Ga naar hoofdinhoud
QronoPlay
QronoPlay

Verwerkersovereenkomst (VOK)

Verwerkersovereenkomst (VOK)

Verwerkersovereenkomst van toepassing op B2B-klanten die QronoPlay gebruiken voor het verzamelen en verwerken van persoonsgegevens via hun QR-code-marketingcampagnes.

Preambule

Deze verwerkersovereenkomst (de „VOK" of „Overeenkomst") wordt gesloten tussen:

  • De Klant, de rechtspersoon die het QronoPlay-dienst heeft afgenomen en optreedt als verwerkingsverantwoordelijke in de zin van artikel 4, lid 7, AVG („Verwerkingsverantwoordelijke (RT)" of „Klant").
  • SAS Jalimani, SIREN 833 142 631, uitgever van de QronoPlay-dienst, optredend als verwerker in de zin van artikel 4, lid 8, AVG („Verwerker (ST)" of „QronoPlay").

Deze VOK wordt gesloten op grond van artikel 28 van Verordening (EU) 2016/679 (AVG) en maakt integraal deel uit van de dienstverleningsovereenkomst van QronoPlay. In geval van strijdigheid tussen de VOK en de Algemene Gebruiksvoorwaarden prevaleert de VOK op het gebied van gegevensbescherming.

Artikel 1 — Definities

  • Verwerkingsverantwoordelijke (RT): de entiteit die de doeleinden en middelen van de verwerking vaststelt (art. 4, lid 7, AVG).
  • Verwerker (ST): de entiteit die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke (art. 4, lid 8, AVG).
  • Subverwerker: een door de verwerker ingeschakelde derde voor de uitvoering van specifieke verwerkingsactiviteiten.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4, lid 1, AVG).
  • Verwerking: elke bewerking die op persoonsgegevens wordt uitgevoerd (verzameling, vastlegging, opslag, raadpleging, wissing, enz.; art. 4, lid 2, AVG).
  • Betrokkenen: de natuurlijke personen van wie de persoonsgegevens in het kader van de dienst worden verwerkt.
  • Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens (art. 4, lid 12, AVG).

Artikel 2 — Onderwerp en duur

Onderwerp: QronoPlay verwerkt persoonsgegevens namens de Klant in het kader van de SaaS-dienst voor QR-code-marketingspelen (reclameverlosingen, direct-win-spelen, engagementspelen).

Duur: deze VOK geldt voor de volledige looptijd van de dienstverleningsovereenkomst, vermeerderd met een bewaartermijn van 6 maanden voor winnaars overeenkomstig het bewaarbeleid (aanbeveling CNIL IS001).

Artikel 3 — Aard en doel van de verwerking

QronoPlay verwerkt persoonsgegevens uitsluitend voor de volgende door de Klant bepaalde doeleinden:

  • Verzameling van leads (e-mail, voornaam, achternaam, optioneel telefoonnummer) via de door de Klant geconfigureerde spelen.
  • Loting en toekenning van prijzen bij reclameverlosingen.
  • Technische opslag die noodzakelijk is voor de uitvoering van de dienst.
  • Fraudebestrijding (deduplicatie, detectie van meerdere accounts, rate limiting).
  • Productie van geanonimiseerde statistieken voor het dashboard van de Klant.

Artikel 4 — Categorieën verwerkte persoonsgegevens

  • Identificatiegegevens: e-mail, voornaam, achternaam, telefoon (optioneel, afhankelijk van de configuratie van de Klant).
  • IP-locatiegegevens: IP-adres dat bij verzameling wordt geanonimiseerd tot /24 (nooit in klare tekst opgeslagen).
  • Technische metadata: user-agent, deviceHash, tijdstempel van deelname.
  • Spelgegevens: campagnecode, winstatus, indien van toepassing toegekende prijs.
  • Toestemmingsgegevens: tijdgestempelde vastleggingen van verleende toestemmingen (AVG, partnermarketing).

Er worden geen bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG (gezondheid, godsdienst, seksuele geaardheid, enz.) verwerkt.

Artikel 5 — Categorieën betrokkenen

  • Spelers die deelnemen aan de spelen via QR-code of directe link.
  • Winnaars van de door de Klant toegekende prijzen.

