Verwerkersovereenkomst (DPA) - Somogy ↔ Zakelijke klant

Somogy is een handelsnaam van Grudanov Werkmaatschappij B.V., statutair gevestigd te Van Moerkerkenlaan 11, 9721 TA Groningen, ingeschreven bij de Kamer van Koophandel onder nummer 42004919, BTW-nummer NL869244140B01 (hierna: “Verwerker” of “Somogy”).

De klant (de rechtspersoon of de natuurlijke persoon handelend in de uitoefening van beroep of bedrijf met wie Somogy een hoofdovereenkomst tot levering van diensten heeft gesloten - hierna: “Verwerkingsverantwoordelijke” of “Klant”).

Deze verwerkersovereenkomst is opgesteld in het Nederlands. Een Engelse vertaling wordt op verzoek verstrekt voor leesgemak. Bij verschil tussen de talen prevaleert de Nederlandse tekst.

Deze verwerkersovereenkomst is uitsluitend van toepassing op zakelijke klanten die als verwerkingsverantwoordelijke optreden voor persoonsgegevens die via Somogy worden verwerkt. Voor consumenten is geen DPA van toepassing - voor hen geldt de privacyverklaring op somogy.nl/privacy, waarin Somogy als verwerkingsverantwoordelijke voor de eigen klantadministratie optreedt.

1. Definities en grondslag

1.1 In deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst” of “DPA”) wordt verstaan onder:

AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
Hoofdovereenkomst: de overeenkomst tussen Partijen tot levering van hostingdiensten door Somogy, inclusief de Algemene Voorwaarden, SLA en deze Verwerkersovereenkomst.
Persoonsgegevens, Verwerking, Betrokkene, Inbreuk in verband met persoonsgegevens (datalek): zoals gedefinieerd in art. 4 AVG.
Sub-verwerker: een door Somogy ingeschakelde derde partij die persoonsgegevens verwerkt in het kader van de uitvoering van de Hoofdovereenkomst.
Partners-pagina: somogy.nl/partners - de publieke, altijd actuele lijst van sub-verwerkers.

1.2 Deze Verwerkersovereenkomst is gesloten in overeenstemming met art. 28 lid 3 AVG en vormt een integraal onderdeel van de Hoofdovereenkomst.

1.3 Bij strijdigheid tussen deze Verwerkersovereenkomst en de overige onderdelen van de Hoofdovereenkomst prevaleert deze Verwerkersovereenkomst voor wat betreft de verwerking van persoonsgegevens.

2. Onderwerp en duur van de verwerking

2.1 Het onderwerp, de aard, het doel en de categorieën van persoonsgegevens en betrokkenen zijn beschreven in Bijlage A bij deze Verwerkersovereenkomst.

2.2 Deze Verwerkersovereenkomst geldt voor de duur van de Hoofdovereenkomst en, voor zover dat voor de afwikkeling nodig is, voor de in artikel 13 bedoelde periode na beëindiging.

3. Aard en doel van de verwerking

3.1 Somogy verwerkt persoonsgegevens uitsluitend ten behoeve van de levering van de in de Hoofdovereenkomst beschreven diensten (e-mailhosting, WordPress-hosting en daaraan verwante diensten) en uitsluitend op basis van schriftelijke, gedocumenteerde instructies van Klant, tenzij een op Somogy van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Somogy tot verwerking verplicht.

3.2 Het sluiten van de Hoofdovereenkomst geldt als schriftelijke instructie om de daarin beschreven diensten uit te voeren. Latere instructies worden schriftelijk vastgelegd (per e-mail aan support@somogy.nl is voldoende).

3.3 Somogy verwerkt persoonsgegevens niet voor eigen doeleinden, met uitzondering van geaggregeerde, niet tot Klant of betrokkenen herleidbare gegevens ten behoeve van capaciteitsplanning, beveiliging en dienstverbetering.

4. Soorten persoonsgegevens en categorieën betrokkenen

4.1 De categorieën van persoonsgegevens en betrokkenen zijn beschreven in Bijlage A.

4.2 Klant is zich ervan bewust dat de inhoud van e-mailboxen en WordPress-installaties door Klant zelf wordt bepaald. Klant ziet er op toe dat geen bijzondere categorieën van persoonsgegevens (art. 9 AVG) of persoonsgegevens van strafrechtelijke aard (art. 10 AVG) via de diensten worden verwerkt zonder dat Klant daarvoor passende aanvullende waarborgen heeft getroffen en voor zover nodig met Somogy heeft afgestemd.

