Verwerkersovereenkomst (DPA)
Versie 2.1 · Laatst bijgewerkt: 8 juli 2026
Deze verwerkersovereenkomst ("DPA") is onderdeel van de overeenkomst tussen Gung Ho B.V., handelend onder de naam SEOwriters ("Verwerker"), en de klant die van de dienst gebruikmaakt ("Verwerkingsverantwoordelijke" of "u"). De DPA regelt de verwerking van persoonsgegevens die SEOwriters namens u uitvoert in het kader van het SEOwriters-platform. Bij strijdigheid tussen deze DPA en de overeenkomst prevaleert deze DPA voor onderwerpen die de verwerking van persoonsgegevens betreffen.
1. Definities
Begrippen als "persoonsgegevens", "verwerking", "betrokkene", "verwerkingsverantwoordelijke", "verwerker", "subverwerker" en "datalek" hebben de betekenis die de Algemene Verordening Gegevensbescherming (AVG) daaraan geeft.
2. Onderwerp, aard en doel van de verwerking
SEOwriters verwerkt persoonsgegevens uitsluitend ten behoeve van de overeengekomen dienst: het genereren, publiceren en rapporteren van SEO-content voor uw website(s), inclusief het ophalen van prestatiegegevens uit uw gekoppelde bronnen. De aard van de verwerking omvat het verzamelen, opslaan, raadplegen, analyseren en verwijderen van gegevens. Er vindt geen profilering plaats en geen geautomatiseerde besluitvorming met rechtsgevolgen.
3. Duur
Deze DPA geldt zolang de overeenkomst loopt. De verwerking eindigt bij beëindiging van de overeenkomst, met een uitloop van maximaal 30 dagen voor verwijdering of teruggave (zie artikel 13).
4. Categorieën persoonsgegevens en betrokkenen
Categorieën persoonsgegevens:
- geaggregeerde bezoekersgegevens van uw website (via Google Analytics 4);
- zoek- en prestatiegegevens (via Google Search Console);
- auteur- en accountgegevens binnen uw WordPress-installatie waarmee wordt gepubliceerd;
- e-mailadressen die u koppelt aan transactionele communicatie.
Categorieën betrokkenen: bezoekers van uw website en geregistreerde gebruikers van uw WordPress-installatie.
Er worden geen bijzondere categorieën persoonsgegevens (art. 9 AVG) verwerkt. Verstrekt u ons dergelijke gegevens toch, dan doet u dat op eigen verantwoordelijkheid.
5. Instructies en rechtsgeldige grondslag
SEOwriters verwerkt persoonsgegevens uitsluitend op grond van uw schriftelijke instructies, waaronder de instructies die in de overeenkomst en deze DPA besloten liggen. Meent SEOwriters dat een instructie in strijd is met de AVG of andere wetgeving, dan meldt zij dit. SEOwriters verwerkt de gegevens niet voor eigen doeleinden.
U staat ervoor in dat u een rechtsgeldige grondslag heeft voor de verwerking van de gegevens die u aan ons ter beschikking stelt of laat koppelen, en dat u gerechtigd bent de betreffende Google- en WordPress-accounts te koppelen.
6. Vertrouwelijkheid
SEOwriters verplicht de personen die toegang hebben tot de persoonsgegevens tot geheimhouding en verleent alleen toegang aan medewerkers met een operationele noodzaak.
7. Beveiliging (art. 32 AVG)
SEOwriters treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen staan in Bijlage 3 en omvatten onder meer versleuteling van credentials en tokens, versleuteling in transit en in rust, toegangsbeperking op basis van noodzaak, en audit-logging.
8. Subverwerkers
U geeft hierbij algemene toestemming voor het inschakelen van de subverwerkers genoemd in Bijlage 2. SEOwriters legt aan elke subverwerker dezelfde verplichtingen op als in deze DPA. Bij een voorgenomen wijziging (toevoeging of vervanging) informeert SEOwriters u minimaal 30 dagen vooraf, zodat u bezwaar kunt maken. Maakt u gemotiveerd bezwaar en komen partijen er niet uit, dan kunt u de overeenkomst beëindigen voor het betrokken onderdeel.
9. Bijstand aan de verwerkingsverantwoordelijke
SEOwriters verleent u redelijke bijstand bij:
- het afhandelen van verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, bezwaar, dataportabiliteit);
- het nakomen van uw verplichtingen bij datalekken (art. 33–34 AVG);
- gegevensbeschermingseffectbeoordelingen (DPIA's, art. 35) en voorafgaande raadpleging (art. 36), voor zover die op de dienst betrekking hebben.
