Verwerkersovereenkomst (DPA)

Versie: 1.0

Geldig vanaf: 2026-05-09

Conform: GDPR art. 28 + AVG

Toepasselijk recht: NL

ℹ Wanneer is deze DPA van toepassing? Bij elk gebruik van Layg waar de klant persoonsgegevens van zijn eindgebruikers verwerkt via ons platform. De DPA is een onlosmakelijk onderdeel van onze algemene voorwaarden.

1. Partijen en rolverdeling

Deze verwerkersovereenkomst (hierna: "DPA") wordt gesloten tussen:

Verwerkingsverantwoordelijke	Verwerker
De klant (ondernemer of organisatie die een overeenkomst met Layg heeft afgesloten)	Layg (handelsnaam van Aanbod op Maat) Willem Vliegenstraat 30A 6214 AT Maastricht, Nederland D-U-N-S 473783386

De klant is verwerkingsverantwoordelijke (controller) voor de persoonsgegevens die hij via het Layg platform verwerkt. Layg is verwerker (processor) en handelt uitsluitend op gedocumenteerde instructie van de klant.

2. Doel en duur

Layg verwerkt persoonsgegevens uitsluitend voor het leveren van de overeengekomen diensten (SaaS-platform, hosting, websitebouw, AI-functionaliteit, CRM, e-mailhosting, marketing-tools). De DPA heeft dezelfde looptijd als de hoofd-overeenkomst en eindigt automatisch bij beëindiging daarvan.

3. Aard, doel en categorieën

Zie Bijlage 1 voor specificatie per dienst-type.

4. Verplichtingen Layg (verwerker)

Layg verbindt zich tot:

Verwerken uitsluitend op gedocumenteerde instructie van de klant (de overeenkomst + portal-instellingen).
Vertrouwelijkheidsplicht: medewerkers en sub-verwerkers zijn gebonden aan geheimhouding (NDA + arbeidscontract).
Treffen van passende technische en organisatorische maatregelen (TOM) — zie Bijlage 2.
Geen inschakeling van sub-verwerkers zonder voorafgaande algemene of specifieke schriftelijke toestemming (lijst sub-verwerkers in Bijlage 3, wijzigingen 30 dagen vooraf gemeld).
Bijstand verlenen aan klant bij verzoeken van betrokkenen (recht op inzage, correctie, verwijdering, dataportabiliteit, bezwaar).
Bijstand verlenen aan klant bij DPIA's (gegevensbeschermingseffectbeoordelingen) waar relevant.
Datalekken melden binnen 72 uur na constatering aan de klant via privacy@layg.info + dashboard-banner.
Op verzoek alle persoonsgegevens teruggeven of verwijderen (na einde overeenkomst).
Audit-rechten: klant mag jaarlijks (na 30 dagen aankondiging) een audit (laten) uitvoeren op kosten van klant. Pentest-rapporten beschikbaar onder NDA.

5. Internationale doorgifte

Persoonsgegevens worden primair verwerkt in Nederland en België (datacenters Maastricht, Utrecht, Antwerpen). Bij gebruik van AI-providers in derde landen (VS) gelden:

EU-US Data Privacy Framework (DPF-gecertificeerde providers waar mogelijk)
Standard Contractual Clauses (SCC's) van de Europese Commissie
Placeholder-masking voor gevoelige data (NAW, BSN, IBAN, KvK)
Klant kan AI-features uitschakelen voor zijn account

6. Sub-verwerkers

De klant geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers. De actuele lijst is op te vragen via /sub-verwerkers en bevat onder meer:

Hosting-infrastructuur (NL+BE Tier IV datacenters)
Mollie B.V. (NL) — betalingen
OpenAI / Anthropic / Google / Mistral — AI-diensten
SIDN-aangesloten registrars — domeinregistratie
SMTP-providers — e-mailbezorging (Mailgun EU als fallback)

Wijzigingen worden 30 dagen vooraf aangekondigd per e-mail. De klant heeft het recht bij gegronde redenen bezwaar te maken; in dat geval kunnen partijen de overeenkomst kosteloos beëindigen.

7. Beveiliging (Bijlage 2 samenvatting)

Volledige TOM-lijst in Bijlage 2. Belangrijkste maatregelen:

Versleuteling in transit: TLS 1.3 (HSTS, HTTP/2)
Versleuteling at rest: AES-256-GCM voor credentials, API-keys, tokens, betalingsdata
Toegangscontrole: SSH-keys (geen wachtwoord), 2FA op admin-portal, RBAC, principle-of-least-privilege
Network: WAF + CrowdSec rate-limiting + iptables firewall + DDoS-protectie
Monitoring: 24/7 uptime + IDS/IPS + AIDE file-integrity-tracking + audit-logging
Backup: 3-2-1 strategie over 3 datacenters (Maastricht / Utrecht / Antwerpen), retentie 30d primair + 90d offsite
Pentest: jaarlijks extern, rapport onder NDA
Frameworks: ISO 27001 + NEN 7510 framework geïmplementeerd, audit Q4 2026

