← Terug naar home

Verwerkersovereenkomst (DPA)

Versie 1.0, van kracht sinds 3 juni 2026

1. Partijen en rol

Deze Verwerkersovereenkomst (“VOK” of “DPA”) wordt gesloten tussen enerzijds de klant die de Synctomate-dienst afneemt (hierna: “Klant” of “Verwerkingsverantwoordelijke”) en anderzijds Synctomate BV, handelend onder de naam Synctomate, met maatschappelijke zetel te Meerdorp 24/5, 2321 Hoogstraten, KBO-nummer 1037.909.007, BTW BE 1037.909.007 (hierna: “Synctomate” of “Verwerker”).

De Klant is de verwerkingsverantwoordelijke in de zin van artikel 4(7) van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (“AVG”) voor de persoonsgegevens die aanwezig zijn in het Teamleader Focus-account van de Klant. Synctomate treedt op als verwerker in de zin van artikel 4(8) AVG: Synctomate verwerkt die persoonsgegevens uitsluitend namens en in opdracht van de Klant om de overeengekomen dienst te verlenen.

Teamleader Focus & onafhankelijk verwerkersstatuut. Synctomate verbindt zich met het Teamleader Focus-platform via de publieke API met uitdrukkelijke toestemming van de Klant (OAuth 2.0-autorisatie). Teamleader NV classificeert koppelingen zoals Synctomate als een “Optionele Integratie” (Optional Integration): Synctomate is geen sub-verwerker van Teamleader, maar een onafhankelijke verwerker die rechtstreeks door de Klant wordt ingeschakeld. De Klant is verantwoordelijk voor het rechtmatig koppelen van zijn Teamleader-account aan Synctomate in overeenstemming met de overeenkomst die de Klant met Teamleader heeft.

Deze VOK maakt integraal deel uit van de Algemene Voorwaarden van Synctomate en treedt in werking op het moment dat de Klant de dienst activeert of de Algemene Voorwaarden aanvaardt.

2. Voorwerp, duur, aard en doel van de verwerking

De details van de verwerking zijn opgenomen in Bijlage A bij deze VOK. In het kort verwerkt Synctomate persoonsgegevens die aanwezig zijn in het Teamleader Focus-account van de Klant (met name open deals, taken, tickets, projecten, facturen en de daarmee verbonden contacten en bedrijven) met als uitsluitend doel de Synctomate-dienst te leveren: het detecteren van operationele en commerciële signalen, het berekenen van scores en het uitvoeren van geautomatiseerde opvolgingsacties in Teamleader namens de Klant.

De verwerking duurt zolang de Klant een actief abonnement bij Synctomate heeft. Na beëindiging van de overeenkomst worden de gegevens gewist of teruggegeven overeenkomstig artikel 10 van deze VOK.

3. (a) Uitsluitend op gedocumenteerde instructies

Synctomate verwerkt de persoonsgegevens van de Klant uitsluitend op basis van de gedocumenteerde instructies van de Klant, waaronder de verwerking die wordt beschreven in deze VOK en de Algemene Voorwaarden. Synctomate verwerkt de gegevens niet voor eigen doeleinden of voor doeleinden die door de Klant niet zijn goedgekeurd.

Indien Synctomate van mening is dat een instructie van de Klant in strijd is met de AVG of andere toepasselijke wetgeving inzake gegevensbescherming, stelt Synctomate de Klant daarvan onmiddellijk op de hoogte voordat de verwerking wordt uitgevoerd.

Doorgifte buiten de EER. Synctomate geeft persoonsgegevens alleen door aan een derde land of internationale organisatie indien dat vereist is door het Unierecht of het recht van een lidstaat dat op Synctomate van toepassing is of op uitdrukkelijke gedocumenteerde instructie van de Klant. In dat geval stelt Synctomate de Klant vooraf op de hoogte, tenzij het recht dat om redenen van zwaarwegend algemeen belang verbiedt. Voor doorgifte in het kader van sub-verwerkers verwijst Synctomate naar artikel 7 van deze VOK en Bijlage B.

