Verwerkersovereenkomst

Versie 1.3 – 19 augustus 2025 

1. Inleiding 

Deze Verwerkersovereenkomst (“Overeenkomst”) is een juridisch bindend document dat een integraal onderdeel vormt van en een aanvulling is op de bestaande overeenkomst tussen Catcher24 B.V. (“Catcher24”) en de Opdrachtgever. 
Deze Overeenkomst heeft betrekking op de dienstverlening waarbij Catcher24 in het kader van de uitvoering van haar diensten persoonsgegevens verwerkt ten behoeve van de Opdrachtgever (“Diensten”).  

2. Definities

De in deze Overeenkomst gebruikte termen hebben dezelfde betekenis als in de Algemene Verordening Gegevensbescherming (AVG) en in de bestaande overeenkomst. 
In geval van tegenstrijdigheid tussen deze Overeenkomst en de bestaande overeenkomst prevaleert deze Overeenkomst, tenzij dwingendrechtelijke bepalingen anders voorschrijven. 

 3. Onderwerp van de verwerking Catcher24 verwerkt persoonsgegevens uitsluitend ten behoeve van de Opdrachtgever (de organisatie die de Diensten afneemt) en overeenkomstig de doeleinden zoals vastgelegd in deze Overeenkomst en in Bijlage 1.
Catcher24 treedt daarbij op als verwerker, terwijl de Opdrachtgever optreedt als verwerkingsverantwoordelijke. 

  • De aard, doeleinden, duur en categorieën van de verwerking zijn gespecificeerd in Bijlage 1. 

  • Verwerking vindt uitsluitend plaats op basis van de (schriftelijke en/of digitale) overeenkomst met de Opdrachtgever, tenzij een wettelijke verplichting anders voorschrijft. In dat geval zal Catcher24 de Opdrachtgever vooraf informeren, tenzij dit door de wet is verboden. 

  • De (persoons)gegevens die door de Verwerkingsverantwoordelijke (Opdrachtgever) aan Catcher24 worden verstrekt, dienen:

    a. rechtmatig te zijn verkregen en rechtmatig te worden gedeeld met Catcher24;
    b. juist en actueel te zijn;
    c. voldoende gecommuniceerd te zijn aan betrokkenen met betrekking tot de verwerkingsactiviteiten.  

4. Verplichtingen van Catcher24

  • Beveiligingsmaatregelen: Catcher24 zal passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen verlies, vernietiging, wijziging of onbevoegde toegang (zie ook Bijlage 2). 

  • Datalekken: Catcher24 zal zonder onredelijke vertraging, maar uiterlijk binnen 72 uur, melding doen aan de Opdrachtgever van een inbreuk in verband met persoonsgegevens en volledig meewerken aan de afhandeling daarvan, inclusief eventuele meldingen aan de toezichthouder en/of betrokkenen. 

  • Rechten van betrokkenen: Catcher24 zal de Opdrachtgever ondersteunen bij het afhandelen van verzoeken van betrokkenen met betrekking tot inzage, rectificatie, verwijdering of overdraagbaarheid van hun gegevens. 

  • Subverwerkers: Catcher24 zal de Opdrachtgever zo spoedig mogelijk informeren over de inzet van nieuwe subverwerkers. De Opdrachtgever heeft het recht hiertegen binnen een redelijke termijn bezwaar te maken. Catcher24 waarborgt dat subverwerkers aan dezelfde verplichtingen zijn gebonden als opgenomen in deze Overeenkomst. 

  • Verwerking uitsluitend op instructie: Catcher24 zal persoonsgegevens uitsluitend verwerken overeenkomstig de schriftelijke instructies en doeleinden zoals overeengekomen met de Opdrachtgever. 

  • Vertrouwelijkheid: Catcher24 zal waarborgen dat werknemers en derden die toegang hebben tot persoonsgegevens gebonden zijn aan een passende geheimhoudingsplicht. 

  • Audits: Catcher24 zal de Opdrachtgever in de gelegenheid stellen om (zelf of door een onafhankelijke derde) audits uit te voeren teneinde de naleving van deze Overeenkomst te verifiëren. 

  • Ondersteuning bij DPIA’s: Catcher24 zal de Opdrachtgever desgevraagd bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en, indien nodig, bij overleg met de toezichthoudende autoriteit.  