Artikel 6 — Verplichtingen van de Klant (Verwerkingsverantwoordelijke (RT))

De Klant verbindt zich ertoe:

  • De doeleinden van de verwerking te bepalen en de toepasselijke rechtsgrondslag vast te stellen (art. 6 AVG).
  • Zijn spelers te informeren overeenkomstig artikelen 13 en 14 AVG (privacyverklaring, bewaartermijnen, rechten).
  • Er zorg voor te dragen dat alle vereiste toestemmingen zijn verkregen (in het bijzonder voor directmarketingdoeleinden, art. 7 AVG).
  • Het hem betreffende register van verwerkingsactiviteiten bij te houden (art. 30 AVG).
  • Een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren indien vereist op grond van artikel 35 AVG.
  • Elke aan QronoPlay gegeven instructie met betrekking tot de verwerking te documenteren.
  • Samen te werken met QronoPlay bij het afhandelen van verzoeken van betrokkenen en bij controles van toezichthoudende autoriteiten.

Artikel 7 — Verplichtingen van QronoPlay (Verwerker (ST))

QronoPlay verbindt zich ertoe:

  • Persoonsgegevens uitsluitend op gedocumenteerde instructie van de Klant te verwerken, ook met betrekking tot doorgifte buiten de EU, tenzij een wettelijke verplichting anders voorschrijft (in welk geval QronoPlay de Klant vooraf informeert).
  • De vertrouwelijkheid van de persoonsgegevens te waarborgen: vertrouwelijkheidsverbintenis ondertekend door elke werknemer en subverwerker met toegang tot de gegevens.
  • Passende technische en organisatorische maatregelen (TOM) te treffen in de zin van artikel 32 AVG (zie Artikel 8).
  • De Klant te helpen bij de nakoming van zijn verplichtingen inzake beveiliging, melding van inbreuken op persoonsgegevens, DPIA en voorafgaande raadpleging van de CNIL (art. 32 tot en met 36 AVG).
  • Op verzoek samen te werken met de CNIL of een andere bevoegde toezichthoudende autoriteit.
  • Bij het einde van de overeenkomst de persoonsgegevens naar keuze van de Klant te retourneren of te wissen, met schriftelijke certificering (zie Artikel 14).
  • De Klant alle informatie ter beschikking te stellen die nodig is om de naleving van de in artikel 28 AVG opgenomen verplichtingen aan te tonen.

Artikel 8 — Technische en organisatorische maatregelen (TOM)

QronoPlay treft de volgende maatregelen om een passend beveiligingsniveau te waarborgen (art. 32 AVG):

  • Soevereine hosting in Frankrijk: OVH-servers in Roubaix (Frankrijk).
  • Versleuteling: TLS 1.3 voor gegevens tijdens overdracht, AES-256 voor gegevens in rust.
  • Toegangscontrole: toegang beperkt tot bevoegd personeel via meervoudige authenticatie (MFA), RBAC-rollen en het principe van minimale rechten.
  • Logging: toegangs- en bewerkingslogboeken worden maximaal 12 maanden bewaard.
  • Back-ups: dagelijkse versleutelde back-ups, herstel regelmatig getest.
  • Scheiding: isolatie van omgevingen (productie, staging, ontwikkeling) en logische scheiding van gegevens tussen Klanten.
  • Audit: regelmatige beoordeling van toegangen en logboeken, periodieke penetratietests.
  • Opleiding: AVG- en beveiligingsbewustzijnstraining voor medewerkers bij indiensttreding en met regelmatige tussenpozen.
  • Anonimisering: IP-adressen worden bij verzameling geanonimiseerd tot /24.
  • Bedrijfscontinuïteit: gedocumenteerde procedures voor herstel na incidenten.

Artikel 9 — Subverwerkers

De Klant machtigt QronoPlay gebruik te maken van de onderstaande subverwerkers (stand per 9 juni 2026):

  • OVH SAS — Frankrijk (EU) — serverhosting en databaseopslag.
  • Resend, Inc. — Verenigde Staten (DPF) — verzending van transactionele en marketing-e-mails (e-mailadres, naam van de ontvanger).
  • Mollie B.V. — Nederland (EU) — B2B-betalingsverwerking.
  • PostHog, Inc. — Europese Unie (EU-cloud, eu.i.posthog.com) — productanalyse en publieksmetingen (SHA-256-gehashte e-mail, navigatiegebeurtenissen, B2B-admingegevens).
  • Sentry (Functional Software, Inc.) — Duitsland / EU (ingest.de.sentry.io) — monitoring van applicatiefouten (foutcontext kan identificatiegegevens bevatten).
  • Trustpilot A/S — Europese Unie / Verenigd Koninkrijk — verzameling van recensies na de proefperiode (e-mailadres en identiteit van de uitnodigingsontvanger).
  • Plausible Analytics — zelf gehost door Jalimani (plausible.jalimani.com, Frankrijk) — cookievrije navigatieanalyse (geen persoonsgegevens worden aan derden doorgegeven).
  • Cloudflare, Inc. — Verenigde Staten (DPF) — CDN, DNS, anti-DDoS-bescherming.
  • n8n.jalimani.com — Frankrijk (EU) — interne automatiseringsworkflows (zelf gehost door SAS Jalimani).

