Verwerkersovereenkomst

Verwerkersovereenkomst

Laatst bijgewerkt: mei 2026. Deze Verwerkersovereenkomst ("DPA") is door verwijzing onderdeel van de RankBird Algemene Voorwaarden. Werkversie in afwachting van definitieve juridische review.

1. Onderwerp & rollen

Deze DPA geldt telkens wanneer RankBird persoonsgegevens namens de Klant verwerkt in het kader van de Dienst. De Klant treedt op als verwerkingsverantwoordelijke en RankBird als verwerker in de zin van art. 4 AVG. Voor persoonsgegevens die RankBird voor eigen doeleinden verwerkt (bijv. accountbeheer, facturatie, beveiliging, productanalyse) treedt RankBird op als verwerkingsverantwoordelijke — zie ons Privacybeleid.

2. Aard, doel en duur

RankBird verwerkt persoonsgegevens uitsluitend voor zover nodig om de Dienst te leveren: scannen van de Shopify-store van de Klant, genereren en publiceren van content, berekenen van performance-metrics, integreren met Google Search Console en opslaan van de configuratie van de Klant. Verwerking duurt zolang de overeenkomst loopt, plus de hieronder gedefinieerde retentietermijnen.

3. Categorieën betrokkenen en persoonsgegevens

  • Betrokkenen: geauthenticeerde administrators van de Klant; bezoekers van de Shopify-store van de Klant (uitsluitend voor zover hun gegevens via Shopify-API's beschikbaar worden gesteld waartoe RankBird toegang krijgt).
  • Persoonsgegevens: naam, e-mail, rol en taal van admin-gebruikers; OAuth-tokens; technische identifiers (store-handle, shop-ID); geaggregeerde analytics; persoonsgegevens die de Klant zelf vrijwillig opneemt in prompts, briefs of templates.

RankBird verwerkt bewust geen bijzondere categorieën van persoonsgegevens (art. 9 AVG). De Klant mag dergelijke gegevens niet via de Dienst aanleveren.

4. Instructies van de Klant

RankBird verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, ook met betrekking tot internationale doorgiften, behoudens wettelijke verplichtingen onder EU- of Nederlands recht. De instructies van de Klant zijn vastgelegd in de Algemene Voorwaarden, deze DPA en de configuratie die de Klant in-product aanbrengt. RankBird informeert de Klant indien een instructie naar haar mening de AVG schendt.

5. Beveiligingsmaatregelen (TOMs)

RankBird treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:

  • Versleuteling in transit (TLS 1.2+) en at rest voor opgeslagen Klantgegevens.
  • Role-based access control met least-privilege defaults; productie-toegang beperkt tot benoemde engineers.
  • Gehardende cloud-infrastructuur met provider security baselines (firewalling, netwerkisolatie, geautomatiseerde patching).
  • Audit-logging van administratieve handelingen op productiesystemen.
  • Veilige SDLC: code review, dependency-scanning, pre-prod omgevingen gescheiden van productie.
  • Backup- en recovery-procedures met regelmatige restore-tests.
  • Incident-response plan en on-call rotatie.

6. Sub-verwerkers

De Klant geeft RankBird toestemming om sub-verwerkers in te schakelen voor de levering van de Dienst. De actuele lijst staat op /pages/sub-processors. RankBird informeert Klanten vooraf over voorgenomen wijzigingen (toevoeging of vervanging van een sub-verwerker); de Klant kan binnen 30 dagen bezwaar maken op redelijke gronden, in welk geval partijen te goeder trouw werken aan een alternatief of, bij gebreke daarvan, de Klant het betreffende deel van de Dienst voor eigen gemak kan beëindigen.

RankBird legt aan elke sub-verwerker gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan die in deze DPA en blijft aansprakelijk voor het handelen en nalaten van haar sub-verwerkers.

7. Internationale doorgiften

Bij doorgifte van persoonsgegevens buiten de Europese Economische Ruimte baseert RankBird zich op (a) een adequaatheidsbesluit op grond van art. 45 AVG (bijv. EU-US Data Privacy Framework voor gecertificeerde Amerikaanse sub-verwerkers), of (b) Standaard Contractuele Bepalingen van de Europese Commissie (besluit 2021/914), aangevuld met aanvullende waarborgen zoals vereist door rechtspraak (Schrems II).

8. Rechten van betrokkenen

Rekening houdend met de aard van de verwerking ondersteunt RankBird de Klant met passende technische en organisatorische maatregelen bij het nakomen van zijn verplichting om verzoeken van betrokkenen onder hoofdstuk III AVG te beantwoorden (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). Verzoeken die rechtstreeks bij RankBird binnenkomen, worden zonder onnodige vertraging doorgestuurd naar de Klant.

9. Datalekken

RankBird informeert de Klant zonder onnodige vertraging (en in elk geval binnen 72 uur na vaststelling) over een inbreuk in verband met persoonsgegevens van de Klant en verstrekt de informatie als bedoeld in art. 33(3) AVG zodat de Klant zijn eigen meldingsplichten kan nakomen.

10. Audits & informatie

RankBird stelt de Klant alle informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen. Met redelijke voorafgaande schriftelijke kennisgeving, niet vaker dan eenmaal per 12 maanden (en op kosten van de Klant), kan de Klant de verwerkingsactiviteiten van RankBird laten auditen door een gezamenlijk overeengekomen onafhankelijke auditor, gebonden aan passende geheimhoudingsverplichtingen. RankBird kan aan deze verplichting voldoen door relevante third-party audit-rapporten beschikbaar te stellen (bijv. SOC 2 / ISO 27001) waar beschikbaar.

11. Teruggave en verwijdering

Bij afloop of beëindiging van de overeenkomst zal RankBird, naar keuze van de Klant, alle namens de Klant verwerkte persoonsgegevens binnen 30 dagen verwijderen of teruggeven, behalve voor zover EU- of Nederlands recht opslag voorschrijft. Backups die de gegevens bevatten worden verwijderd volgens het retentie-schema van RankBird, met blijvende bescherming van de gegevens zolang ze in backup-vorm bestaan.

12. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen in de Algemene Voorwaarden. Niets in deze DPA beperkt of sluit de aansprakelijkheid uit van een partij voor schending van haar eigen verplichtingen onder toepasselijke gegevensbeschermingswetgeving.

13. Looptijd & rangorde

Deze DPA treedt in werking bij aanvaarding van de Algemene Voorwaarden en blijft van kracht zolang RankBird persoonsgegevens namens de Klant verwerkt. Bij conflict tussen deze DPA en de Algemene Voorwaarden prevaleert deze DPA voor zaken op het gebied van gegevensbescherming.