5. Internationale doorgifte van persoonsgegevens

Indien persoonsgegevens buiten de Europese Economische Ruimte (EER) worden verwerkt, zal Catcher24 ervoor zorgdragen dat een passend beschermingsniveau wordt gewaarborgd conform hoofdstuk V van de AVG. 
Dit kan onder meer geschieden door het gebruik van door de Europese Commissie goedgekeurde standaardcontractbepalingen (Standard Contractual Clauses, SCC’s) of andere rechtmatige overdrachtsmechanismen. 
Catcher24 zal de Opdrachtgever informeren indien een dergelijke doorgifte plaatsvindt of beoogd wordt.  

6. Gebruik van subverwerkers

De Opdrachtgever verleent Catcher24 toestemming voor het inschakelen van de in Bijlage 1 vermelde subverwerkers. Indien Catcher24 voornemens is een nieuwe subverwerker in te schakelen of een bestaande te vervangen, zal zij de Opdrachtgever hiervan tijdig op de hoogte stellen via de gebruikelijke (digitale) communicatiekanalen. De Opdrachtgever heeft het recht binnen een redelijke termijn bezwaar te maken. Catcher24 waarborgt dat elke subverwerker aan dezelfde verplichtingen is gebonden als in deze Overeenkomst, in het bijzonder wat betreft gegevensbescherming en beveiliging. Indien geen oplossing wordt bereikt naar aanleiding van een bezwaar, heeft de Opdrachtgever het recht de overeenkomst te beëindigen voor dat deel van de Diensten waarbij de betreffende subverwerker betrokken is.  

7. Beëindiging en verwijdering van gegevens

Na beëindiging van de Diensten of op verzoek van de Opdrachtgever zal Catcher24 alle persoonsgegevens op een veilige wijze verwijderen, tenzij een wettelijke verplichting het bewaren van de gegevens vereist. De verplichtingen uit deze Overeenkomst blijven na beëindiging van kracht voor zover noodzakelijk om naleving van de AVG te waarborgen.  

8. Toepasselijk recht en geschillen

Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen voortvloeiende uit of verband houdende met deze Overeenkomst worden voorgelegd aan de bevoegde rechter in Amsterdam. 

Bijlage 1: Beschrijving van de verwerking

Catcher24 verwerkt persoonsgegevens uitsluitend voor het leveren van de overeengekomen Diensten aan de Opdrachtgever en voor geen ander doel. 

Soorten persoonsgegevens: naam, e-mailadres, taal, IP-adres, locatiegegevens en betaalgegevens.

Bewaartermijn: gegevens worden bewaard zolang de Opdrachtgever dit vereist op grond van de overeenkomst en worden uitsluitend verwijderd op schriftelijk verzoek van de Opdrachtgever.

Categorieën van betrokkenen: medewerkers van Catcher24 en haar groepsmaatschappijen, alsmede derden die door de Opdrachtgever zijn gemachtigd. 

Dienst

Subverwerker

Omschrijving

Land

Netwerk

PeakFactory

Beveiligde netwerkverbindingen

NL

Hosting

Triplinq

Virtuele serverinfrastructuur

NL

Back-up

Triplinq

Fysieke dataopslag

NL

Endpoint Security

Triplinq

Endpointbeveiligingsdiensten

NL

Phishing Services

Phished

Phishingsimulatie en training

BE

Payment Processing

Stripe

Facturatie en betalingsverwerking

IE

CRM

ODOO

CRM/ERP

NL

Boekhoudpakket

Exact

Boekhouding en verslaglegging

BE

Bijlage 2: Beveiligingsmaatregelen 

Catcher24 heeft de volgende beveiligingsmaatregelen geïmplementeerd: 

  • Encryptie: SSL-versleuteling op alle interfaces en verbindingen. 

  • Toegangsbeheer: wachtwoordbeleid, MFA en autorisatiemodellen per gebruiker(sgroep). 

  • Netwerkbeveiliging: firewallregels en detectie van inbraakpogingen. 

  • Back-up: onsite en offsite back-ups. 

  • Incidentmanagement: logregistratie en procedures voor melding van beveiligingsincidenten. 

  • Fysieke beveiliging: datacenters gecertificeerd volgens ISO 27001 en SOC 2 Type II.  

Voor verzoeken tot uitoefening van rechten van betrokkenen: geef duidelijk aan welk recht u wenst uit te oefenen. 
Vragen over deze Overeenkomst: legal@catcher24.com 
Meldingen van incidenten: abuse@catcher24.com