5. Verplichtingen van Klant

5.1 Klant waarborgt dat hij over een rechtmatige grondslag (art. 6 AVG) beschikt voor de verwerkingen die hij via de diensten uitvoert en dat hij aan zijn eigen verplichtingen onder de AVG voldoet, waaronder de informatieplicht jegens betrokkenen.

5.2 Klant vrijwaart Somogy voor aanspraken van derden, waaronder betrokkenen en toezichthouders, die voortkomen uit het niet-nakomen door Klant van zijn verplichtingen onder de AVG.

5.3 Klant stelt Somogy tijdig in kennis van eventuele wijzigingen in de aard of reikwijdte van de verwerking die voor Somogy relevant zijn.

6. Verplichtingen van Somogy (art. 28 lid 3 AVG)

Somogy zal:

6.1 Instructie-gebondenheid (art. 28 lid 3 sub a AVG): persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van Klant, inclusief met betrekking tot doorgiften aan derde landen, tenzij een wettelijke verplichting tot verwerking Somogy daartoe noopt; in dat laatste geval stelt Somogy Klant daarvan vooraf in kennis, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

6.2 Geheimhouding (art. 28 lid 3 sub b AVG): waarborgen dat medewerkers en andere personen die onder het gezag van Somogy handelen tot geheimhouding zijn verplicht, zowel gedurende als na afloop van hun arbeids- of opdrachtrelatie (zie artikel 7).

6.3 Beveiliging (art. 28 lid 3 sub c juncto art. 32 AVG): passende technische en organisatorische maatregelen treffen zoals beschreven in artikel 8 en Bijlage B.

6.4 Sub-verwerkers (art. 28 lid 3 sub d juncto lid 2 en lid 4 AVG): sub-verwerkers uitsluitend inschakelen conform artikel 9.

6.5 Bijstand bij betrokkenenrechten (art. 28 lid 3 sub e AVG): Klant redelijkerwijs bijstaan bij het nakomen van zijn verplichtingen op grond van hoofdstuk III AVG (rechten van betrokkenen), conform artikel 11.

6.6 Bijstand bij beveiliging, datalekken, DPIA en voorafgaande raadpleging (art. 28 lid 3 sub f juncto art. 32–36 AVG): Klant bijstaan bij datalekken (artikel 12), bij een gegevensbeschermingseffectbeoordeling (DPIA) en bij een voorafgaande raadpleging van de Autoriteit Persoonsgegevens, voor zover dit redelijkerwijs van Somogy kan worden verlangd en rekening houdend met de aard van de verwerking en de voor Somogy beschikbare informatie.

6.7 Teruggave of verwijdering (art. 28 lid 3 sub g AVG): na afloop van de Hoofdovereenkomst de persoonsgegevens teruggeven of verwijderen conform artikel 13.

6.8 Informatievoorziening en audit (art. 28 lid 3 sub h AVG): Klant alle informatie ter beschikking stellen die nodig is om nakoming van art. 28 AVG aan te tonen en audits mogelijk maken conform artikel 8.5.

7. Geheimhouding

7.1 Somogy legt aan elke medewerker, ingehuurde kracht of ander persoon die namens Somogy persoonsgegevens verwerkt, een geheimhoudingsverplichting op die zowel tijdens als na afloop van de rechtsverhouding voortduurt.

7.2 Somogy verstrekt persoonsgegevens van Klant niet aan derden, tenzij (a) Klant daartoe schriftelijk opdracht heeft gegeven, (b) een Unierechtelijke of Nederlandse wettelijke verplichting Somogy daartoe noopt, of (c) het een sub-verwerker betreft conform artikel 9.

7.3 In geval van een gerechtvaardigd verzoek van een bevoegde overheidsinstantie tot verstrekking van persoonsgegevens van Klant, informeert Somogy Klant zo spoedig mogelijk, tenzij dit op grond van dwingend recht niet is toegestaan, en beperkt Somogy de verstrekking tot het strikt noodzakelijke.

