedata Verenigde Staten (standaardcontractbepalingen EU)
cPGuard (OpShield LLP) Beveiligingssoftware die hostingomgevingen scant op malware en bedreigingen India (standaardcontractbepalingen EU)
Overige partijen Incidentele technische ondersteuning — uitsluitend na voorafgaande schriftelijke toestemming van u per geval Variabel — wij informeren u per geval over het vestigingsland en de geldende waarborgen

Bij incidentele sub-verwerkers buiten de EER zorgen wij voor passende waarborgen op grond van de AVG voordat er toegang wordt verleend. Wij informeren u hier altijd over.

Wijzigingen

Als wij een nieuwe vaste sub-verwerker willen inschakelen, laten wij u dat minimaal dertig dagen van tevoren weten. De meest actuele versie van deze bijlage is altijd te vinden op xynta.com/verwerkersovereenkomst.