BouwLog

Juridisch

Verwerkersovereenkomst

Versie 1.0 · Laatst bijgewerkt: 15 juni 2026

Deze verwerkersovereenkomst (hierna: “DPA”) maakt onlosmakelijk deel uit van de overeenkomst tussen BouwLog en de klant over het gebruik van de dienst (zie de algemene voorwaarden). De DPA legt vast hoe BouwLog persoonsgegevens verwerkt namens de klant en voldoet aan de eisen van artikel 28 AVG.

In deze DPA is de klant de verwerkingsverantwoordelijke en BouwLog de verwerker. De DPA geldt voor de persoonsgegevens die de klant via de dienst laat verwerken (bijvoorbeeld gegevens van medewerkers, opdrachtgevers en onderaannemers). Voor de gegevens waarvoor BouwLog zelf verwerkingsverantwoordelijke is, geldt het privacybeleid.

Inhoud

  1. 1. Definities
  2. 2. Onderwerp en duur
  3. 3. Instructies en doelbinding
  4. 4. Geheimhouding
  5. 5. Beveiliging
  6. 6. Subverwerkers
  7. 7. Rechten van betrokkenen
  8. 8. Datalekken
  9. 9. DPIA en bijstand
  10. 10. Doorgifte buiten de EER
  11. 11. Teruggave en verwijdering
  12. 12. Audits en informatie
  13. 13. Aansprakelijkheid
  14. 14. Slot en toepasselijk recht
  15. Bijlage: verwerkingsdetails

1. Definities

Begrippen als persoonsgegevens, verwerking, betrokkene, verwerkingsverantwoordelijke, verwerker, subverwerker en datalek hebben de betekenis die de AVG eraan geeft. Begrippen uit de algemene voorwaarden gelden ook in deze DPA, tenzij hier anders is bepaald.

De verwerker is BouwLog (handelsnaam), eenmanszaak, gevestigd te Purmerend (Abbringstraat 18), ingeschreven bij de KvK onder nummer 76045536, btw-identificatienummer NL003040104B24.

2. Onderwerp en duur

BouwLog verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de dienst aan de klant. De aard en het doel van de verwerking, de soorten persoonsgegevens en de categorieën betrokkenen zijn beschreven in de bijlage. Deze DPA geldt zolang BouwLog in het kader van de overeenkomst persoonsgegevens voor de klant verwerkt en eindigt zodra de overeenkomst eindigt en alle persoonsgegevens conform §11 zijn teruggegeven of verwijderd.

3. Instructies en doelbinding

BouwLog verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de klant, waarvan de overeenkomst en deze DPA de basisinstructie vormen, en niet voor eigen doeleinden. BouwLog stelt de klant in kennis als naar haar oordeel een instructie in strijd is met de AVG of andere gegevensbeschermingsregels. Verwerkt BouwLog op grond van een wettelijke verplichting buiten de instructies om, dan meldt zij dit vooraf aan de klant, tenzij de wet dit verbiedt.

4. Geheimhouding

BouwLog zorgt ervoor dat personen die toegang hebben tot de persoonsgegevens tot geheimhouding zijn verplicht en de gegevens uitsluitend verwerken voor zover nodig voor het leveren van de dienst.

5. Beveiliging

BouwLog treft passende technische en organisatorische maatregelen in de zin van artikel 32 AVG om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zijn beschreven in de bijlage en omvatten onder meer versleuteling van gegevens tijdens transport en opslag, toegangsscheiding tussen organisaties, rolgebaseerde toegangsrechten, logging en periodieke evaluatie.

6. Subverwerkers

De klant verleent BouwLog algemene toestemming om subverwerkers in te schakelen voor de uitvoering van de dienst. De actuele subverwerkers zijn opgenomen in het privacybeleid en in de bijlage. BouwLog legt aan elke subverwerker dezelfde gegevensbeschermingsverplichtingen op als in deze DPA en blijft jegens de klant aansprakelijk voor de naleving daarvan. Bij voorgenomen wijziging of toevoeging van een subverwerker informeert BouwLog de klant vooraf, zodat de klant daartegen bezwaar kan maken.

7. Rechten van betrokkenen

BouwLog verleent de klant, voor zover redelijkerwijs mogelijk, bijstand bij het afhandelen van verzoeken van betrokkenen om hun rechten uit te oefenen (zoals inzage, rectificatie, verwijdering, beperking, bezwaar en dataportabiliteit). Richt een betrokkene zich rechtstreeks tot BouwLog, dan verwijst BouwLog deze in beginsel door naar de klant.

