Juridisch & privacy

Verwerkersovereenkomst

Voor zakelijke klanten kan OMW2Budget persoonsgegevens verwerken namens de klant, bijvoorbeeld wanneer transacties namen van klanten, leveranciers of medewerkers bevatten.

Laatst bijgewerkt: 23 juni 2026Publiek en transparant

Duidelijke afspraken

Kort, openbaar en geschreven voor normaal gebruik van OMW2Budget.

1. Rollen

OMW2Budget als verantwoordelijke
Account, login, abonnement, betaling, persoonlijke begeleiding, security, support en eigen administratie.
OMW2Budget als verwerker
Klantdata die een zakelijke gebruiker invoert, uploadt of via bankkoppeling laat synchroniseren in budgetten, rekeningen, transacties, omschrijvingen, memo’s, categorieen en rapportages.
Zakelijke klant
Verwerkingsverantwoordelijke voor persoonsgegevens die de klant zelf in de app verwerkt.

2. Verwerking namens zakelijke klant

  • We verwerken klantdata alleen voor het leveren van de dienst.
  • We gebruiken klantdata niet voor advertenties of dataverkoop.
  • We sturen klantdata niet naar AI-providers voor training of analyse, tenzij daarvoor later een aparte functie, grondslag en duidelijke afspraak bestaat.
  • We nemen passende beveiligingsmaatregelen op hoofdlijnen zoals beschreven op de beveiligingspagina.
  • We schakelen subverwerkers in die nodig zijn voor de dienst.
  • Persoonlijke begeleiding en supportcommunicatie verwerkt OMW2Budget in beginsel als eigen verantwoordelijke, tenzij schriftelijk anders afgesproken.
  • Bij bankkoppeling gebruiken we finAPI als gespecialiseerde subverwerker voor PSD2 Web Form, bankconsent en synchronisatie van rekening- en transactiedata.
  • We ondersteunen export en verwijdering binnen de grenzen van de app en wettelijke bewaarplichten.

3. Onderwerp, duur en categorieen

Onderwerp
Het leveren, hosten, beveiligen en ondersteunen van OMW2Budget voor budgettering, import, bankkoppeling en rapportage.
Duur
Zolang de zakelijke klant de dienst gebruikt en totdat klantdata is verwijderd, geexporteerd, geanonimiseerd of langer moet worden bewaard op grond van wet, beveiliging, geschilafhandeling of backupcycli.
Betrokkenen
Gebruikers van de zakelijke klant en personen die voorkomen in klantdata, zoals klanten, leveranciers, medewerkers, opdrachtnemers, rekeninghouders of andere tegenpartijen in transacties.
Persoonsgegevens
Namen, banktransactieomschrijvingen, bedragen, datums, tegenpartijen, rekeningnamen, memos, categorieen, btw-velden, rapportgegevens en gegevens uit CSV/PDF-import of bankkoppeling.
Bijzondere gegevens
Niet bedoeld. De klant mag bijzondere persoonsgegevens alleen verwerken wanneer daar een geldige grondslag en passende waarborgen voor bestaan.

4. Instructies en verantwoordelijkheden

  • De zakelijke klant bepaalt het doel, de inhoud, de juistheid, de grondslag en de bewaartermijnen van klantdata.
  • OMW2Budget verwerkt klantdata volgens de overeenkomst, deze verwerkersafspraken, de instellingen in de app en redelijke schriftelijke instructies.
  • Als een instructie volgens OMW2Budget in strijd is met privacyrecht, melden we dat aan de klant voor zover wettelijk toegestaan.
  • De klant beheert eigen gebruikers, MFA, toegangsrechten en het vermijden van onnodige of bijzondere persoonsgegevens.

5. Beveiliging en geheimhouding

OMW2Budget neemt passende technische en organisatorische maatregelen, waaronder HTTPS/TLS, Supabase Auth, RLS, ownership-controles, MFA-step-up voor gevoelige acties, payloadlimieten, rate limiting, botbescherming, webhookverificatie, redaction van logs, audit logging, gescheiden secrets en incidentprocedures.

Personen die namens OMW2Budget toegang krijgen tot klantdata moeten klantdata vertrouwelijk behandelen en mogen alleen toegang krijgen wanneer dat nodig is voor support, beveiliging, beheer of wettelijke verplichtingen.

6. Subverwerkers

De belangrijkste subverwerkers staan op subverwerkers. Zakelijke klanten moeten er rekening mee houden dat betalings-, store- en OAuth-platformen soms ook eigen verantwoordelijke rollen hebben.

OMW2Budget mag subverwerkers inschakelen die nodig zijn voor hosting, database, authenticatie, beveiliging, betaling, bankkoppeling, e-mail/servicecommunicatie, support, performance en media. Bij een wezenlijke nieuwe subverwerker werken we de informatie bij. De klant kan bezwaar maken als daar een redelijk privacy- of securitybezwaar voor bestaat.

7. Internationale doorgifte

We proberen klantdata binnen de Europese Economische Ruimte te verwerken waar dat praktisch en contractueel kan. Als verwerking buiten de EER plaatsvindt, gebruiken we passende doorgiftemechanismen zoals een adequaatheidsbesluit, Standard Contractual Clauses of een ander wettelijk toegestaan mechanisme.

8. Datalekken en verzoeken van betrokkenen

Bij een datalek met klantdata informeren we de zakelijke klant zonder onredelijke vertraging nadat we daarvan kennis hebben gekregen. We delen, voor zover beschikbaar, de aard van het incident, categorieen gegevens en betrokkenen, waarschijnlijke gevolgen en genomen of voorgestelde maatregelen.

Als een betrokkene rechtstreeks contact opneemt over klantdata waarvoor de zakelijke klant verantwoordelijke is, verwijzen we de betrokkene naar de klant of sturen we het verzoek door, tenzij de wet anders vereist. We ondersteunen de klant redelijkerwijs bij inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar voor zover de app en beschikbare data dat toelaten.

9. Export, verwijdering en audits

  • OMW2Budget ondersteunt export en accountverwijdering binnen de grenzen van de app.
  • Klantdata wordt na einde van de dienst verwijderd of teruggegeven, tenzij bewaring nodig is op grond van wet, beveiliging, geschilafhandeling of backupcycli.
  • Backups worden niet gebruikt voor gewone verwerking en verdwijnen via de backupcyclus of worden na herstel opnieuw opgeschoond waar nodig.
  • OMW2Budget stelt redelijke informatie beschikbaar om naleving aan te tonen, zoals securitydocumentatie, subverwerkersinformatie en toelichting op maatregelen.

10. Volledige DPA

Deze pagina is de publieke samenvatting en bevat de kernpunten die voor zakelijke klanten relevant zijn. Voor enterprise- of maatwerkafspraken kan een aparte ondertekende DPA nodig zijn met aanvullende afspraken over aansprakelijkheid, audit, subverwerkers, regio's, supporttoegang en specifieke bewaartermijnen.