8. Beveiliging van de verwerking (art. 32 AVG)

8.1 Somogy treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking en de waarschijnlijkheid en ernst van de risico’s voor de rechten en vrijheden van betrokkenen.

8.2 Een beschrijving van de door Somogy toegepaste maatregelen is opgenomen in Bijlage B (Technische en organisatorische maatregelen - TOM).

8.3 Somogy evalueert de doeltreffendheid van de maatregelen periodiek en in elk geval na een relevant incident; zo nodig past Somogy de maatregelen aan. Materiële wijzigingen in Bijlage B worden via de wijzigingsprocedure (artikel 15) aan Klant meegedeeld.

8.4 Klant is verantwoordelijk voor de beveiliging van zijn eigen systemen en inloggegevens, waaronder (niet-limitatief) de sterkte en het beheer van wachtwoorden van door hem aangemaakte accounts, de beveiliging van zijn werkplekken, en het onderhoud van zijn eigen WordPress-installatie (kern, plugins, thema’s) tenzij daarvoor een onderhoudscontract is afgesloten.

8.5 Somogy verstrekt Klant op diens redelijk verzoek de informatie die nodig is om de nakoming van art. 28 en 32 AVG aan te tonen. Een audit ter plaatse door Klant of een door Klant gemandateerde, aan geheimhouding gebonden onafhankelijke auditor is mogelijk, mits:

(a) schriftelijk aangekondigd met een termijn van ten minste dertig (30) dagen;
(b) uitgevoerd tijdens kantoortijden en zonder onredelijke verstoring van de dienstverlening;
(c) ten hoogste eenmaal per kalenderjaar, behoudens aanwijzingen van een concreet incident of een redelijke aanwijzing van een tekortkoming;
(d) op kosten van Klant, tenzij de audit een materiële tekortkoming van Somogy aantoont.

Somogy kan een redelijke audit in eerste instantie beantwoorden met beschikbare certificeringen, assurance-rapporten of vergelijkbare documentatie van zichzelf of van haar sub-verwerkers (waaronder Hetzner’s ISO 27001- en BSI C5-certificeringen); een fysieke audit is complementair en niet vervangend.

9. Sub-verwerkers (art. 28 lid 2 en lid 4 AVG)

9.1 Klant verleent Somogy algemene schriftelijke toestemming voor het inschakelen van de sub-verwerkers die zijn opgenomen op de Partners-pagina (somogy.nl/partners), samengevat in Bijlage C.

9.2 Somogy legt aan elke sub-verwerker bij overeenkomst dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze Verwerkersovereenkomst zijn opgenomen, in het bijzonder de verplichting passende beveiligingsmaatregelen te treffen. Indien een sub-verwerker zijn verplichtingen niet nakomt, blijft Somogy jegens Klant volledig aansprakelijk voor diens nakoming, conform art. 28 lid 4 AVG.

9.3 Somogy kondigt een voorgenomen wijziging (toevoeging of vervanging) van sub-verwerkers ten minste dertig (30) dagen van tevoren aan, via:

(a) e-mail naar het door Klant opgegeven primaire contactadres; en
(b) publicatie op de Partners-pagina.

9.4 Klant kan binnen de aankondigingstermijn gemotiveerd bezwaar maken tegen de voorgenomen wijziging op gegevensbeschermingsrechtelijke gronden. Indien Partijen niet tot een voor beide aanvaardbare oplossing komen, heeft Klant het recht de met de betreffende dienst samenhangende onderdelen van de Hoofdovereenkomst kosteloos en zonder inachtneming van een opzegtermijn op te zeggen tegen de ingangsdatum van de wijziging.

9.5 Sub-verwerker WordPress-hosting - Cloudflare: Cloudflare, Inc. (gevestigd in de Verenigde Staten) is een vaste sub-verwerker voor de dienst WordPress-hosting (CDN / WAF / reverse proxy / TLS-terminatie aan de edge). Inzet van Cloudflare op deze laag is noodzakelijk om de gedeelde WordPress-infrastructuur en alle daarop gehoste klantsites te beschermen tegen DDoS- en applicatieaanvallen. Voor klanten die uitsluitend e-mailhosting afnemen is Cloudflare géén sub-verwerker en vindt er in dat kader geen doorgifte naar de Verenigde Staten plaats. Voor somogy.nl zelf wordt Cloudflare niet gebruikt.