De geolocalisatie van deelnemers wordt lokaal uitgevoerd met een ingebedde MaxMind GeoLite2-database: er wordt voor dit doel geen IP-adres naar een externe dienst verzonden.

QronoPlay informeert de Klant per e-mail voorafgaand aan elke toevoeging of vervanging van een subverwerker. De Klant beschikt over een termijn van 15 dagen na de kennisgeving om gemotiveerd bezwaar te maken. Indien een gerechtvaardigd bezwaar niet kan worden opgelost, kan de Klant de dienstverleningsovereenkomst zonder boete beëindigen.

QronoPlay legt elke subverwerker bij schriftelijke overeenkomst dezelfde gegevensbeschermingsverplichtingen op als die welke in deze VOK zijn vastgelegd. QronoPlay blijft volledig aansprakelijk jegens de Klant voor de nakoming door de subverwerker van zijn verplichtingen.

Artikel 10 — Doorgiften buiten de EU

Persoonsgegevens worden uitsluitend in Frankrijk opgeslagen (OVH Roubaix). De meeste subverwerkers zijn gevestigd in de Europese Unie of opereren als zelfgehoste dienst in Frankrijk (PostHog EU, Sentry DE, Trustpilot EU/UK, Plausible FR, Mollie NL, n8n FR).

Twee subverwerkers verwerken gegevens in de Verenigde Staten:

  • Resend, Inc. (e-mailverzending) — gedekt door de certificering in het kader van het EU–VS Data Privacy Framework (DPF).
  • Cloudflare, Inc. (CDN/DNS) — gedekt door de certificering in het kader van het EU–VS Data Privacy Framework (DPF).

Bij gebreke van toepasselijke DPF-certificering zijn de doorgiften gebaseerd op de Standaardcontractbepalingen (SCB) van de Europese Commissie (Besluit 2021/914) en, waar van toepassing, op aanvullende maatregelen (versleuteling, pseudonimisering).

De Klant kan te allen tijde de gedetailleerde lijst van doorgiften en de toepasselijke waarborgen opvragen via [email protected].

Artikel 11 — Melding van inbreuken op persoonsgegevens

QronoPlay stelt de Klant in kennis van elke inbreuk op persoonsgegevens die van invloed kan zijn op de namens hem verwerkte gegevens binnen 72 uur nadat QronoPlay van de inbreuk op de hoogte is geraakt, overeenkomstig artikel 33 AVG.

De schriftelijke kennisgeving (e-mail + bericht in de beheerdersomgeving) bevat:

  • De aard van de inbreuk en de datum van ontdekking.
  • De categorieën en het geschatte aantal betrokkenen dat is getroffen.
  • De categorieën en de geschatte hoeveelheid betrokken persoonsgegevens.
  • De waarschijnlijke gevolgen van de inbreuk.
  • De genomen of voorgestelde maatregelen om de inbreuk te verhelpen en de gevolgen ervan te beperken.
  • Het contactpunt dat belast is met de afhandeling van het incident.

QronoPlay ondersteunt de Klant bij zijn meldingsverplichtingen jegens de CNIL en, waar van toepassing, jegens de betrokkenen (art. 33 en 34 AVG).

Artikel 12 — Ondersteuning bij rechten van betrokkenen

QronoPlay stelt de Klant de benodigde instrumenten ter beschikking om verzoeken van betrokkenen op grond van artikelen 15 tot en met 22 AVG (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, geautomatiseerde besluitvorming) te beantwoorden.

  • Export- en wis-scripts beschikbaar in het beheerdersplatform.
  • Doorlooptijd: 5 werkdagen vanaf het schriftelijke verzoek van de Klant.
  • Indien een betrokkene zich rechtstreeks tot QronoPlay wendt, wordt het verzoek onverwijld aan de Klant doorgezonden, zonder inhoudelijke reactie.

