Juridisch

Verwerkersovereenkomst

Laatst bijgewerkt: 13 juli 2026

Deze verwerkersovereenkomst is opgesteld conform artikel 28 AVG en is van toepassing wanneer de klant persoonsgegevens laat verwerken via DuzMarc, bijvoorbeeld gegevens die voorkomen in DMARC of TLS RPT rapporten. Door akkoord te gaan met de algemene voorwaarden bij het aanmaken van een account, gaat de klant automatisch ook akkoord met deze verwerkersovereenkomst. Een apart ondertekend exemplaar is op verzoek beschikbaar via info@duzmarc.nl.

1. Partijen

Deze overeenkomst wordt gesloten tussen de klant, hierna verwerkingsverantwoordelijke, en Düzgün IT Services (KvK 99850850, btw NL005414304B63, gevestigd te Utrecht), hierna verwerker, als aanbieder van DuzMarc.

2. Onderwerp en duur

De verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van DuzMarc aan de verwerkingsverantwoordelijke, voor de duur van de onderliggende overeenkomst (het abonnement). Na beëindiging van het abonnement gelden de bewaar en verwijdertermijnen zoals beschreven in artikel 8.

3. Aard en doel van de verwerking

De verwerker verzamelt, ontcijfert en structureert DMARC, TLS RPT en forensische rapporten die mailboxproviders sturen over e-mailverkeer dat het domein van de verwerkingsverantwoordelijke gebruikt, en toont deze in een dashboard. Deze rapporten bevatten doorgaans technische en infrastructurele gegevens (zoals verzendende IP-adressen), en incidenteel persoonsgegevens van betrokkenen bij de verwerkingsverantwoordelijke of derden, bijvoorbeeld wanneer een IP-adres herleidbaar is tot een natuurlijk persoon. De categorieën betrokkenen zijn: medewerkers en gebruikers van de verwerkingsverantwoordelijke, en afzenders van e-mail die het domein van de verwerkingsverantwoordelijke gebruiken.

4. Verplichtingen van de verwerker

De verwerker verwerkt persoonsgegevens uitsluitend op basis van deze overeenkomst en gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. De verwerker legt alle personen die toegang hebben tot de gegevens een geheimhoudingsplicht op en zorgt voor passende technische en organisatorische beveiligingsmaatregelen, waaronder tweestapsverificatie voor accounts, versleutelde back-ups binnen de EU, en toegangsbeperking tot productiesystemen tot het eigen team.

5. Subverwerkers

De verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van de volgende subverwerkers. De verwerker informeert de verwerkingsverantwoordelijke vooraf over wijzigingen in deze lijst, zodat bezwaar mogelijk is.

PartijRolLocatie
Etheron VPS / serverinfrastructuur Nederland (EU)
Soverin Domeinregistratie en mailserver voor binnenkomende rapporten Nederland (EU)
Pay.nl Betalingsverwerking Nederland (EU)
Lettermint Verzenden van systeem e-mail Nederland (EU)
Actalis Uitgifte SSL/TLS certificaat Italië (EU)
Statichost.eu Hosting van de marketingwebsite EU
DNS4EU DNS-naamresolutie EU
Quad9 DNS-naamresolutie (back-up, registreert geen IP-adressen) Zwitserland, adequaatheidsland

6. Doorgifte buiten de EU

Alle in artikel 5 genoemde subverwerkers zijn gevestigd binnen de EU, met uitzondering van Quad9, gevestigd in Zwitserland. Zwitserland geldt onder de AVG als adequaatheidsland; bovendien registreert Quad9 geen IP-adressen van gebruikers. Buiten deze uitzondering vindt geen doorgifte van persoonsgegevens naar landen buiten de EU plaats.

7. Meldplicht datalekken

De verwerker meldt een beveiligingsincident dat mogelijk gevolgen heeft voor persoonsgegevens zonder onredelijke vertraging, en in ieder geval binnen 48 uur nadat de verwerker hiervan kennis heeft genomen, aan de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke blijft zelf verantwoordelijk voor het al dan niet melden van het incident bij de Autoriteit Persoonsgegevens en betrokkenen.

8. Teruggave en verwijdering

De verwerkingsverantwoordelijke kan gedurende de looptijd van het abonnement te allen tijde de eigen rapportdata exporteren via de instellingenpagina. Na beëindiging van het abonnement wordt alle data, inclusief back-ups, binnen een vaste termijn definitief verwijderd, tenzij een wettelijke bewaarplicht anders vereist.

9. Bijstand bij rechten van betrokkenen

De verwerker verleent de verwerkingsverantwoordelijke redelijke medewerking bij verzoeken van betrokkenen die gebruikmaken van hun rechten onder de AVG, voor zover deze verzoeken betrekking hebben op gegevens die via DuzMarc worden verwerkt.

10. Controle

De verwerkingsverantwoordelijke heeft het recht om, na voorafgaande schriftelijke aankondiging en eenmaal per jaar, redelijke informatie op te vragen over de naleving van deze overeenkomst door de verwerker. Een fysieke audit vindt alleen plaats na onderling overleg over vorm, tijdstip en kosten.

11. Aansprakelijkheid

De aansprakelijkheid van de verwerker onder deze verwerkersovereenkomst is beperkt zoals bepaald in artikel 9 van de algemene voorwaarden.

12. Slotbepalingen

Deze verwerkersovereenkomst maakt onderdeel uit van de overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker en kan niet los daarvan worden opgezegd. Op deze overeenkomst is Nederlands recht van toepassing.

13. Contact

Vragen over deze verwerkersovereenkomst kun je richten aan info@duzmarc.nl.