10. Doorgifte buiten de Europese Economische Ruimte (EER)

10.1 Somogy voert persoonsgegevens primair op infrastructuur binnen de EER uit (Hetzner-datacenters in Duitsland).

10.2 Indien en voor zover doorgifte buiten de EER plaatsvindt, baseert Somogy zich op de waarborgen bedoeld in hoofdstuk V AVG (art. 44 e.v.).

10.3 Structurele doorgifte naar een land met adequaatheidsbesluit (art. 45 AVG) - rsync.net (Zwitserland, Zürich), voor off-site back-upopslag. Zwitserland staat op de EU-lijst van derde landen met een passend beschermingsniveau (Commissiebesluit 2000/518/EG, bevestigd onder AVG), waardoor deze doorgifte is toegestaan zonder aanvullende waarborgen zoals Standard Contractual Clauses. Aanvullend geldt dat back-ups client-side worden versleuteld met borg (BorgBackup) voordat zij de Somogy-omgeving verlaten; de encryptiesleutels worden uitsluitend binnen de Somogy-omgeving beheerd, waardoor rsync.net (of enige Amerikaanse moederentiteit) de inhoud van de back-ups niet kan ontcijferen.

10.4 Structurele doorgifte naar een land zonder adequaatheidsbesluit (art. 46 AVG) - Cloudflare, Inc. (Verenigde Staten), voor alle klanten van WordPress-hosting (zie artikel 9.5). Voor deze doorgifte baseert Somogy zich op:

(a) de in Cloudflare’s Data Processing Addendum opgenomen Standard Contractual Clauses (SCC) (Uitvoeringsbesluit (EU) 2021/914); en
(b) Cloudflare’s certificering onder het EU-US Data Privacy Framework, voor zover deze op het moment van verwerking geldig is.

10.5 Somogy houdt een Transfer Impact Assessment (TIA) bij voor doorgiften naar derde landen zonder adequaatheidsbesluit en actualiseert deze bij relevante juridische of feitelijke ontwikkelingen.

11. Rechten van betrokkenen - bijstand aan Klant

11.1 Indien een betrokkene zich rechtstreeks tot Somogy wendt met een verzoek tot uitoefening van zijn rechten onder hoofdstuk III AVG (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar), beantwoordt Somogy dit verzoek niet zelfstandig maar leidt het zonder onredelijke vertraging door aan Klant, voorzien van de beschikbare context.

11.2 Somogy verleent Klant - rekening houdend met de aard van de verwerking - redelijke technische en organisatorische bijstand bij de afhandeling van zulke verzoeken, waaronder het verstrekken van een export van de gegevens van een betrokkene, het verwijderen van gegevens, of het beperken van de verwerking op aanwijzing van Klant.

11.3 Bijstand die het normale verzoek te boven gaat en een aantoonbare extra inspanning vergt, kan op nacalculatie worden gefactureerd conform artikel 4.5 van de Algemene Voorwaarden.

12. Inbreuk in verband met persoonsgegevens (datalek - art. 33 AVG)

12.1 Somogy informeert Klant zonder onredelijke vertraging nadat zij kennis heeft genomen van een datalek dat persoonsgegevens van Klant betreft of kan betreffen, overeenkomstig art. 33 lid 2 AVG. De melding vindt zodanig tijdig plaats dat Klant in staat is zijn eigen meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur (art. 33 lid 1 AVG) en - indien van toepassing - zijn meldplicht aan betrokkenen (art. 34 AVG) na te komen. Een datalek geldt tevens als significant beveiligingsincident als bedoeld in artikel 6.5 van de Algemene Voorwaarden.

12.2 De melding bevat ten minste de volgende informatie, voor zover op het moment van melding redelijkerwijs beschikbaar:

(a) de aard van het datalek, waar mogelijk inclusief de categorieën en bij benadering het aantal betrokkenen en persoonsgegevens;
(b) de contactgegevens van de binnen Somogy aangewezen persoon of functie waar nadere informatie kan worden verkregen;
(c) de waarschijnlijke gevolgen van het datalek;
(d) de maatregelen die Somogy heeft getroffen of voorstelt te treffen om het datalek te beperken en herhaling te voorkomen.

