Verwerkingsovereenkomst

(Data Processing Agreement – artikel 28 AVG)

Versie: 1.0
Datum: 1 oktober 2025

1. Partijen en rollen

Deze verwerkingsovereenkomst ("DPA") is van toepassing op de verwerking van persoonsgegevens door:

Verwerkingsverantwoordelijke

De opleider of organisatie die gebruikmaakt van het Valideer-platform voor het uitgeven van certificaten (hierna: "de Opleider").

Verwerker

Valideer
KVK-nummer: 86033336
Adres: Segment 3, 6921RC Duiven, Nederland
(hierna: "Valideer").

De Opleider bepaalt het doel en de middelen van de verwerking van persoonsgegevens.
Valideer verwerkt persoonsgegevens uitsluitend ten behoeve van en in opdracht van de Opleider.

2. Definities

AVG: Algemene Verordening Gegevensbescherming (EU 2016/679).

Persoonsgegevens: Gegevens zoals bedoeld in artikel 4 lid 1 AVG.

Verwerking: Iedere bewerking van persoonsgegevens zoals bedoeld in artikel 4 lid 2 AVG.

Subverwerker: Een derde partij die door Valideer wordt ingeschakeld voor de verwerking van persoonsgegevens namens de Opleider.

Verificateur: Een derde partij die via het publieke verificatieproces een certificaat controleert, zonder zelf persoonsgegevens aan Valideer te verstrekken.

3. Toepasselijkheid en totstandkoming

Deze DPA maakt integraal onderdeel uit van de dienstverlening van Valideer.

De overeenkomst treedt automatisch in werking op het moment dat de Opleider gebruikmaakt van het Valideer-platform, zonder dat afzonderlijke ondertekening vereist is.

4. Doeleinden en reikwijdte van de verwerking

4.1 Doeleinden (uitgifte en beheer)

Valideer verwerkt persoonsgegevens uitsluitend voor:

  • het uitgeven van digitale certificaten;
  • het opslaan en beheren van certificaten;
  • het faciliteren van integraties (zoals LMS-koppelingen en API-gebruik);
  • technisch beheer, beveiliging en onderhoud van het platform.

Valideer verwerkt geen persoonsgegevens voor eigen doeleinden.

4.2 Categorieën betrokkenen

  • Deelnemers aan opleidingen of trainingen van de Opleider;
  • Trainers of certificaatuitreikers (indien van toepassing).

4.3 Categorieën persoonsgegevens

  • Naam (voor- en achternaam);
  • E-mailadres;
  • Geboortedatum (indien door de Opleider verstrekt);
  • Certificaatgegevens (opleiding, datum van uitgifte, geldigheid);
  • Technische gegevens die noodzakelijk zijn voor beveiliging en werking van het platform.

5. Publieke verificatie (afbakening)

Het publieke verificatieproces van Valideer is privacy-by-design ingericht.

Bij verificatie worden geen persoonsgegevens van natuurlijke personen verwerkt, maar uitsluitend niet-persoonlijke certificaatgegevens, zoals:

  • naam van de uitgever (opleider);
  • naam van de cursus of opleiding;
  • datum van uitgifte;
  • eventuele vervaldatum;
  • status van het certificaat (bijv. geldig of verlopen).

Voor zover bij dit verificatieproces geen persoonsgegevens worden verwerkt, valt dit proces buiten de reikwijdte van deze verwerkingsovereenkomst en de AVG.

6. Verplichtingen van Valideer

Valideer verplicht zich om:

  • persoonsgegevens uitsluitend te verwerken op basis van instructies van de Opleider;
  • passende technische en organisatorische beveiligingsmaatregelen te treffen (artikel 32 AVG);
  • vertrouwelijkheid te waarborgen;
  • de Opleider te ondersteunen bij verzoeken van betrokkenen;
  • datalekken zonder onredelijke vertraging te melden;
  • persoonsgegevens te verwijderen of retourneren na beëindiging van de dienstverlening.

7. Beveiliging

Valideer hanteert passende beveiligingsmaatregelen, waaronder:

  • versleuteling van gegevens tijdens transport;
  • gecontroleerde en beperkte toegang tot systemen;
  • logging en monitoring van toegang en wijzigingen;
  • regelmatige beveiligingsupdates en onderhoud;
  • back-up- en herstelprocedures.

Details over specifieke beveiligingsmaatregelen worden niet publiek gespecificeerd, maar kunnen op verzoek worden toegelicht.

8. Subverwerkers

Valideer kan subverwerkers inschakelen indien dit noodzakelijk is voor de dienstverlening.

Daarbij geldt dat:

  • met subverwerkers contractuele afspraken zijn gemaakt die minimaal gelijkwaardig zijn aan deze DPA;
  • Valideer verantwoordelijk blijft voor naleving door subverwerkers;
  • een actuele lijst van subverwerkers beschikbaar is op verzoek;
  • de Opleider bezwaar kan maken tegen materiële wijzigingen.

9. Datalekken

Indien Valideer een inbreuk in verband met persoonsgegevens constateert, wordt de Opleider zonder onredelijke vertraging geïnformeerd.

De melding bevat, voor zover beschikbaar:

  • de aard van het incident;
  • de mogelijke gevolgen;
  • de genomen of voorgestelde maatregelen.

10. Rechten van betrokkenen

Valideer ondersteunt de Opleider bij het afhandelen van verzoeken van betrokkenen, waaronder:

  • inzage;
  • rectificatie;
  • verwijdering;
  • beperking;
  • overdraagbaarheid.

De Opleider blijft verantwoordelijk voor de formele afhandeling.

11. Bewaartermijnen en verwijdering

Persoonsgegevens worden bewaard:

  • gedurende de looptijd van de dienstverlening;
  • daarna conform instructies van de Opleider of wettelijke bewaarplichten.

Na beëindiging verwijdert of retourneert Valideer persoonsgegevens binnen een redelijke termijn.

12. Aansprakelijkheid

De aansprakelijkheid van Valideer met betrekking tot deze DPA is beperkt conform de algemene voorwaarden van Valideer.

Valideer is niet aansprakelijk voor verwerkingen die plaatsvinden op instructie van de Opleider of voor tekortkomingen aan de zijde van de Opleider.

13. Wijzigingen

Valideer kan deze DPA wijzigen indien wet- of regelgeving daartoe aanleiding geeft.
Wijzigingen worden tijdig gecommuniceerd via de website of het platform.

14. Contact

Voor vragen over gegevensbescherming of deze overeenkomst:

Valideer
E-mail: info@valideer.nl
Telefoon: +31 (0) 26 2022 678
Adres: Segment 3, 6921RC Duiven, Nederland (uitsluitend postadres)