Ontvangt SEOwriters rechtstreeks een verzoek van een betrokkene, dan verwijst zij die door naar u en handelt zij niet zelfstandig af.
10. Datalekken
SEOwriters informeert u zonder onredelijke vertraging en uiterlijk binnen 48 uur nadat zij kennis heeft gekregen van een datalek dat (mede) uw gegevens betreft, met de informatie die u nodig heeft om aan uw meldplicht te voldoen. Het beoordelen en melden bij de Autoriteit Persoonsgegevens en betrokkenen blijft uw verantwoordelijkheid als verwerkingsverantwoordelijke.
11. Internationale doorgifte
SEOwriters geeft persoonsgegevens niet door buiten de EER, tenzij onder passende waarborgen in de zin van hoofdstuk V AVG — standaardcontractbepalingen van de Europese Commissie en/of certificering onder het EU-VS Data Privacy Framework. De relevante subverwerkers en waarborgen staan in Bijlage 2.
12. Audits
SEOwriters stelt op uw redelijke verzoek de informatie beschikbaar die nodig is om naleving van deze DPA aan te tonen, en werkt mee aan audits, waaronder inspecties, uitgevoerd door u of een door u gemachtigde onafhankelijke controleur. Partijen maken vooraf afspraken over frequentie, reikwijdte en kosten, met inachtneming van de continuïteit en veiligheid van de dienst.
13. Teruggave en verwijdering na afloop
Na beëindiging van de overeenkomst verwijdert SEOwriters de persoonsgegevens binnen 30 dagen, of geeft zij deze aan u terug, naar uw keuze, tenzij wetgeving langere bewaring voorschrijft.
14. Aansprakelijkheid
De aansprakelijkheid van partijen onder deze DPA wordt beheerst door de aansprakelijkheidsbepalingen in de overeenkomst, onverminderd dwingend recht.
15. Toepasselijk recht
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de rechtbank Amsterdam.
Bijlage 1 — Details van de verwerking
- Onderwerp: verwerking van persoonsgegevens ten behoeve van geautomatiseerde SEO-content, publicatie en rapportage.
- Duur: looptijd van de overeenkomst + maximaal 30 dagen uitloop.
- Aard en doel: verzamelen, opslaan, analyseren, publiceren en verwijderen ten behoeve van de dienst.
- Soort persoonsgegevens: zie artikel 4.
- Categorieën betrokkenen: zie artikel 4.
Bijlage 2 — Subverwerkers
| Partij | Dienst | Datalocatie | Waarborg |
|---|---|---|---|
| Supabase | Databasehosting (PostgreSQL) | EU (Frankfurt) | EU-regio; SCC's (VS-moeder) |
| Google Cloud | Applicatiehosting (Cloud Run) | EU (europe-west1, België) | EU-regio; SCC's + DPF |
| Google (Gemini API) | AI-contentgeneratie | EU / VS | SCC's + DPF |
| Google (Search Console / Analytics API) | Toegang tot uw gekoppelde data | EU / VS | SCC's + DPF |
| DataForSEO | Keyword- en backlinkverrijking (SEO-data: zoekwoorden/domeinen, geen bezoekers-persoonsgegevens) | VS | SCC's |
| Vercel | Frontendhosting en CDN | VS + wereldwijd CDN | SCC's + DPF |
| Resend | Transactionele e-mail | VS | DPF + SCC's |
| Sentry | Foutmonitoring (geanonimiseerd) | EU-regio | SCC's (VS-moeder) |
| n8n | Workflow-automatisering | EU (eigen server) | Geen doorgifte buiten de EER |
Bijlage 3 — Technische en organisatorische maatregelen (TOM's)
- Versleuteling van credentials: OAuth-tokens en WordPress Application Passwords worden versleuteld opgeslagen met een per-klant afgeleide sleutel (Fernet + HKDF).
- Versleuteling in transit en in rust: alle verbindingen via TLS; database versleuteld in rust (EU-Frankfurt).
- Toegangsbeheer: toegang tot productiesystemen uitsluitend op basis van operationele noodzaak, vastgelegd in een audit-log.
- Dataminimalisatie: Google-koppelingen gebruiken uitsluitend lees-scopes; er worden niet meer gegevens verwerkt dan nodig.
- Scheiding per klant: gegevens zijn per klant logisch gesc