12.3 Indien niet alle informatie tegelijk beschikbaar is, verstrekt Somogy deze in afzonderlijke, tijdig opvolgende berichten, zonder verdere onredelijke vertraging.

12.4 Somogy verleent Klant redelijke bijstand bij diens eigen meldplicht aan de Autoriteit Persoonsgegevens (AVG art. 33) en, voor zover van toepassing, aan de betrokkenen (AVG art. 34).

12.5 De beoordeling of een datalek aan de AP of aan betrokkenen moet worden gemeld, ligt bij Klant als verwerkingsverantwoordelijke. Somogy doet niet zelfstandig een melding aan de AP of aan betrokkenen over een datalek dat in de systemen van Klant plaatsvindt.

12.6 Somogy registreert elk (vermoeden van een) datalek in haar interne datalek-register.

13. Beëindiging - teruggave of verwijdering van gegevens

13.1 Na beëindiging van de Hoofdovereenkomst, ongeacht de reden daarvoor, worden de gegevens van Klant nog dertig (30) dagen bewaard (grace period), overeenkomstig artikel 8.7 van de Algemene Voorwaarden. Klant kiest binnen die termijn of de persoonsgegevens aan Klant worden teruggegeven of door Somogy worden verwijderd; bij gebreke van een keuze worden de gegevens na afloop van de grace period verwijderd.

13.2 Binnen die dertig (30) dagen kan Klant Somogy schriftelijk verzoeken om:

(a) een export of teruggave van de gegevens in een gangbaar formaat; en/of
(b) een langere bewaartermijn om de migratie af te ronden.

13.3 Eventuele export- of migratiewerkzaamheden worden op nacalculatie uitgevoerd conform artikel 4.5 van de Algemene Voorwaarden.

13.4 Na afloop van de grace period (of na voltooiing van de export indien verlengd) verwijdert Somogy de persoonsgegevens van Klant uit de productiesystemen.

13.5 Back-ups die de betreffende gegevens nog bevatten worden niet actief uit de back-up-archieven verwijderd, maar volgen de rollerende bewaartermijn van back-ups (zie Bijlage B). Gedurende deze periode blijven de gegevens onderworpen aan de beveiligingsmaatregelen uit deze Verwerkersovereenkomst en worden zij niet voor andere doeleinden gebruikt.

13.6 Somogy verstrekt op verzoek van Klant een schriftelijke bevestiging van de verwijdering.

13.7 De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bedoeld zijn om na beëindiging voort te duren (waaronder geheimhouding en beveiliging van eventuele resterende back-upkopieën) blijven ook daarna van kracht.

14. Aansprakelijkheid

14.1 De aansprakelijkheid van Somogy onder of in verband met deze Verwerkersovereenkomst wordt beheerst door artikel 10 van de Algemene Voorwaarden. Er geldt geen afzonderlijk aansprakelijkheidsregime voor deze Verwerkersovereenkomst.

14.2 Klant vrijwaart Somogy voor aanspraken van derden die voortvloeien uit het niet-nakomen door Klant van zijn eigen verplichtingen onder de AVG, inclusief het ontbreken van een rechtmatige grondslag voor verwerkingen die Klant via de diensten uitvoert.

15. Wijziging, toepasselijk recht en geschillen

15.1 Wijzigingen in deze Verwerkersovereenkomst worden aan Klant meegedeeld conform de wijzigingsprocedure uit artikel 9 van de Algemene Voorwaarden (30 dagen aankondiging, opzegrecht bij nadelige materiële wijziging).

15.2 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de rechtbank Noord-Nederland, locatie Groningen, behoudens dwingendrechtelijke regels van bevoegdheid.

15.3 De Nederlandse versie van deze Verwerkersovereenkomst prevaleert boven elke vertaling.

Bijlage A - Specifieke beschrijving van de verwerking

Onderwerp van de verwerking De verwerking van persoonsgegevens die plaatsvindt als onderdeel van de hostingdiensten die Somogy op grond van de Hoofdovereenkomst aan Klant levert.