De Standaardcontractbepalingen (SCC’s) blijven gelden als zelfstandige grondslag voor doorgifte, ook indien een adequaatheidsbesluit (zoals het EU-VS Data Privacy Framework) zou worden geschorst of nietig verklaard.

4. (b) Vertrouwelijkheid

Synctomate ziet erop toe dat de personen die gemachtigd zijn de persoonsgegevens te verwerken, zich ertoe hebben verbonden de vertrouwelijkheid in acht te nemen, hetzij door middel van een contractuele verplichting, hetzij op grond van een passende wettelijke verplichting tot geheimhouding.

De toegang tot de persoonsgegevens wordt beperkt tot die medewerkers, aannemers en sub-verwerkers die toegang nodig hebben voor de uitvoering van de Synctomate-dienst (need-to-know-beginsel). Synctomate legt alle personen met toegang tot de gegevens een vertrouwelijkheidsverplichting op die ten minste even streng is als de vereisten van deze VOK.

5. (c) Beveiliging (art. 32 AVG)

Synctomate neemt, rekening houdend met de stand der techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals vereist door artikel 32 AVG.

De concrete technische en organisatorische maatregelen (TOM’s) zijn beschreven in Bijlage C bij deze VOK. Synctomate herziet en actualiseert deze maatregelen periodiek op basis van risicobeoordeling en kan ze verbeteren zonder afbreuk te doen aan het overeengekomen beveiligingsniveau.

6. (d) Sub-verwerkers

De Klant verleent Synctomate een algemene schriftelijke machtiging om sub-verwerkers in te schakelen voor de uitvoering van de dienst. De op het moment van inwerkingtreding van deze VOK actieve sub-verwerkers zijn opgesomd in Bijlage B.

Voorafgaande kennisgeving van wijzigingen. Synctomate stelt de Klant via de website (https://synctomate.be) of per e-mail ten minste 30 kalenderdagen op voorhand in kennis van elke geplande wijziging inzake de toevoeging of vervanging van sub-verwerkers.

Bezwaarrecht. De Klant heeft het recht om binnen de kennisgevingsperiode schriftelijk bezwaar te maken tegen een nieuwe sub-verwerker via lucian@synctomate.be. Indien Synctomate het bezwaar niet kan inwilligen, heeft de Klant het recht de overeenkomst op te zeggen zonder bijkomende kosten, mits schriftelijke opzegging binnen de kennisgevingsperiode.

Flow-down-verplichtingen. Synctomate legt elke sub-verwerker via een schriftelijke overeenkomst dezelfde gegevensbeschermingsverplichtingen op als die welke in deze VOK aan Synctomate worden opgelegd, in het bijzonder wat betreft voldoende garanties inzake technische en organisatorische maatregelen, vertrouwelijkheid en doorgifte-vereisten.

Volledige aansprakelijkheid. Synctomate blijft jegens de Klant volledig aansprakelijk voor de nakoming van de verplichtingen van de sub-verwerker, voor zover de sub-verwerker zijn verplichtingen niet nakomt.

7. (e) Bijstand bij rechten van betrokkenen

Synctomate helpt de Klant, voor zover mogelijk en rekening houdend met de aard van de verwerking, bij de nakoming van de verplichting van de Klant om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene overeenkomstig hoofdstuk III AVG (recht op inzage, rectificatie, gegevenswissing, beperking, overdraagbaarheid en bezwaar).

Synctomate stelt daartoe passende technische functies beschikbaar, waaronder:

  • Export-functie: de Klant kan via het dashboard de ruwe signalen- en actiedata gerelateerd aan een specifiek Teamleader-contact of -deal exporteren.
  • Wisfunctie: de Klant kan via het dashboard of via lucian@synctomate.be verzoeken dat alle door Synctomate opgeslagen verwerkingsdata gerelateerd aan een specifieke betrokkene permanent worden gewist.

Indien een betrokkene een verzoek rechtstreeks bij Synctomate indient, stuurt Synctomate dit verzoek onverwijld door naar de Klant en wacht op diens instructies, tenzij Synctomate wettelijk verplicht is zelfstandig te handelen.