Artikel 13 — Audit en inspectie

De Klant (of een door hem aangestelde onafhankelijke derde-auditor, die onderworpen is aan een gelijkwaardige vertrouwelijkheidsverbintenis) kan de naleving door QronoPlay van de verplichtingen uit deze VOK ten hoogste eenmaal per jaar controleren, op schriftelijk verzoek met een opzegtermijn van 30 dagen.

De audit wordt uitgevoerd tijdens kantooruren, zonder verstoring van de bedrijfsvoering en met inachtneming van de vertrouwelijkheid van de andere klanten van QronoPlay.

De auditkosten zijn voor rekening van de verzoekende Klant, tenzij een materiële niet-conformiteit aan QronoPlay toe te schrijven wordt vastgesteld, in welk geval QronoPlay de redelijke kosten draagt.

QronoPlay kan als alternatief een recent onafhankelijk auditrapport (zoals ISO 27001, SOC 2 of extern pentest) overleggen dat de gevraagde reikwijdte dekt.

Artikel 14 — Teruggave / vernietiging van persoonsgegevens

Bij het einde van de dienstverleningsovereenkomst, en tenzij wettelijke bewaarplichten van toepassing zijn, kiest de Klant tussen:

  • Teruggave: gestructureerde export van de persoonsgegevens (CSV/JSON) binnen 30 dagen na het schriftelijke verzoek.
  • Gecertificeerde vernietiging: onomkeerbare wissing van de persoonsgegevens binnen 30 dagen, vergezeld van een schriftelijk vernietigingscertificaat.

Back-ups: persoonsgegevens die in back-ups aanwezig zijn, worden uiterlijk 90 dagen na het verstrijken van de back-upbewaarcyclus vernietigd.

Bij gebreke van instructies van de Klant binnen 30 dagen na het einde van de overeenkomst gaat QronoPlay standaard over tot gecertificeerde vernietiging van de persoonsgegevens.

Artikel 15 — Aansprakelijkheid

Elke partij is aansprakelijk voor schade veroorzaakt door haar niet-naleving van de haar toekomende AVG-verplichtingen. QronoPlay is als verwerker aansprakelijk overeenkomstig artikel 82 AVG voor schade die voortvloeit uit inbreuken die toerekenbaar zijn aan haar eigen handelingen of nalatigheden of aan die van haar subverwerkers.

De totale aansprakelijkheid van QronoPlay uit hoofde van deze VOK is beperkt onder de in de Algemene Gebruiksvoorwaarden vastgestelde voorwaarden, behalve in geval van grove nalatigheid, opzettelijke schending of wanneer het toepasselijke recht een ruimere aansprakelijkheid voorschrijft.

Artikel 16 — Wijziging van de VOK

Elke wijziging van deze VOK dient schriftelijk door beide partijen te worden aanvaard (e-mail met ontvangstbevestiging of ondertekend addendum).

QronoPlay kan de VOK eenzijdig wijzigen om te voldoen aan een regelgevende ontwikkeling (AVG, ePrivacy, besluiten van de CNIL/EDPB, jurisprudentie). In dat geval wordt de Klant ten minste 30 dagen voor de inwerkingtreding op de hoogte gesteld. In geval van wezenlijk meningsverschil kan de Klant de dienstverleningsovereenkomst zonder boete beëindigen.

Artikel 17 — Contact / Toepasselijk recht

QronoPlay FG: [email protected]
Algemeen contact: [email protected]
Adres: SAS Jalimani, 3 Chasse aux Grêles, 50630 Quettehou, France
SIREN: 833 142 631

Deze VOK is onderworpen aan het Franse recht en de AVG. Alle geschillen over de uitleg of uitvoering ervan vallen onder de exclusieve bevoegdheid van de rechtbanken van Cherbourg-en-Cotentin (Frankrijk), onverminderd dwingendrechtelijke bevoegdheidsregels.

Datum van inwerkingtreding: bij ondertekening van de QronoPlay-dienstverleningsovereenkomst.

Dit document wordt verstrekt als standaardsjabloon. Voor specifieke behoeften (Enterprise, gereguleerde sectoren) kan een op maat gemaakt addendum worden onderhandeld.

Nuttige links: Privacybeleid · Gebruiksvoorwaarden · Spelreglement · Contact.

Dernière mise à jour :
Retour à l'accueil

© 2025 QronoPlay • [email protected]