8. Bewaartermijnen

Tijdens overeenkomst: zolang de klant de dienst gebruikt
Na opzegging: 30 dagen export-window, daarna verwijdering
Wettelijke verplichtingen: factuurgegevens 7 jaar (AWR art. 52)
Security-logs: 90 dagen voor incident-response, daarna anonimisering
Backups: maximaal 90 dagen na origineel verwijderen

9. Datalekken

Bij een datalek (incident waarbij persoonsgegevens onbedoeld toegankelijk werden):

Layg meldt aan klant binnen 72 uur na constatering
Melding bevat: aard, omvang, betrokken categorieën, gevolgen, getroffen maatregelen
Klant beslist of melding aan AP/GBA en/of betrokkenen vereist is (klant is verwerkingsverantwoordelijke)
Layg verleent bijstand bij melding en mitigation

10. Aansprakelijkheid

Aansprakelijkheid voor inbreuken op de DPA volgt de aansprakelijkheidsbepaling in de algemene voorwaarden art. 16 (max € 25.000 per voorval). De klant vrijwaart Layg voor claims voortvloeiend uit:

Onrechtmatige verzameling van persoonsgegevens door de klant
Schending van de informatieplicht jegens betrokkenen
Onjuiste of onrechtmatige instructies aan Layg

11. Toepasselijk recht en geschillen

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de Rechtbank Limburg, locatie Maastricht.

📋 Bijlage 1 — Aard, doel, categorieën verwerkte persoonsgegevens

Per dienst-type:

Dienst	Categorieën persoonsgegevens	Doel
Hosting + websitebouw	NAW, contact, IP-adressen bezoekers, formulier-inzendingen	Levering websitehosting + bezoekers-statistieken
CRM-platform	Klantgegevens van eindklanten (NAW, e-mail, telefoon, notities, communicatie)	Klantenbeheer + sales-pipeline voor klant
E-mailhosting	E-mailadressen, e-mailinhoud (transit + opslag)	Verzenden + ontvangen + opslaan e-mails voor klant
AI-assistent	Tekstinvoer (gemaskeerd voor gevoelige data)	Beantwoorden vragen + content-generatie
Marketing/Ads	Lead-gegevens, conversie-events, geanonimiseerde analytics	Campagne-rapportage + lead-scoring
Facturatie	Facturatiegegevens eindklanten van klant (bedrijfsnaam, KvK, BTW, adres)	Genereren + verzenden facturen

Categorieën betrokkenen:

Eindklanten van de klant (bezoekers, leads, kopers)
Werknemers van de klant (CRM-gebruikers)
Contactpersonen in de CRM van de klant

Geen bijzondere persoonsgegevens:

Standaard worden geen bijzondere categorieën persoonsgegevens (gezondheid, geloof, etniciteit, seksuele geaardheid) verwerkt. Bij specifieke afspraak (zorginstellingen onder NEN 7510) gelden aanvullende voorwaarden.

🔒 Bijlage 2 — Technische en organisatorische maatregelen (TOM)

Toegangsbeveiliging

SSH-key authenticatie (PasswordAuthentication=no, PermitRootLogin=prohibit-password)
2FA verplicht voor admin-portal (TOTP via authenticator-app)
Role-based access control (3 rollen: admin / staff / klant)
Audit-logging van alle login-attempts + privileged operations

Versleuteling

TLS 1.3 minimum, HSTS preload, HTTP/2
AES-256-GCM voor at-rest encryptie van credentials, API-keys, tokens
Bcrypt voor wachtwoord-hashing
Database-level encryption voor klant-gevoelige tabellen

Netwerkbeveiliging

iptables firewall met DROP default policy
CrowdSec voor real-time IP-banning + threat-intelligence
WAF voor web-applicatie aanvallen (OWASP top 10)
DDoS-protectie via infrastructuur-laag

Backup en disaster recovery

Dagelijkse backups in Maastricht + Utrecht + Antwerpen (3-2-1 strategie)
Backups AES-256-GCM versleuteld
Retentie: 30 dagen primair, 90 dagen offsite
Disaster Recovery Plan jaarlijks getest
RPO: 24u · RTO: 4u portal / 8u websites

Monitoring en incident-response

24/7 uptime-monitoring + alert-systeem
IDS/IPS (Intrusion Detection/Prevention System)
AIDE file-integrity-tracking (dagelijkse scan)
Centraal audit-log: /var/log/itlive-auth-audit.log
Incident-response team binnen 1 uur bereikbaar voor critical incidents

Organisatorische maatregelen

NDA + arbeidscontract met geheimhoudingsplicht voor alle medewerkers
Need-to-know basis voor toegang tot klant-data
Privacy-by-design in alle nieuwe features
Jaarlijkse security-training medewerkers
ISO 27001 + NEN 7510 framework actief, audit Q4 2026

🔗 Bijlage 3 — Sub-verwerkers (samenvatting)

