MMonteo
InloggenProbeer 14 dagen gratis

Verwerkersovereenkomst

Versie 1.0 — geldig vanaf 29 mei 2026

Deze verwerkersovereenkomst hoort bij de algemene voorwaarden van Monteo en regelt de verwerking van persoonsgegevens conform artikel 28 AVG.

1. Partijen

Verwerkingsverantwoordelijke: de Klant (rechtspersoon die het account aanmaakt).
Verwerker: Cloudfreaks B.V., handelend onder de naam Monteo.

2. Doel + categorieën gegevens

Verwerker verwerkt namens Verwerkingsverantwoordelijke de volgende categorieën:

  • Klanten van Verwerkingsverantwoordelijke: naam, adres, e-mail, telefoon
  • Medewerkers: naam, e-mail, rol, GPS-locatie bij urenregistratie (alleen tijdens werktijd)
  • Werkbonnen: omschrijving, foto's, handtekening klant
  • Facturatie: bedragen, betaalstatus, IBAN-laatste-4 (volledige IBAN via Mollie, niet bij ons)

3. Sub-verwerkers

Verwerker maakt gebruik van:

  • AWS (Frankfurt, EU) — hosting + database
  • Mollie — betalingsverwerking
  • Resend — transactionele e-mail
  • Twilio — SMS/WhatsApp (alleen als module aan staat)
  • PDOK — postcode-adres lookup (anoniem)

Bij toevoeging van een nieuwe sub-verwerker stelt Verwerker Verwerkingsverantwoordelijke 30 dagen vooraf in kennis via e-mail; bezwaar mogelijk binnen 14 dagen.

4. Beveiliging

Verwerker hanteert:

  • TLS 1.2+ voor alle verbindingen
  • Row-level security (RLS) op database-niveau — tenants kunnen elkaars data niet zien
  • JWT-gebaseerde authenticatie met refresh-token rotation
  • Versleutelde back-ups (postgres pg_dump → S3 met SSE-KMS)
  • Append-only audit log voor platform-admin acties

5. Bewaartermijn + verwijdering

Tijdens looptijd: data blijft beschikbaar in het account. Na opzegging: 90 dagen grace-period voor export, daarna permanente verwijdering (incl. back-ups uiterlijk 180 dagen na opzegging).

6. Datalek

Bij een datalek meldt Verwerker dit binnen 24 uur na vaststelling aan Verwerkingsverantwoordelijke met details over aard, omvang, mogelijke gevolgen en getroffen maatregelen.

7. Rechten van betrokkenen

Verzoeken om inzage/correctie/verwijdering van persoonsgegevens richt de betrokkene tot Verwerkingsverantwoordelijke. Verwerker assisteert kosteloos bij het afhandelen via export-functionaliteit + handmatige verwijdering op verzoek.

8. Audit

Verwerkingsverantwoordelijke mag eenmaal per jaar een audit (laten) uitvoeren op de verwerking, mits aangekondigd 30 dagen vooraf en uitgevoerd tijdens kantooruren. Kosten voor rekening van Verwerkingsverantwoordelijke.

Contact voor privacy-vragen: privacy@cloudfreaks.nl.