Verwerkersovereenkomst

Versie 1.1, maart 2026

Deze Verwerkersovereenkomst ("Overeenkomst") maakt onderdeel uit van de Algemene Voorwaarden tussen Screenbird en de Klant en regelt de verwerking van persoonsgegevens door Screenbird als verwerker.

1. Definities

  • AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679
  • Verwerker: Screenbird (KvK 50466542), die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke
  • Verwerkingsverantwoordelijke: de Klant die het doel en de middelen van de verwerking van persoonsgegevens bepaalt
  • Subverwerker: een derde partij die door de Verwerker wordt ingeschakeld voor een deel van de verwerking
  • Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon
  • Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben

2. Reikwijdte en duur

Deze Overeenkomst is van kracht zolang Screenbird persoonsgegevens verwerkt namens de Klant. De Overeenkomst eindigt automatisch bij beeindiging van het Abonnement, met inachtneming van de bewaartermijnen in artikel 14.

3. Aard en doel van de verwerking

Screenbird verwerkt persoonsgegevens uitsluitend ten behoeve van de digital signage dienstverlening. Dit omvat:

  • Opslaan van door de Klant geuploadde Content
  • Distribueren en afspelen van Content op gekoppelde schermen
  • Verwerken van afspeellijsten en planningen
  • Technische ondersteuning en foutopsporing

4. Soorten persoonsgegevens

De verwerking kan betrekking hebben op persoonsgegevens die de Klant uploadt als onderdeel van Content, waaronder:

  • Beeldmateriaal met herkenbare personen (foto's, video's)
  • Namen en contactgegevens in getoonde documenten of presentaties
  • Overige gegevens die de Klant in Content verwerkt

De aard en omvang van de persoonsgegevens worden bepaald door de Klant.

5. Categorieen betrokkenen

De betrokkenen kunnen omvatten:

  • Medewerkers van de Klant
  • Klanten van de Klant
  • Bezoekers van locaties waar schermen van de Klant zijn geplaatst
  • Andere personen van wie de Klant gegevens in Content verwerkt

6. Verplichtingen van de Verwerker

Screenbird:

  1. Verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist
  2. Waarborgt dat personen die gemachtigd zijn persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden
  3. Treft passende technische en organisatorische maatregelen conform artikel 32 AVG (zie artikel 9)
  4. Schakelt geen subverwerker in zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke (zie artikel 8)
  5. Verleent bijstand bij het nakomen van verzoeken van betrokkenen (zie artikel 11)
  6. Verleent bijstand bij het uitvoeren van gegevensbeschermingseffectbeoordelingen
  7. Meldt datalekken binnen 48 uur (zie artikel 10)
  8. Verwijdert of retourneert alle persoonsgegevens na beeindiging van de dienstverlening (zie artikel 14)

7. Verplichtingen van de Verwerkingsverantwoordelijke

De Klant:

  1. Garandeert dat de verwerking van persoonsgegevens in Content rechtmatig is
  2. Geeft Screenbird duidelijke en rechtmatige instructies voor de verwerking
  3. Informeert betrokkenen over de verwerking van hun persoonsgegevens
  4. Is verantwoordelijk voor het beoordelen of de beveiligingsmaatregelen van Screenbird passend zijn voor het risico van de verwerking

8. Subverwerkers

Screenbird maakt gebruik van de volgende subverwerkers:

SubverwerkerFunctieLocatie
SupabaseDatabase en authenticatieEU (eu-west-3)
CloudflareHosting, CDN, Workers en R2-opslagWereldwijd (edge)
StripeBetalingsverwerkingEU en VS
BackblazeBack-upreplicatie (externe opslag)EU (eu-central-003, Amsterdam)

Wijzigingen

Screenbird informeert de Klant minimaal 30 dagen vooraf over de inschakeling van een nieuwe subverwerker of vervanging van een bestaande subverwerker. De Klant kan binnen deze termijn schriftelijk bezwaar maken. Bij gegrond bezwaar zoeken partijen gezamenlijk naar een oplossing. Indien geen oplossing wordt bereikt, kan de Klant het Abonnement opzeggen.

Verantwoordelijkheid

Screenbird sluit met elke subverwerker een overeenkomst die minimaal dezelfde verplichtingen oplegt als deze Overeenkomst. Screenbird blijft verantwoordelijk voor de nakoming door subverwerkers.

9. Beveiligingsmaatregelen

Screenbird treft de volgende technische en organisatorische maatregelen:

Technisch

  • TLS-versleuteling voor alle dataverkeer
  • AES-256-versleuteling voor opgeslagen bestanden (at rest)
  • Row Level Security (RLS) op databaseniveau voor strikte tenant-isolatie
  • HMAC-SHA256 voor verificatie van schermautorisatie
  • JWT-tokens met korte levensduur voor sessiebeheer
  • Automatische verwijdering van Content na beeindiging

Organisatorisch

  • Toegang tot productiesystemen is beperkt tot geautoriseerd personeel
  • Regelmatige review van toegangsrechten
  • Incident-responseproces voor beveiligingsincidenten

10. Datalekken

Meldplicht

Screenbird meldt een datalek aan de Klant binnen 48 uur na ontdekking, via e-mail aan het bij Screenbird bekende e-mailadres.

Inhoud melding

De melding bevat ten minste:

  • De aard van het datalek
  • De categorieen betrokkenen en persoonsgegevens
  • De waarschijnlijke gevolgen
  • De maatregelen die zijn genomen of worden voorgesteld

Bijstand

Screenbird verleent bijstand bij de melding aan de Autoriteit Persoonsgegevens en aan betrokkenen, voor zover redelijkerwijs nodig.

11. Rechten van betrokkenen

Screenbird verleent de Klant bijstand bij het afhandelen van verzoeken van betrokkenen op grond van artikelen 15 tot en met 22 AVG, waaronder verzoeken om inzage, rectificatie, verwijdering en overdraagbaarheid. Screenbird reageert binnen een redelijke termijn op bijstandsverzoeken van de Klant.

12. Audits

De Klant heeft het recht een audit uit te voeren om naleving van deze Overeenkomst te verifieren, onder de volgende voorwaarden:

  • Maximaal een keer per 12 maanden
  • Minimaal 30 dagen vooraf schriftelijk aangekondigd
  • Tijdens kantooruren en zonder onevenredige verstoring van de bedrijfsvoering
  • Kosten van de audit zijn voor rekening van de Klant
  • Screenbird kan een onafhankelijk auditrapport of certificering overleggen als alternatief

13. Doorgifte buiten de EER

Voor doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte gelden de waarborgen zoals beschreven in de Privacyverklaring, waaronder Standard Contractual Clauses en aanvullende technische maatregelen.

14. Beeindiging en gegevensretour

Exportvenster

Na beeindiging van het Abonnement heeft de Klant 30 dagen om Content te exporteren via het dashboard.

Verwijdering

Na het exportvenster verwijdert Screenbird alle persoonsgegevens uit productiesystemen. Gegevens in backups worden binnen 90 dagen na verwijdering uit productie overschreven.

Uitzonderingen

Screenbird mag persoonsgegevens langer bewaren indien een wettelijke verplichting dit vereist. De Klant wordt hierover geinformeerd.

15. Toepasselijk recht

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de Rechtbank Noord-Nederland, locatie Groningen.

16. Contact

Screenbird

E-mail: privacy@screenbird.app

Adres: Peizerweg 97, 9727 AJ Groningen

KvK: 50466542

© screenbird.app