Volledige actuele lijst: /sub-verwerkers

Sub-verwerker	Functie	Locatie data
Eigen DC Maastricht	Primaire hosting + storage	🇳🇱 NL
Eigen DC Utrecht	NL geo-redundantie + replica	🇳🇱 NL
Eigen DC Antwerpen	BE failover + offsite backup	🇧🇪 BE
Mollie B.V.	Online betalingen	🇳🇱 NL
OpenAI	AI-functionaliteit (gemaskeerd)	🇺🇸 VS — DPF + SCC
Anthropic	AI-functionaliteit (gemaskeerd)	🇺🇸 VS — SCC
Google Cloud	AI + Maps + Analytics	🇪🇺 EU + 🇺🇸 VS — DPF
Mistral AI	AI-functionaliteit (EU-only)	🇫🇷 EU
SIDN / DNS Belgium / EURid	Domeinregistratie	🇪🇺 EU
Mailgun	SMTP-relay (fallback)	🇪🇺 EU

📱 Bijlage 4 — WhatsApp Business Beheer (specifiek)

Deze bijlage is van toepassing wanneer de klant het WhatsApp Business Beheer-pakket afneemt waarbij Layg namens de klant WhatsApp-conversaties verwerkt.

Wettelijke grondslag

GDPR art. 6 lid 1(b): noodzakelijk voor uitvoering van overeenkomst tussen klant en eindgebruiker (klantenservice / orderafhandeling).
GDPR art. 6 lid 1(f): gerechtvaardigd belang van klant bij efficiënte communicatie, mits eindgebruiker initieert het gesprek of expliciet opt-in geeft.
WhatsApp Business Terms: alle communicatie binnen 24-uurs service-window of via goedgekeurde templates buiten dit window.

Wat Layg verwerkt namens klant

Data-type	Doel	Bewaartermijn
Inkomende/uitgaande berichten	Klantenservice + AI-bot reply	24 mnd (klant kan korter instellen)
Telefoonnummer eindgebruiker	Conversatie-routing	Tot opt-out / 36 mnd
Profielfoto/naam (indien gedeeld)	Herkenning in inbox	24 mnd
Media (foto/video/audio)	Context-bewaring	12 mnd, daarna metadata-only
AI-bot conversaties	Auto-reply + lead-scoring	24 mnd, geanonimiseerd na 12 mnd

Verwerkings-locatie

WhatsApp-data wordt opgeslagen op eigen Baileys-bridges (geen Meta Cloud API) in datacenters Maastricht/Utrecht/Antwerpen.
Meta verwerkt enkel bericht-transport (E2E-encryptie blijft van kracht tot ontvangst op Layg-bridge).
AI-bot replies gebruiken EU-providers waar mogelijk (Mistral, Groq EU) — VS-providers via SCC + DPF.

Opt-in / opt-out verplichtingen klant

Klant moet WhatsApp-nummer publiekelijk vermelden of via opt-in formulier verkrijgen.
Elke chat krijgt automatisch een STOP-keyword opt-out bij eerste contact (configureerbaar in WA-pakket).
Layg houdt opt-out log bij in tabel wa_optouts · onmiddellijke blokkade na "STOP".
Templates (marketing-berichten) alleen via klant-goedkeuring + Meta-template-approval.

AI-bot transparantie

Wanneer een AI-bot antwoordt namens klant, wordt dit standaard kenbaar gemaakt in het eerste bericht ("Ik ben de digitale assistent van <klantnaam>").
Klant kan per-chat schakelen tussen auto / hybrid / manual mode (zie portaal-instellingen).
Bij gevoelige onderwerpen escaleert de bot automatisch naar mens (escalatie-triggers in wa_ai_config).

Toegang door Layg-medewerkers

Alleen info@layg.info-account heeft inbox-access voor support (zie audit-log /var/log/itlive/wa-inbox-access-denied.log).
Andere medewerkers: enkel anoniem stats-niveau.
Toegang ALTIJD gelogd per actor + timestamp + chat-JID.

Klant-verantwoordelijkheid

Klant blijft verwerkingsverantwoordelijke voor eindgebruiker-PII en moet eigen privacy-statement aanpassen.
Klant tekent expliciete acceptatie van deze WA-bijlage tijdens onboarding (checkbox + log in customer_dpa_acceptance).
Bij data-subject-request (inzage/wissen) levert Layg binnen 7 dagen export aan klant.

📝 DPA ondertekenen

Voor de meeste klanten is acceptatie via portal voldoende. Voor formele papier-versie:

📧 Vraag formele DPA aan 🔧 Beheer in portal

Contact

Vragen over deze DPA? privacy@layg.info

Functionaris voor Gegevensbescherming (FG/DPO): aangesteld bij ISO 27001 audit Q4 2026. Tot die tijd: privacy-coördinator via privacy@layg.info.

Versie 1.0 · 2026-05-09 · Layg (Aanbod op Maat) · KvK 99488299 · D-U-N-S 473783386