DPA en verwerkersafspraken (AVG)
Laatst bijgewerkt: 24-04-2026
Dit document beschrijft hoe Awesum als verwerker persoonsgegevens verwerkt binnen het supportportal, inclusief tickets, klantaccounts, facturatie- en communicatieprocessen. Dit document is bedoeld voor klanten die willen zien welke privacy- en beveiligingsafspraken standaard gelden.
1. Rollen en verantwoordelijkheden
- Klant: verwerkingsverantwoordelijke voor eigen klant- en gebruikersdata in het supportportal.
- Awesum: verwerker voor hosting, supportafhandeling, ticketverwerking, strippenkaart- en abonnementsadministratie.
- Subverwerkers: leveranciers voor infrastructuur, e-mail en betalingen zoals benoemd in Subverwerkers en doorgiften.
2. Doel van de verwerking
- Inrichten en beheren van klantaccounts voor toegang tot het supportportal.
- Ontvangen, verwerken en opvolgen van supporttickets en bijbehorende communicatie.
- Administreren van strippenkaarten, maandbundels, urenregistraties en facturen.
- Versturen van noodzakelijke serviceberichten en transactie-e-mails.
- Beschermen van platform en accounts met beveiligingscontroles, logging en toegangsmaatregelen.
3. Categorieen persoonsgegevens
- Accountgegevens: e-mailadres, naam, logingegevens, 2FA-status.
- Bedrijfsgegevens: bedrijfsnaam, contactpersoon, factuurgegevens, adresgegevens, btw- en kvk-gegevens.
- Supportgegevens: ticketinhoud, reacties, bijlagen en statushistorie.
- Financiele metadata: transactiestatus, factuurreferenties, Stripe-gerelateerde klant- en factuurkoppelingen.
- Beveiligings- en auditdata: loginpogingen, administratieve wijzigingen, systeemmeldingen.
4. Verwerkingsinstructies
Awesum verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de klant, waaronder:
- de actieve dienstverlening in het supportportal;
- de overeengekomen support- en facturatieprocessen;
- en wettelijke verplichtingen die op Awesum rusten.
5. Beveiligingsmaatregelen (samenvatting)
- toegangsbeperking op basis van rollen en autorisaties;
- 2FA-ondersteuning en reset-procedures voor beheerders en klanten;
- rate-limiting, sessiebeveiliging, CSRF-bescherming en host-validatie;
- logging van kritieke handelingen zoals account- en ticketupdates;
- periodieke updates en beveiligingsverbeteringen op applicatie- en infrastructuurniveau.
6. Gegevensdeling en subverwerkers
Awesum schakelt subverwerkers in voor hosting, e-mail en betalingen. Bij nieuwe subverwerkers of materiele wijzigingen wordt de subverwerkerslijst bijgewerkt in het docs-overzicht.
7. Doorgiften buiten de EER
Indien een subverwerker gegevens buiten de EER verwerkt, wordt een geldige doorgiftegrondslag toegepast (bijvoorbeeld passende contractuele waarborgen), conform AVG en actuele richtlijnen.
8. Rechten van betrokkenen
Awesum ondersteunt klanten bij verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, bezwaar, dataportabiliteit) volgens de procedure in SOP rechten van betrokkenen.
9. Datalekken en incidenten
Awesum meldt beveiligingsincidenten zonder onnodige vertraging aan de klant en ondersteunt bij beoordeling, impactanalyse en eventuele meldplicht, conform SOP datalekrespons.
10. Bewaartermijnen en verwijdering
Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor dienstverlening, wettelijke verplichtingen en gerechtvaardigde bedrijfsvoering. Details staan in Bewaartermijnenbeleid.
11. Einde dienstverlening
Bij beeindiging van de dienstverlening worden gegevens verwijderd of geretourneerd volgens contractuele afspraken, tenzij wettelijke bewaarplicht anders vereist.
12. Contact privacyverzoeken
Voor privacy- en verwerkersvragen kunnen klanten contact opnemen via de reguliere supportkanalen van Awesum, met referentie naar dit document en het relevante klantaccount.