Duur van de verwerking De duur van de Hoofdovereenkomst, vermeerderd met de in artikel 13 bedoelde grace period en de bewaartermijnen voor back-ups (zie Bijlage B).

Aard van de verwerking Opslag, raadpleging, gebruik, doorgifte (voor zover verzending/ontvangst van e-mail of serving van websitecontent), organisatie, structurering, wijziging en verwijdering van persoonsgegevens, uitgevoerd door geautomatiseerde systemen die door Somogy worden beheerd.

Doel van de verwerking Het beschikbaar stellen van e-mail- en WordPress-hostingdiensten zoals beschreven in artikel 4 van de Algemene Voorwaarden, inclusief aan de dienst gerelateerde activiteiten (anti-spam-/anti-virus-filtering, back-ups, beveiliging, deliverability).

Soort persoonsgegevens Afhankelijk van het gebruik door Klant, potentieel:

identificatiegegevens (naam, gebruikersnaam, e-mailadres);
contactgegevens (telefoonnummer, postadres);
inhoud van e-mailberichten inclusief bijlagen;
inhoud van websitedatabases en geüploade media (voor WordPress-hosting);
verkeers- en logginggegevens (IP-adres, timestamp, user-agent);
authenticatiegegevens (hashes van wachtwoorden van door Klant aangemaakte accounts).

Klant is er zich van bewust dat hij zelf bepaalt welke gegevens in mailboxen en WordPress-installaties worden opgeslagen. Somogy heeft geen directe invloed op die keuze.

Categorieën betrokkenen

medewerkers en contactpersonen van Klant;
eindgebruikers van Klant (mailontvangers, websitebezoekers);
klanten of relaties van Klant, voor zover hun gegevens door Klant in de diensten worden verwerkt.

Bijzondere categorieën (art. 9 AVG) / strafrechtelijke gegevens (art. 10 AVG) Niet voorzien. Klant neemt passende aanvullende waarborgen indien dergelijke gegevens via de diensten worden verwerkt (zie artikel 4.2).

Bijlage B - Technische en organisatorische maatregelen (TOM)

Deze bijlage beschrijft de door Somogy toegepaste maatregelen op het moment van ondertekening. Somogy kan de maatregelen aanpassen op grond van art. 8.3 van de Verwerkersovereenkomst, mits het beveiligingsniveau ten minste gelijkwaardig blijft.
Vertrouwelijkheid: deze bijlage beschrijft de maatregelen op hoofdlijnen. Gedetailleerde configuratie, netwerktopologie, versie-informatie en andere gegevens waarvan openbaarmaking de beveiliging zou kunnen ondermijnen, worden op redelijk verzoek van Klant onder geheimhouding (NDA of gelijkwaardig) gedeeld. Klant maakt deze bijlage en de onder NDA ontvangen detailinformatie niet openbaar zonder voorafgaande afstemming met Somogy; opname van de beschreven maatregelen in Klants eigen verwerkingsregister of interne documentatie is toegestaan.

B.1 Infrastructuur

Hosting: fysieke servers en cloud-resources worden afgenomen bij Hetzner Online GmbH in datacenters in Duitsland (Falkenstein, Nürnberg), binnen de EER.
Certificeringen datacenter-laag: de door Hetzner gebruikte datacenters zijn ISO 27001-gecertificeerd en voldoen aan het Duitse BSI C5-kader. Somogy doet zelf geen aanspraak op ISO 27001-certificering op organisatieniveau; Somogy leunt voor de datacenter-laag op Hetzner’s certificeringen en op de organisatorische maatregelen in deze Bijlage.

B.2 Toegangsbeheer en authenticatie

Administratieve toegang tot servers: uitsluitend via SSH met publieke-sleutelauthenticatie; wachtwoordlogin is uitgeschakeld.
Beheeraccounts: persoonsgebonden, least-privilege-principe; geen gedeelde accounts.
Multi-factor authenticatie (MFA): ingeschakeld op alle beheerportalen waar ondersteund (Hetzner Cloud Console, OpenProvider, Moneybird, DNS-beheer, registrar-accounts, e-mailbeheer van founder).
Netwerksegmentatie: beheerinterfaces worden niet rechtstreeks aan het open internet blootgesteld; SSH-toegang is beperkt tot een IP-allowlist of via een jumphost.
Brute-force-bescherming: fail2ban of vergelijkbare mechanismen op SSH- en mailservices.