8. Datalekken

BouwLog informeert de klant zonder onredelijke vertraging nadat zij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (datalek), en verstrekt de klant de informatie die deze nodig heeft om aan zijn eventuele meldplicht bij de Autoriteit Persoonsgegevens en betrokkenen te voldoen. BouwLog verleent redelijke bijstand bij onderzoek, beperking en herstel.

9. DPIA en bijstand

BouwLog verleent de klant redelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en een eventuele voorafgaande raadpleging van de toezichthouder, voor zover dit betrekking heeft op de verwerking door BouwLog en rekening houdend met de aard van de verwerking en de beschikbare informatie.

10. Doorgifte buiten de EER

BouwLog verwerkt de persoonsgegevens in beginsel binnen de Europese Economische Ruimte. Vindt doorgifte naar een land buiten de EER plaats, dan gebeurt dit uitsluitend met passende waarborgen in de zin van de AVG, zoals een adequaatheidsbesluit of de modelcontractbepalingen (Standard Contractual Clauses), aangevuld met aanvullende maatregelen waar nodig.

11. Teruggave en verwijdering

Na beëindiging van de dienst verwijdert BouwLog, naar keuze van de klant, alle persoonsgegevens of geeft deze terug, en verwijdert bestaande kopieën, tenzij wettelijke bewaarplichten anders bepalen. De klant kan zijn gegevens vóór beëindiging exporteren. Gegevens in routinematige back-ups worden verwijderd zodra deze regulier worden overschreven.

12. Audits en informatie

BouwLog stelt de klant op verzoek de informatie ter beschikking die nodig is om de naleving van de verplichtingen uit deze DPA aan te tonen, en maakt audits — waaronder inspecties door de klant of een door de klant gemachtigde auditor — mogelijk en draagt eraan bij. Partijen kunnen redelijke afspraken maken over de frequentie, het tijdstip, de vertrouwelijkheid en de kosten van dergelijke audits.

13. Aansprakelijkheid

Op de aansprakelijkheid onder deze DPA zijn de aansprakelijkheidsbepalingen uit de algemene voorwaarden van overeenkomstige toepassing, onverminderd de dwingendrechtelijke bepalingen van de AVG.

14. Slot en toepasselijk recht

Bij strijdigheid tussen deze DPA en de algemene voorwaarden gaat deze DPA voor wat betreft de verwerking van persoonsgegevens. Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde Nederlandse rechter.

Bijlage: verwerkingsdetails

Onderwerp en aard van de verwerking

Het leveren van het BouwLog-platform voor projectbeheer in de bouw, inclusief opslag, weergave, verwerking en uitwisseling van de door de klant ingevoerde gegevens.

Doel van de verwerking

Het bieden van de overeengekomen functionaliteit (o.a. projecten, planning, urenregistratie, werkbonnen, oplevering en facturatie) en het beveiligen en onderhouden daarvan.

Categorieën betrokkenen

  • Medewerkers en gebruikers van de klant.
  • Onderaannemers en hun medewerkers.
  • Opdrachtgevers en contactpersonen van de klant.

Soorten persoonsgegevens

  • Contact- en identificatiegegevens (naam, e-mail, telefoon, functie/rol).
  • Organisatie- en facturatiegegevens.
  • Planning-, beschikbaarheids- en urengegevens.
  • Inhoud van projecten, werkbonnen, foto's, documenten en opleverdossiers (inclusief handtekeningen).
  • Technische en gebruiksgegevens (zoals IP-adres en logbestanden).

Subverwerkers

De actuele lijst van subverwerkers staat in §6 van het privacybeleid (o.a. Supabase, Vercel, Resend, Anthropic en — indien geactiveerd — Moneybird/e-Boekhouden).

Beveiligingsmaatregelen

  • Versleutelde verbindingen (TLS/HTTPS) en versleutelde opslag.
  • Toegangsscheiding tussen organisaties via toegangscontrole op rij-niveau.
  • Rolgebaseerde toegangsrechten en optionele tweestapsverificatie.
  • Gehashte wachtwoorden, logging, monitoring en periodieke evaluatie.

Contact

Vragen over deze verwerkersovereenkomst of behoefte aan een ondertekend exemplaar? Mail naar info@bouwlog.nl.