Verwerkersovereenkomst (DPA)
Versie 1.0 - april 2026
Deze verwerkersovereenkomst ("Overeenkomst") is een aanvulling op de Algemene Voorwaarden van Folio en beschrijft hoe Folio persoonsgegevens verwerkt namens de Gebruiker in de zin van artikel 28 AVG.
1. Partijen
- Verwerkingsverantwoordelijke ("Verantwoordelijke"): de Gebruiker (het stel of de weddingplanner) die gebruik maakt van Folio.
- Verwerker: Stef Appelhof, h.o.d.n. Folio, eenmanszaak gevestigd te Breda, Nederland. KvK-nummer: 56285876.
Toelichting per situatie
Stellen die Folio zelf gebruiken: het stel is Verantwoordelijke voor de gegevens van hun gasten, leveranciers en teamleden. Folio verwerkt deze gegevens uitsluitend in opdracht van het stel.
Weddingplanners die Folio gebruiken namens stellen: de weddingplanner is Verantwoordelijke voor de gegevens in de trouwomgevingen die zij beheren. De planner is zelf verantwoordelijk voor het informeren van het stel over het gebruik van Folio en de verwerking van persoonsgegevens. Folio verwerkt gegevens in opdracht van de planner.
2. Onderwerp en duur
Folio verwerkt persoonsgegevens namens de Verantwoordelijke ten behoeve van het leveren van het trouwplanningsplatform. De verwerking duurt zolang de Verantwoordelijke de Dienst gebruikt, inclusief de bewaartermijn na verwijdering (30 dagen) zoals beschreven in het Privacybeleid.
3. Aard en doel van de verwerking
De verwerking vindt plaats met als doel:
- Het opslaan en weergeven van gastenlijsten, RSVP-status en dieetwensen
- Het beheren van budgetgegevens, taken, tijdlijn en leverancierscontacten
- Het versturen van RSVP-uitnodigingen per e-mail namens het stel
- Het aanbieden van een trouwwebsite, cadeaulijst en tafelschikking
- Het mogelijk maken van gegevensexport door de Verantwoordelijke
4. Soorten persoonsgegevens
| Categorie | Gegevens |
|---|---|
| Gastgegevens | Namen, e-mailadressen, dieetwensen, RSVP-status, plus-one-gegevens, huishoudindeling |
| Contactgegevens stel | Namen, e-mailadressen |
| Leveranciersgegevens | Bedrijfsnaam, contactpersoon, e-mail, telefoon, afspraken |
| Financiele gegevens | Budgetbedragen, uitgaven, deelbetalingen |
5. Categorieen betrokkenen
- Bruiloftsgasten (inclusief kinderen indien door het stel ingevoerd)
- Het stel zelf
- Leveranciers en dienstverleners van het stel
- Teamleden (ceremoniemeester, bruidspersoneel, familie met toegang)
6. Verplichtingen van de Verwerker
Folio verbindt zich tot het volgende:
- Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verantwoordelijke (het gebruik van de Dienst geldt als instructie)
- Vertrouwelijkheid te waarborgen voor alle personen die toegang hebben tot de gegevens
- Passende technische en organisatorische maatregelen te treffen ter bescherming van de gegevens (zie sectie 8)
- Geen sub-verwerkers in te schakelen zonder voorafgaande toestemming (zie sectie 7)
- De Verantwoordelijke bij te staan bij het nakomen van verzoeken van betrokkenen (inzage, correctie, verwijdering, overdraagbaarheid)
- De Verantwoordelijke te informeren bij een datalek binnen 48 uur na ontdekking
- Na beeindiging van de Dienst alle persoonsgegevens te verwijderen of terug te geven, conform de bewaartermijnen in het Privacybeleid
- De Verantwoordelijke in staat te stellen om audits uit te voeren of te laten uitvoeren, voor zover redelijk
7. Sub-verwerkers
Folio maakt gebruik van de volgende sub-verwerkers. De Verantwoordelijke stemt hiermee in door deze Overeenkomst te accepteren:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Hetzner Online GmbH | Hosting en serverinfrastructuur | Duitsland (EU) |
| Brevo (Sendinblue) | Versturen van transactionele e-mails (RSVP-uitnodigingen, wachtwoordherstel) | Frankrijk (EU) |
| Stripe Inc. (toekomstig) | Betalingsverwerking | EU/VS onder SCC's |
Bij wijzigingen in de lijst van sub-verwerkers informeert Folio de Verantwoordelijke per e-mail. De Verantwoordelijke heeft 30 dagen om bezwaar te maken. Bij bezwaar kan de Verantwoordelijke de Dienst opzeggen.
8. Beveiligingsmaatregelen
Folio treft de volgende maatregelen ter bescherming van persoonsgegevens (artikel 32 AVG):
- Versleuteling: wachtwoorden met bcrypt, beheergegevens met AES-256-GCM, HTTPS op alle verbindingen
- Isolatie: elke trouwomgeving draait in een eigen, afgeschermde container met eigen database
- Toegangscontrole: rolgebaseerde toegang, adminpaneel beperkt tot prive-netwerken, rate limiting op alle eindpunten
- Back-ups: dagelijkse versleutelde back-ups met off-site opslag
- Monitoring: fail2ban, firewall (ufw), beveiligingsheaders op alle responses
9. Internationale doorgifte
Alle gegevens worden opgeslagen en verwerkt binnen de EU/EER. Er vindt geen doorgifte plaats naar landen buiten de EU/EER, met uitzondering van Stripe (wanneer actief), waarvoor Standard Contractual Clauses (SCC's) van toepassing zijn.
10. Datalekken
Bij een datalek dat persoonsgegevens van de Verantwoordelijke betreft, informeert Folio de Verantwoordelijke binnen 48 uur na ontdekking, met de volgende informatie:
- Aard van het datalek
- Welke categorieen gegevens en betrokkenen zijn geraakt
- Genomen en voorgestelde maatregelen
- Contactgegevens voor nadere informatie
De Verantwoordelijke is zelf verantwoordelijk voor het melden van het datalek bij de Autoriteit Persoonsgegevens indien vereist (binnen 72 uur).
11. Beeindiging
Bij beeindiging van de Dienst verwijdert Folio alle persoonsgegevens conform de bewaartermijnen in het Privacybeleid (30 dagen na bevestigde verwijdering). De Verantwoordelijke kan voorafgaand aan beeindiging alle gegevens exporteren via de downloadfunctie in het platform.
12. Contact
Vragen over deze verwerkersovereenkomst:
- E-mail: privacy@folio.wedding
- Verantwoordelijke: Stef Appelhof
- KvK-nummer: 56285876
- Locatie: Breda, Nederland