B.3 Versleuteling

Transport: alle externe verbindingen met hostingdiensten lopen over TLS 1.2 of hoger; HTTP-verkeer wordt naar HTTPS geredirect. Certificaten voor e-mailhosting via Let’s Encrypt; voor WordPress-hosting wordt TLS aan de edge afgehandeld door Cloudflare en lopen achterliggende verbindingen via Cloudflare Origin Certificates.
E-mailtransport: STARTTLS wordt verplicht aangeboden aan clients; MX-to-MX-verkeer accepteert opportunistic TLS conform RFC 8461/8460 (MTA-STS / TLS-RPT zijn geconfigureerd waar praktisch haalbaar).
Rust: serverdisks in cloud-contexten maken gebruik van de door Hetzner aangeboden versleutelingsmechanismen waar beschikbaar. Wachtwoorden van door Klant aangemaakte accounts worden uitsluitend als salted hash opgeslagen (bcrypt of equivalent).

B.4 Beschikbaarheid, back-up en herstel

Snapshot-strategie: uurlijkse snapshots met een retentie van vierentwintig (24) uur, en dagelijkse snapshots met een retentie van dertig (30) dagen. Deze strategie geldt voor zowel WordPress-hosting als mailboxen, behoudens plan-specifieke afwijkingen.
Off-site replicatie: snapshots worden off-site gerepliceerd naar twee onafhankelijke bestemmingen: rsync.net en Hetzner Storage Box. Beide bestemmingen zijn fysiek gescheiden van de productie-omgeving.
Versleuteling van back-ups: back-ups worden client-side versleuteld met borg (BorgBackup) voordat zij de Somogy-omgeving verlaten. De encryptiesleutels worden uitsluitend binnen de Somogy-omgeving beheerd; de off-site bestemmingen (rsync.net en Hetzner Storage Box) bewaren uitsluitend versleutelde chunks en hebben geen toegang tot de plaintext. Transport verloopt aanvullend over SSH/SFTP.
Restore-tests: minimaal één maal per kwartaal wordt een steekproefsgewijze restore uitgevoerd en geregistreerd.
Monitoring: uptime- en foutmonitoring op productiediensten; beveiligingsmonitoring (failed-login-alerts, resource-anomalieën).

B.5 Logging en detectie

Mailserver: verzend- en ontvangstheaders worden gelogd ten behoeve van deliverability, abuse en debugging; bewaartermijn conform .
Webserver: access- en error-logs worden bewaard gedurende maximaal dertig (30) dagen.
Beheeracties: administratieve acties op productieservers worden gelogd (shell-history, auditd of vergelijkbaar).

B.6 Ontwikkeling, staging en wijzigingen

Staging-omgevingen: gebruiken uitsluitend geanonimiseerde of synthetische data; productiedata wordt niet naar staging gekopieerd zonder expliciete maskering.
Wijzigingsbeheer: wijzigingen op productieservers worden in versiebeheer (Git) vastgelegd waar mogelijk; risicovolle wijzigingen worden buiten kantoortijden uitgevoerd.
Patching: kritieke beveiligingsupdates op OS- en middleware-niveau worden zo spoedig mogelijk toegepast, doorgaans binnen zeven (7) dagen na publicatie; spoedpatches ook buiten dat venster.

B.7 Organisatorische maatregelen

Geheimhouding: elke persoon die namens Somogy persoonsgegevens verwerkt, tekent een geheimhoudingsverklaring (dan wel is hiertoe contractueel gebonden via arbeids- of opdrachtcontract). Per ingangsdatum van deze Verwerkersovereenkomst is Somogy een eenmansonderneming; de oprichter/bestuurder is persoonlijk aan geheimhouding gebonden via de statutaire bestuursrelatie en via deze Verwerkersovereenkomst.
Security awareness: de oprichter houdt zich op de hoogte van relevante ontwikkelingen (CVE’s, AP-nieuwsberichten, Hetzner/Cloudflare security advisories). Bij uitbreiding van het team wordt een gestructureerd security-awarenessprogramma ingevoerd.
Incidentregistratie: alle (vermoede) datalekken en materiële beveiligingsincidenten worden vastgelegd in een intern datalek-register.
Verwerkingsregister: Somogy onderhoudt een verwerkingsregister conform art. 30 AVG.
Review: Bijlage B wordt minimaal jaarlijks beoordeeld en zo nodig bijgewerkt; materiële wijzigingen worden conform artikel 15 aangekondigd.