8. (f) Bijstand bij art. 32–36 AVG

Synctomate verleent de Klant bijstand bij de nakoming van de verplichtingen van de Klant krachtens de artikelen 32 tot en met 36 AVG, rekening houdend met de aard van de verwerking en de informatie waarover Synctomate beschikt. Dit omvat:

  • Art. 32: Beveiliging: Synctomate verstrekt op verzoek documentatie over de gehanteerde TOM’s (zie Bijlage C) en beantwoordt redelijke vragen van de Klant over het beveiligingsniveau.
  • Art. 33 & 34: Datalekken: Synctomate stelt de Klant in staat tijdig te voldoen aan zijn meldplicht bij de toezichthouder en betrokkenen door Synctomate te informeren overeenkomstig artikel 9 van deze VOK.
  • Art. 35: Gegevensbeschermingseffectbeoordeling (DPIA): Indien de Klant een DPIA moet uitvoeren voor verwerkingen waarbij Synctomate betrokken is, verstrekt Synctomate op verzoek de benodigde informatie over de verwerking en de TOM’s. Synctomate brengt de Klant op de hoogte indien Synctomate van oordeel is dat een geplande verwerking een hoog risico inhoudt.
  • Art. 36: Voorafgaande raadpleging: Synctomate verleent redelijke medewerking aan eventuele voorafgaande raadpleging door de toezichthoudende autoriteit op verzoek van de Klant.

9. (g) Meldplicht bij datalekken

Synctomate meldt elke inbreuk in verband met persoonsgegevens waarvan Synctomate kennis krijgt aan de Klant zonder onnodige vertraging en, waar mogelijk, uiterlijk 48 uur nadat Synctomate kennis heeft genomen van de inbreuk. Synctomate verstrekt daarbij ten minste de volgende informatie, voor zover beschikbaar:

  • Een beschrijving van de aard van de inbreuk, inclusief de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal betrokken persoonsgegevensregistraties;
  • De contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • Een beschrijving van de mogelijke gevolgen van de inbreuk;
  • Een beschrijving van de door Synctomate genomen of voorgestelde maatregelen om de inbreuk aan te pakken, indien van toepassing.

Synctomate is verantwoordelijk voor de melding van de inbreuk aan de Klant, zodat de Klant zijn eigen meldplicht overeenkomstig artikel 33 en 34 AVG kan nakomen. Het is de Klant die als verwerkingsverantwoordelijke beslist of en wanneer de Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD) en/of de betrokkenen worden geïnformeerd.

10. (h) Wissing of teruggave bij einde overeenkomst

Na afloop of beëindiging van de overeenkomst, naargelang de keuze van de Klant, wist of geeft Synctomate alle persoonsgegevens terug aan de Klant en verwijdert bestaande kopieën, tenzij het Unierecht of het Belgisch recht bewaring van de persoonsgegevens vereist (zoals boekhoudkundige bewaarplicht van 7 jaar voor facturatiegegevens).

De Klant kan zijn voorkeur (wissing of teruggave) schriftelijk kenbaar maken via lucian@synctomate.be binnen 30 kalenderdagen na het einde van de overeenkomst. Ontbreekt een verzoek, dan wist Synctomate de gegevens conform het retentiebeleid zoals beschreven in de Privacyverklaring.

Teruggave geschiedt in een gangbaar machineleesbaar formaat (JSON of CSV). Synctomate bevestigt de voltooiing van de wissing of teruggave schriftelijk aan de Klant.

11. (i) Audit en verificatie

Synctomate stelt alle informatie ter beschikking van de Klant die nodig is om de naleving van de in deze VOK neergelegde verplichtingen aan te tonen. Synctomate laat audits en inspecties toe die door de Klant of een door de Klant gemachtigde auditor worden uitgevoerd.

Teneinde verstoring van de bedrijfsvoering en de veiligheid van andere klanten te minimaliseren, geeft Synctomate er de voorkeur aan om aan de auditverplichting te voldoen door:

  • Op verzoek auditrapporten, certificaten of attesten (zoals SOC 2, ISO 27001 van sub-verwerkers) beschikbaar te stellen;
  • Schriftelijke antwoorden te geven op door de Klant voorgelegde standaard-vragenlijsten inzake beveiliging en gegevensbescherming;
  • Op locatie-audits toe te staan indien de Klant aantoont dat bovenstaande alternatieven redelijkerwijs ontoereikend zijn, mits ten minste 30 kalenderdagen voorafgaande schriftelijke kennisgeving en op kosten van de Klant.

