Verwerkersovereenkomst (Data Processing Agreement – DPA)

Laatst bijgewerkt: 21-01-2026

Deze verwerkersovereenkomst (“DPA”) maakt deel uit van de overeenkomst tussen de Klant (verwerkingsverantwoordelijke) en Snackflow (verwerker). Bij gebruik van het Snackflow-platform verklaart de Klant akkoord te gaan met deze DPA.

1. Partijen en rollen

Klant (Verwerkingsverantwoordelijke): de snackbar, frituur, broodjeszaak, pizzeria of andere horecazaak die met Snackflow werkt en persoonsgegevens van haar eigen klanten (“Consumenten”) verwerkt.
Snackflow (Verwerker): Snackflow, eenmanszaak van Briek Janssens, die het online bestelplatform technisch aanbiedt.

2. Onderwerp en duur van de verwerking

Snackflow verwerkt persoonsgegevens in opdracht van de Klant, uitsluitend voor het aanbieden en functioneren van het online bestelplatform (website, beheeromgeving, keukenpaneel). Deze DPA is van kracht zolang de overeenkomst tussen Snackflow en de Klant loopt. Na beëindiging worden de gegevens verwijderd of terugbezorgd volgens artikel 10.

3. Soorten persoonsgegevens en betrokkenen

Betrokkenen:

  • Consumenten die een bestelling plaatsen bij de Klant;
  • Medewerkers of contactpersonen van de Klant (bijv. logins voor beheerpaneel).

Soorten persoonsgegevens (afhankelijk van de configuratie):

  • Identificatiegegevens: naam, voornaam;
  • Contactgegevens: e-mailadres, telefoonnummer (indien ingevuld);
  • Bestelgegevens: gekozen producten, bestelbedrag, afhaal- of leveringstijd, opmerkingen;
  • Technische gegevens: IP-adres, tijdstip van bestelling, sessie- of loggegevens;
  • Eventuele andere gegevens die de Klant zelf toevoegt in vrije velden.

4. Doeleinden van de verwerking

Snackflow verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden:

  • het registreren, tonen en afhandelen van online bestellingen voor de Klant;
  • het beschikbaar maken van een beheerpaneel en keukenpaneel;
  • het versturen van automatische e-mails of bevestigingen in naam van de Klant (indien geconfigureerd);
  • het waarborgen van de veiligheid, stabiliteit en technische werking van het platform (logging, beveiliging, back-ups).

Snackflow verwerkt persoonsgegevens niet voor eigen marketingdoeleinden en verkoopt of verhuurt geen persoonsgegevens aan derden.

5. Instructies van de Klant

Snackflow verwerkt persoonsgegevens enkel op basis van de schriftelijke (ook elektronische) instructies van de Klant, zoals vastgelegd in de overeenkomst, deze DPA en de feitelijke configuratie van het platform. Indien een instructie in strijd is met de GDPR, zal Snackflow de Klant daarvan in kennis stellen.

6. Beveiliging

Snackflow treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik en onbevoegde toegang, waaronder:

  • versleutelde verbindingen (HTTPS);
  • beveiligde serveromgeving binnen de EU (hostingprovider);
  • toegangscontrole tot het beheerpaneel via logins en wachtwoorden;
  • regelmatige updates en beveiligingspatches van het platform en de server;
  • logging en monitoring van kritieke systeemfouten.

De Klant is zelf verantwoordelijk voor veilige wachtwoorden, correct gebruik van accounts en lokale beveiliging in de eigen zaak (bijvoorbeeld het keukenpaneel, pc, tablet).

7. Subverwerkers

Snackflow mag gebruikmaken van subverwerkers om haar diensten te leveren. Dit kunnen onder andere zijn:

  • Hostingprovider (serverbeheer, Plesk / Hetzner of gelijkaardig, binnen de EU);
  • DNS/SSL en beveiligingsdiensten (bijvoorbeeld Cloudflare, indien toegepast);
  • E-maildiensten voor transactiemail of communicatie;
  • Betaalprovider (Mollie) voor online betalingen tussen Consument en Klant.

Snackflow sluit waar nodig verwerkersovereenkomsten af met deze subverwerkers om een passend beschermingsniveau te waarborgen. De Klant geeft algemene toestemming voor het inschakelen van deze subverwerkers in het kader van het aanbieden van het platform.

8. Rechten van betrokkenen

Indien een betrokkene (Consument) zijn GDPR-rechten uitoefent (inzage, correctie, verwijdering, beperking, bezwaar, overdraagbaarheid), zal Snackflow – voor zover technisch mogelijk en in redelijkheid – de Klant bijstaan om deze aanvraag te behandelen.

De Klant blijft verantwoordelijk voor het correct en tijdig afhandelen van verzoeken van betrokkenen, aangezien de Klant verwerkingsverantwoordelijke is.

9. Datalekken en inbreuken

In geval van een (vermoedelijk) datalek of beveiligingsincident dat betrekking heeft op persoonsgegevens, zal Snackflow de Klant zonder onredelijke vertraging informeren zodra zij zelf kennis krijgt van het incident.

Waar mogelijk zal Snackflow informatie verstrekken over:

  • de aard van het incident;
  • de (vermoedelijke) betrokken persoonsgegevens;
  • de genomen of voorgestelde maatregelen om de impact te beperken;
  • relevante informatie zodat de Klant – indien nodig – een melding kan doen bij de toezichthouder en/of betrokkenen.

De Klant is verantwoordelijk voor de wettelijke meldingen aan de toezichthouder en de betrokkenen, tenzij anders schriftelijk overeengekomen.

10. Bewaartermijnen, verwijdering en teruggave

Snackflow bewaart persoonsgegevens niet langer dan nodig voor de uitvoering van de overeenkomst en conformeert zich aan de bewaartermijnen zoals beschreven in het privacybeleid en de afspraken met de Klant.

Na beëindiging van de overeenkomst:

  • kan de Klant binnen een redelijke termijn vragen om relevante gegevens te exporteren (indien technisch voorzien);
  • zal Snackflow de persoonsgegevens van de Klant en Consumenten verwijderen of anonimiseren binnen een redelijke termijn, behoudens gegevens die wettelijk langer bewaard moeten worden (bv. log- of facturatiegegevens).

11. Internationale doorgifte

Snackflow streeft ernaar persoonsgegevens binnen de Europese Economische Ruimte (EER) te verwerken. Indien persoonsgegevens toch buiten de EER worden verwerkt, zal Snackflow zorgen voor passende waarborgen conform de GDPR (zoals standaardcontractbepalingen of een gelijkwaardig beschermingsniveau).

12. Audit en informatie

Op verzoek van de Klant kan Snackflow redelijke informatie verstrekken over de getroffen beveiligingsmaatregelen en de naleving van deze DPA, voor zover dit de veiligheid van het platform niet in gevaar brengt.

13. Voorrang

Bij tegenstrijdigheid tussen deze DPA en andere bepalingen in de hoofd-overeenkomst tussen Snackflow en de Klant, heeft deze DPA voorrang voor zover het de verwerking van persoonsgegevens betreft.