B.8 Toegang tot klantdata door Somogy-personeel

Toegang tot klantdata door Somogy-personeel is beperkt tot wat nodig is voor:

(a) operationeel beheer en troubleshooting;
(b) afhandeling van een supportverzoek van Klant;
(c) onderzoek naar een (vermoed) beveiligingsincident of misbruik (AUP-handhaving);
(d) naleving van een wettelijke verplichting.

Bij supportverzoeken die toegang tot mailbox- of WordPress-inhoud vereisen, vraagt Somogy zo mogelijk expliciete toestemming van Klant voordat die toegang plaatsvindt.

Bijlage C - Lijst van goedgekeurde sub-verwerkers

De actuele, altijd geldige lijst van sub-verwerkers is gepubliceerd op somogy.nl/partners. Die lijst prevaleert boven de hieronder opgenomen samenvatting indien deze achterlopen op wijzigingen die conform artikel 9 zijn aangekondigd. De interne brondata staat in .

Op de ingangsdatum van deze Verwerkersovereenkomst zijn de volgende sub-verwerkers van toepassing:

#	Sub-verwerker	Rechtsvorm / statutaire zetel	Dienst	Land verwerking	Van toepassing
1	Hetzner Online GmbH	GmbH, Duitsland (Gunzenhausen)	Server- en cloudhosting (infrastructuur voor e-mail- en WordPress-omgevingen), inclusief Hetzner Storage Box als bestemming voor versleutelde off-site back-ups	Duitsland (EER)	Altijd
2	Cloudflare, Inc.	Inc., Verenigde Staten (San Francisco, CA)	CDN / WAF / reverse proxy / TLS-terminatie aan de edge voor WordPress-hosting	Verenigde Staten (met EU-edge)	Vast voor alle klanten van WordPress-hosting; niet van toepassing bij e-mailhosting
3	rsync.net, Inc.	California Corporation, Verenigde Staten; dienstverlening vanuit Equinix ZH4, Zürich	Off-site bestemming voor versleutelde back-ups; ontvangt uitsluitend met borg client-side versleutelde chunks en heeft geen toegang tot de plaintext (zie Bijlage B.4)	Zwitserland (Zürich - adequaatheidsbesluit, art. 45 AVG)	Altijd
4	Moneybird B.V.	B.V., Nederland (Enschede)	Facturatie en boekhouding - uitsluitend NAW- en factuurgegevens van Klant zelf, géén persoonsgegevens van betrokkenen van Klant	Nederland (EER)	Altijd (alleen voor factuurrelatie met Klant)
5	Hosting Concepts B.V. (handelend onder de naam OpenProvider) - KvK 24277249, Hofplein 20, 3032 AC Rotterdam	B.V., Nederland (Rotterdam)	Domeinregistrar-reseller voor het beheer van klantdomeinen (registrant = Klant zelf, zie AV art. 4.2)	Nederland (EER)	Alleen indien Somogy namens Klant een domein registreert of beheert

Doorgifte buiten EER: zie artikel 10. Zwitserland (rsync.net) valt onder een adequaatheidsbesluit en vereist geen SCC’s; de Verenigde Staten (Cloudflare, voor WordPress-hosting) wel - op basis van SCC in Cloudflare’s DPA en EU-US Data Privacy Framework (voor zover geldig).

Doeleinde per sub-verwerker: de verwerking door elke sub-verwerker is beperkt tot de in deze tabel genoemde dienst en is contractueel zodanig afgebakend dat de sub-verwerker de gegevens niet voor eigen doeleinden gebruikt.

DPA’s van sub-verwerkers: de DPA’s (of gelijkwaardige verwerkersovereenkomsten) met de hierboven genoemde sub-verwerkers zijn door Somogy aangegaan en op verzoek inzichtelijk voor Klant, met weglating van eventuele commercieel vertrouwelijke passages.