De Klant en zijn auditor zijn gehouden aan de vertrouwelijkheidsverplichtingen van Synctomate en mogen de door Synctomate verstrekte informatie uitsluitend gebruiken voor het doel van de audit.

Bijlage A: Verwerkingsdetails (art. 28(3) chapeau)

KenmerkDetail
Voorwerp van de verwerkingOpvolging, analyse en geautomatiseerde acties op CRM-data (Teamleader Focus) van de Klant: detectie van operationele en commerciële signalen, berekening van scores (Flow Score, Revenue Rescue Score, Journey Score) en uitvoering van opvolgingstaken namens de Klant.
DuurZolang de Klant een actief abonnement op de Synctomate-dienst heeft. Na beëindiging: wissing of teruggave conform artikel 10 van deze VOK.
Aard van de verwerkingOphalen (lezen) van open CRM-items via de Teamleader API; opslaan en analyseren van signaaldata; schrijven van taken, statusupdates en tickets terug naar Teamleader namens de Klant; versturen van samenvattings-e-mails aan de Klant.
Doel van de verwerkingUitsluitend om de Synctomate-dienst te leveren zoals beschreven in de Algemene Voorwaarden (Team Flow OS, Revenue Rescue, Client Journey Automator, Autopilot-module).
Soorten persoonsgegevens
  • Identificatiegegevens van contacten en bedrijven: voor- en achternaam, bedrijfsnaam, functietitel;
  • Contactgegevens: e-mailadres(sen), telefoonnummer(s);
  • Commerciële en operationele data: deal-inhoud, offertebedragen, factuurbedragen en -statussen, projecttitels en -deadlines, ticketinhoud en -status;
  • Interne organisatiedata van de Klant: namen en e-mailadressen van medewerkers (Teamleader-gebruikers), taakverantwoordelijkheden.
Categorieën betrokkenen
  • Contacten en leads van de Klant (potentiële en bestaande klanten van de Klant);
  • Medewerkers en gebruikers van de Klant (interne gebruikers van het Teamleader-account);
  • Zakelijke relaties en leveranciers van de Klant, voor zover opgenomen in Teamleader.
Bijzondere categorieënGeen. Synctomate verwerkt geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 AVG.

Bijlage B: Lijst van sub-verwerkers

De volgende sub-verwerkers zijn op de datum van inwerkingtreding ingeschakeld door Synctomate. De actuele lijst is steeds beschikbaar op https://synctomate.be.

Sub-verwerkerRolGegevenscategorieënLocatieOverdrachtsgrondslag
Supabase (database & authenticatie)Opslag van account- en analysegegevens, gebruikersauthenticatieAccount-e-mail, organisatiegegevens, signalen/scores/logs, OAuth-tokensEU, AWS eu-central-1 (Frankfurt, Duitsland)EU-residentie; AWS verwerkersovereenkomst + EU SCC's; Supabase DPA
Vercel (hosting & uitvoering)Hosting van de webapp, API-routes en cron-jobsAlle applicatiegegevens tijdens verwerking (in transit/compute)VS (onderneming) / EU-regio's mogelijkEU-US Data Privacy Framework + EU SCC's; Vercel DPA
Resend (e-mailverzending)Versturen van transactionele e-mails (digest, flow-mails)Ontvanger-e-mailadres, naam, inhoud van de e-mailVSEU-US Data Privacy Framework + EU SCC's (Module 2); Resend DPA
Google (OAuth-aanmelding)Optionele aanmelding via Google-accountE-mailadres, Google-gebruikers-IDVSEU-US Data Privacy Framework + EU SCC's
Mollie (betalingsverwerking)Verwerking van abonnementsbetalingen en facturatieNaam, e-mailadres, facturatiegegevens, betaalreferentie (Mollie customer-ID)EU (Nederland)Geen externe doorgifte buiten de EER; Mollie DPA
Teamleader Focus (bron-CRM)Het CRM van de klant waarmee de klant ons via OAuth verbindt (bronsysteem)Open CRM-items: deals, taken, tickets, projecten, facturen, contacten/bedrijvenEU (België)Geen externe transfer (eigen systeem van de klant, stroomopwaarts)

