Versie 1.0 – Oktober 2025
Deze verwerkersovereenkomst is opgesteld door Madicom B.V. als onderdeel van haar informatiebeveiligings- en privacybeleid.
Madicom werkt uitsluitend met zorgvuldig geselecteerde leveranciers, partners en dienstverleners die voldoen aan de geldende Europese en Nederlandse wetgeving inzake gegevensbescherming (waaronder de AVG en de normen van ISO 27001).
In verband met commerciële vertrouwelijkheid worden bepaalde whitelabel-platformpartners en technische leveranciers in deze overeenkomst aangeduid met generieke termen zoals “whitelabel-platformprovider” of “third-party service provider”. De exacte identiteit van deze partijen kan, indien noodzakelijk voor naleving of toezicht, op verzoek aan de Opdrachtgever of bevoegde autoriteiten worden verstrekt na ondertekening van een passende geheimhoudingsverklaring (NDA).
Daarnaast kunnen ondersteunende partijen, zoals boekhouders, accountants en juridische of administratieve dienstverleners, toegang krijgen tot beperkte gegevens (zoals factuur- en transactiegegevens) voor zover dit noodzakelijk is voor de uitvoering van wettelijke of contractuele verplichtingen.
Deze partijen handelen steeds onder verantwoordelijkheid van Madicom en zijn gebonden aan gelijkwaardige geheimhoudings- en beveiligingsverplichtingen.
Artikel 1 – Partijen
Madicom B.V., Platinaweg 25, 2544 EZ Den Haag, KvK 66783224 (“Madicom” of “Verwerker”),
en
[Naam klant / organisatie], [Adres], KvK [nummer] (“Opdrachtgever” of “Verwerkingsverantwoordelijke”).
Artikel 2 – Onderwerp en toepasselijkheid
Deze overeenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Madicom uitvoert ten behoeve van Opdrachtgever, in het kader van de door Madicom geleverde diensten (IT-beheer, e-learning, Shieldified etc.). Deze overeenkomst maakt integraal deel uit van de hoofdovereenkomst tussen Partijen.
Artikel 3 – Doeleinden van verwerking
Madicom verwerkt persoonsgegevens uitsluitend voor: IT-beheer, ondersteuning en projectmanagement; levering van (e-)learning en klassikale trainingen; Shieldified-diensten (phishing-simulaties en micro-trainingen); administratie, nieuwsbrieven, facturatie en beveiliging. Madicom verwerkt geen persoonsgegevens voor eigen doeleinden.
Artikel 4 – Categorieën gegevens en betrokkenen
Categorieën persoonsgegevens: naam, e-mailadres, inlog- en loggegevens, klik- en trainingsresultaten, contactinformatie. Categorieën betrokkenen: medewerkers van Opdrachtgever, deelnemers aan (e-)learning en vertegenwoordigers van Opdrachtgever. Madicom verwerkt geen bijzondere persoonsgegevens tenzij schriftelijk overeengekomen.
Artikel 5 – Reikwijdte en rol
Opdrachtgever is verwerkingsverantwoordelijke; Madicom is verwerker.
Artikel 6 – Verplichtingen van Madicom
Madicom verwerkt gegevens uitsluitend op schriftelijke instructie van Opdrachtgever. Medewerkers van Madicom zijn tot geheimhouding verplicht. Madicom treft passende technische en organisatorische beveiligingsmaatregelen conform artikel 32 AVG en ISO 27001-normen. Madicom houdt een register van verwerkingsactiviteiten bij.
Artikel 7 – Beveiliging en locatie van gegevens
Alle klantdata wordt verwerkt binnen de EER. Replicatie, back-ups of opslag buiten de EER vinden niet plaats, tenzij wettelijk noodzakelijk of schriftelijk overeengekomen met passende waarborgen (art. 46 AVG). Remote support-toegang van buiten de EER is toegestaan onder strikte beveiligingsmaatregelen en wordt gelogd. Madicom ziet erop toe dat subverwerkers deze afspraken naleven.
Artikel 8 – Cloud- en third-party services
Madicom kan voor de uitvoering van diensten gebruikmaken van (whitelabel) third-party service providers en platformpartners die bepaalde verwerkingen uitvoeren. Madicom waarborgt dat deze partners contractueel verplicht zijn tot gelijkwaardige beveiligings- en privacymaatregelen. De identiteit van deze partners wordt niet standaard openbaar gemaakt om commerciële redenen, maar kan op redelijk verzoek en na een passende vertrouwelijkheidsovereenkomst (NDA) worden gedeeld met Opdrachtgever of toezichthouders.
Artikel 9 – Subverwerkers
Madicom mag subverwerkers inschakelen. Opdrachtgever verleent bij voorbaat toestemming voor het inschakelen van subverwerkers mits Madicom schriftelijk vastlegt dat gelijke verplichtingen gelden. Madicom meldt nieuwe subverwerkers tijdig; Opdrachtgever kan binnen 14 dagen gemotiveerd bezwaar maken. Naamgeving van commerciële whitelabel-partners kan generiek worden vermeld (bijv. ‘whitelabel-platformprovider’) in publieke documentatie.
Artikel 10 – Datalekken
Madicom meldt een inbreuk op persoonsgegevens binnen 24 uur na ontdekking aan Opdrachtgever en verstrekt relevante informatie. Madicom verleent volledige medewerking bij onderzoek en meldingen aan de AP of betrokkenen.
Artikel 11 – DPIA en toezichthouder
Madicom verleent redelijke medewerking bij DPIA’s en voorafgaande raadpleging; extra werkzaamheden kunnen in rekening worden gebracht.
Artikel 12 – Audit en assurance
Opdrachtgever heeft recht op één audit per jaar met 30 dagen notice. Madicom kan volstaan met recente ISO 27001 of SOC 2 rapporten en een managementverklaring in plaats van on-site audits. On-site audits alleen bij gemotiveerd vermoeden van ernstige non-compliance.
Artikel 13 – Beëindiging en verwijdering
Na beëindiging verwijdert of retourneert Madicom persoonsgegevens binnen 30 dagen; back-ups worden uiterlijk binnen 30 dagen overschreven. Madicom verstrekt op verzoek een verwijderingsbevestiging.
Artikel 14 – Aansprakelijkheid en verzekering
Madicom is aansprakelijk bij opzet of grove nalatigheid. Madicom onderhoudt een bedrijfs- en beroepsaansprakelijkheidsverzekering; aansprakelijkheid is beperkt tot bedrag uitgekeerd door verzekeraar plus eigen risico. Indien geen uitkering: max vergoeding gelijk aan door Opdrachtgever in dat kalenderjaar betaalde vergoedingen tot een maximum van €250.000 per jaar. Indirecte schade is uitgesloten.
Artikel 15 – Rechten van betrokkenen
Madicom verwijst verzoeken van betrokkenen door en ondersteunt de Opdrachtgever bij afhandeling.
Artikel 16 – Toepasselijk recht
Nederlands recht is van toepassing; bevoegde rechter te Den Haag.
Slotbepaling – Digitale ondertekening
Partijen verklaren deze overeenkomst digitaal te hebben ondertekend of op andere schriftelijke wijze te hebben aanvaard.
Bijlage: Voorbeeld publieke formulering van subverwerkers
TransIP (hosting), Microsoft 365 (cloud productivity), en een whitelabel-platformprovider voor phishing-simulaties. De exacte commerciële namen van whitelabel-partners worden niet standaard openbaar gemaakt; disclosure kan plaatsvinden op verzoek en na NDA.