Verwerkersovereenkomst
Als opleider verwerk je persoonsgegevens van je cursisten. Zodra je daarvoor software van een derde gebruikt (zoals Trainiq), schrijft de AVG (artikel 28) voor dat je een verwerkersovereenkomst (VWO) sluit met die leverancier. Veel SaaS-leveranciers laten je daarvoor een apart document tekenen. Bij Trainiq werkt het anders: de VWO is integraal opgenomen in onze algemene voorwaarden.
Bij Trainiq voldoe je automatisch aan de AVG
De Algemene Verordening Gegevensbescherming verplicht je als verwerkingsverantwoordelijke om voor iedere verwerker (zoals een SaaS-platform) duidelijke afspraken vast te leggen: wat voor data wordt verwerkt, op welke grondslag, waar staat het, wie heeft toegang, hoe lang blijft het bewaard, en wat gebeurt er bij een datalek.
Wij hebben al die afspraken verwerkt in artikelen 20 tot en met 29 van onze algemene voorwaarden. Die tien artikelen vormen samen een volwaardige VWO zoals artikel 28 AVG die voorschrijft.
Hoe zit het met de verwerkersovereenkomst?
De tien artikelen die samen de VWO vormen:
- Artikel 20 — Persoonsgegevens: welke categorieën gegevens worden verwerkt
- Artikel 21 — Doeleinden van verwerking: waarvoor wel, waarvoor niet
- Artikel 22 — Verplichtingen verwerker: alleen op instructie, medewerking aan DPIA's
- Artikel 23 — Doorgifte: subverwerkers, EER-only
- Artikel 24 — Verdeling van de verantwoordelijkheid: jij = verwerkingsverantwoordelijke, Trainiq = verwerker
- Artikel 25 — Beveiliging: encryptie, magic-link, toegangscontrole, backups
- Artikel 26 — Meldplicht: 48u dataleknotificatie aan jou
- Artikel 27 — Afhandeling verzoeken van betrokkenen: jij blijft eerste aanspreekpunt, wij faciliteren
- Artikel 28 — Geheimhouding en vertrouwelijkheid: ook na beëindiging
- Artikel 29 — Audit: één audit per jaar, certificeringen mogen audits vervangen
Je gegevens zijn goed beveiligd
We hebben passende technische en organisatorische maatregelen genomen: alles versleuteld in transit (TLS 1.2+) en at rest, wachtwoordloze magic-link-authenticatie, rolgebaseerde toegangscontrole, audit log van administratieve handelingen, en dagelijkse geteste backups. Het volledige beveiligingsbeleid staat op trainiq.nl/beveiliging.
Alle subverwerkers waarmee wij werken (hosting, e-mail, betalingen, boekhouding, AI) zijn gevestigd binnen de Europese Economische Ruimte. Het actuele overzicht, inclusief locatie, certificeringen en data-categorieën, vind je op trainiq.nl/subverwerkers.
Veel gestelde vragen
Waarom geen aparte overeenkomst?
Juridisch gezien is een geïntegreerde VWO net zo bindend als een losse. Het voordeel: één document, één wijzigingsmoment, geen versie-mismatch tussen jouw exemplaar en het onze. Voor jou betekent het minder papierwerk; voor ons betekent het dat we niet voor elke nieuwe opleider een tekenronde hoeven te organiseren.
Ben ik dan wel verwerkingsverantwoordelijke?
Ja. Voor de cursistgegevens die jij in Trainiq zet ben jij de verwerkingsverantwoordelijke: jij bepaalt waarom je die data verzamelt, jij bent het aanspreekpunt voor je cursisten, en jij bent verplicht je cursisten te informeren via je eigen privacyverklaring. Trainiq is verwerker voor die data, in opdracht van jou.
Wat doen jullie nog meer voor mijn AVG-compliance?
Niets buiten de scope van het platform. Wij zorgen dat onze verwerking voldoet aan de AVG: encryptie, toegangscontrole, EU-only data, datalek-procedure, audit-rechten. Wat jij doet rondom je eigen privacyverklaring, je retentie-beleid richting cursisten, het trainen van je eigen medewerkers, of je bredere AVG-naleving (bijv. richting leveranciers buiten Trainiq) is jouw verantwoordelijkheid. Daar kunnen wij niets aan beloven en daar zijn we ook niet aansprakelijk voor.
Mijn grote klant wil tóch een aparte getekende VWO. Kan dat?
Voor grote partners (bijv. uitzendbureaus, multinationals, overheidsinstanties) sluiten wij in uitzonderingsgevallen een bespoke VWO op aanvraag. Stuur een e-mail naar info@trainiq.nl met de scope en wij nemen contact op. In de praktijk wijken zulke bespoke VWO's inhoudelijk niet of nauwelijks af van de geïntegreerde versie hierboven.
Wat als jullie een nieuwe subverwerker willen toevoegen?
Wijzigingen in onze subverwerker-lijst kondigen wij ten minste 30 dagen voor live-zetting aan op trainiq.nl/subverwerkers en per e-mail aan onze klanten. Heb je een gemotiveerd bezwaar tegen een nieuwe subverwerker, dan kun je dat per e-mail aangeven; in het uiterste geval is dat een grond om de Overeenkomst per direct te beëindigen. Zie artikel 23 van de algemene voorwaarden.
Hoe meld ik een datalek?
Vermoed je dat er sprake is van een datalek dat Trainiq raakt? Mail dan zo snel mogelijk info@trainiq.nl met "DATALEK" in het onderwerp. Wij nemen binnen 4 uur contact op en starten de procedure die in artikel 26 staat beschreven (notificatie aan jou binnen 48 uur, alle informatie die je nodig hebt om binnen 72 uur de Autoriteit Persoonsgegevens te informeren).
Vragen?
Twijfel je of de geïntegreerde VWO voldoet voor jouw situatie? Mail info@trainiq.nl of bel 085 071 1114. We helpen je graag verder, ook als je een aparte versie nodig blijkt te hebben.