Bijlage C: Technische en organisatorische maatregelen (TOM's)

Synctomate heeft de volgende technische en organisatorische maatregelen getroffen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico van de verwerking, overeenkomstig artikel 32 AVG:

MaatregelBeschrijving
Versleuteling in transitAlle communicatie tussen clients, de Synctomate-applicatie en externe diensten verloopt uitsluitend via TLS 1.2 of hoger (HTTPS). HTTP-verbindingen worden automatisch omgeleid naar HTTPS.
Versleuteling at restPersoonsgegevens die worden opgeslagen in de Supabase-database (PostgreSQL op AWS eu-central-1) zijn versleuteld at rest door middel van AES-256 encryptie op databaseniveau, beheerd door Supabase/AWS.
Multi-tenant isolatie (RLS)Elke organisatie (klant) is logisch geïsoleerd via Row Level Security (RLS)-policies in PostgreSQL. Databankquery’s van de applicatie kunnen uitsluitend de gegevens van de eigen organisatie lezen of schrijven. De engine gebruikt een service-role-client met beperkte scope.
OAuth-tokenopslag (least privilege)De OAuth-tokens voor Teamleader worden server-side opgeslagen in een beveiligde databasetabel, nooit in de browser of in logbestanden. De toegang is beperkt tot de server-side engine-routines die namens de Klant API-calls uitvoeren.
ToegangscontroleToegang tot de productieomgeving is beperkt tot geauthenticeerde medewerkers van Synctomate op need-to-know-basis. Beheerdersbevoegdheden zijn alleen beschikbaar voor daartoe aangewezen personen (is_admin-vlag). Gebruikersauthenticatie verloopt via Supabase Auth (e-mail/wachtwoord + Google OAuth).
Logging en monitoringSync-runs, actie-uitvoeringen en fouten worden gelogd in de databasetabellen sync_runs en action_logs voor auditdoeleinden. Logbestanden bevatten geen klare wachtwoorden of onversleutelde OAuth-tokens.
EU-datacenterDe primaire databaseopslag bevindt zich in de Europese Unie (AWS eu-central-1, Frankfurt, Duitsland), in overeenstemming met het EU-residentievereiste voor gevoelige CRM-data.
Beveiligde ontwikkelingspraktijkenTypeveilige code (TypeScript, strikte modus), afhankelijkheidsbeheer met regelmatige updates, geautomatiseerde builds en linting als kwaliteitspoort. Productiesecrets worden beheerd als omgevingsvariabelen in Vercel en nooit opgeslagen in de broncode.
Incident responseSynctomate hanteert een interne procedure voor het opsporen, beoordelen en melden van datalekken, met inbegrip van de meldplicht aan de Klant zoals beschreven in artikel 9 van deze VOK.

Synctomate herziet en actualiseert deze maatregelen periodiek op basis van risicobeoordeling en technologische ontwikkelingen en past ze aan indien noodzakelijk om het overeengekomen beveiligingsniveau te handhaven. Verbeteringen in de TOM’s kunnen worden doorgevoerd zonder dat daarvoor een formele wijziging van deze VOK vereist is, zolang het beveiligingsniveau ten minste gelijkwaardig blijft.

12. Toepasselijk recht en toezichthouder

Deze VOK wordt beheerst door het Belgisch recht. De bevoegde toezichthoudende autoriteit in de zin van de AVG is de Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD), Drukpersstraat 35, 1000 Brussel, telefoon +32 (0)2 274 48 00, e-mail contact@apd-gba.be, website https://www.gegevensbeschermingsautoriteit.be.

Geschillen in verband met deze VOK worden beslecht door de bevoegde rechtbanken overeenkomstig de Algemene Voorwaarden van Synctomate. In geval van tegenstrijdigheid tussen deze VOK en de Algemene Voorwaarden heeft deze VOK voorrang voor alles wat betrekking heeft op de verwerking van persoonsgegevens.