Verwerkersovereenkomst

Deze verwerkersovereenkomst regelt hoe Club Wize (de verwerker) persoonsgegevens verwerkt namens uw vereniging (de verwerkingsverantwoordelijke), conform AVG artikel 28. Zij wordt automatisch van kracht zodra u een Club Wize account aanmaakt of bij een nieuwe versie digitaal opnieuw akkoord geeft.

Versie 1.3 · Laatst bijgewerkt: 15 april 2026

Verwerker: Club Wize (handelsnaam van Sports Tech United VOF)
Soomerlustplein 1, 2275 XM Voorburg
KVK 99002957 · BTW NL868743112B01
Contact: support@clubwize.nl

Verwerkingsverantwoordelijke: De vereniging, bond of organisatie die via Club Wize een abonnement afsluit en persoonsgegevens van haar leden, vrijwilligers, sponsoren en andere betrokkenen laat verwerken.

1. Onderwerp en doeleinden

Club Wize verwerkt persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke en alleen voor de volgende concrete doeleinden:

  • Ledenadministratie en contactbeheer
  • Contributie-inning, facturatie en (SEPA-)incasso
  • Interne en externe communicatie (nieuwsbrieven, notificaties)
  • Team-, commissie-, en vrijwilligersbeheer
  • Planning, reserveringen en evenementinschrijvingen
  • Sociale veiligheid (VCP dossiers, VOG-registratie, gedragscode)
  • Website/CMS beheer voor de vereniging
  • AI-hulpassistent voor beheerders (zonder doorgifte van ledendata)
  • Rapportages en statistieken ten behoeve van het verenigingsbeleid
  • Audit trail en beveiligingslogboek conform AVG art. 5(2)

De categorieën betrokkenen omvatten leden, ereleden, proefleden, ouders/verzorgers van minderjarige leden, vrijwilligers (trainers, coaches, commissieleden, scheidsrechters), sponsoren en debiteuren.

2. Beveiligingsmaatregelen

Club Wize treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking of ongeautoriseerde inzage. Deze maatregelen omvatten ten minste:

  • Encryptie in transit en at rest: alle dataoverdracht via TLS 1.3, opslag versleuteld op server-niveau
  • Multi-factor authenticatie: optionele TOTP/2FA voor beheerders, verplicht bij Club Wize-personeel
  • Toegangsbeheer: strikt need-to-know beleid, schema-per-vereniging isolatie in de database, geen gedeelde queries tussen verenigingen
  • Audit trail (wijzigingshistorie): alle wijzigingen aan persoonsgegevens worden automatisch geregistreerd via database-triggers (Carbonite). Deze logs zijn tamper-resistant — de applicatie-rol heeft geen rechten om audit-records te verwijderen
  • Inzage-logging: registratie van welke beheerders welke persoonsgegevens hebben ingezien, voor detectie van ongeautoriseerde toegang
  • Beveiligingslogboek: IP-adressen, user agents en tijdstippen van inlogpogingen worden vastgelegd voor fraudedetectie
  • Geautomatiseerde retentie: audit trail (12 maanden), inzage-logs (6 maanden) en auth events (24 maanden) worden automatisch opgeschoond
  • Back-up en disaster recovery: dagelijkse back-ups binnen de EU, met bewezen herstelprocedures
  • Patch-management: continue beveiligingsupdates op applicatie, dependencies en infrastructuur
  • Gefilterde PII in logs: gevoelige velden (BSN, IBAN, wachtwoorden) worden gemarkeerd als `[FILTERED]` in audit records

3. Datalekken

In het geval van een beveiligingsincident of datalek stelt Club Wize de verwerkingsverantwoordelijke hiervan onverwijld, doch uiterlijk binnen 48 uur na ontdekking, op de hoogte. Club Wize verstrekt alle benodigde informatie die de verwerkingsverantwoordelijke nodig heeft om binnen 72 uur te voldoen aan haar wettelijke meldplicht bij de Autoriteit Persoonsgegevens (AVG art. 33).

De melding bevat ten minste: aard van het lek, getroffen categorieën betrokkenen en persoonsgegevens, geschatte omvang, genomen en voorgestelde maatregelen, en mogelijke gevolgen.

4. Sub-verwerkers en locatie

De verwerkingsverantwoordelijke verleent Club Wize toestemming om voor de uitvoering van de diensten de onderstaande sub-verwerkers in te schakelen. Club Wize waarborgt dat elke sub-verwerker dezelfde of strengere verplichtingen heeft als beschreven in deze overeenkomst.

Sub-verwerker Dienst Locatie verwerking Rechtsgrond doorgifte
Fly.io (US) Applicatie-hosting en PostgreSQL database EU (Amsterdam, Frankfurt) SCCs + EU-US DPF
Tigris Data (US) Object storage voor uploads (documenten, afbeeldingen) EU SCCs + EU-US DPF
Mollie (NL) Betalingsverwerking (iDEAL, SEPA) Nederland / EER Binnen EER
Resend (US) Transactionele e-mail (notificaties, facturen) US met EU-bounces SCCs + EU-US DPF
Sentry (US) Error tracking en crash reporting EU data residency SCCs + EU-US DPF
Anthropic (US) AI-hulpassistent — verwerkt alleen de vraag en schermcontext, géén ledendata US SCCs, zero data retention
hCaptcha (US) Bot-detectie bij publieke formulieren US SCCs + EU-US DPF

Persoonsgegevens worden bij voorkeur binnen de Europese Economische Ruimte (EER) verwerkt. Waar een sub-verwerker gevestigd is buiten de EER, gebeurt de doorgifte uitsluitend onder de Standard Contractual Clauses (SCCs) van de Europese Commissie en/of het EU-US Data Privacy Framework (DPF). Club Wize beoordeelt regelmatig of deze waarborgen toereikend blijven.

Wijzigingen in de sub-verwerkers lijst worden minimaal 30 dagen vooraf gecommuniceerd via e-mail aan het bij Club Wize bekende contactpersoon van de vereniging. De verwerkingsverantwoordelijke heeft het recht om bezwaar te maken op redelijke gronden.

5. Rechten van betrokkenen

Club Wize verleent de verwerkingsverantwoordelijke redelijke assistentie bij het voldoen aan verzoeken van betrokkenen, conform de volgende AVG-rechten:

  • Recht op inzage (art. 15): de verwerkingsverantwoordelijke kan te allen tijde alle persoonsgegevens inzien via de Club Wize beheeromgeving. Geautomatiseerde export is beschikbaar
  • Recht op rectificatie (art. 16): correcties kunnen direct in de applicatie worden doorgevoerd
  • Recht op vergetelheid (art. 17): verwijdering van persoonsgegevens gebeurt binnen 30 dagen na een verzoek, met anonimisering in audit logs conform art. 17(3)(e)
  • Recht op beperking (art. 18): Club Wize kan specifieke records markeren als 'beperkt' op verzoek van de verwerkingsverantwoordelijke
  • Recht op dataportabiliteit (art. 20): export van persoonsgegevens in een gestructureerd, gangbaar formaat (CSV, JSON) is ingebouwd
  • Recht van bezwaar (art. 21): Club Wize ondersteunt het markeren van betrokkenen die bezwaar hebben gemaakt tegen specifieke verwerkingen

Indien een betrokkene zich rechtstreeks tot Club Wize richt met een verzoek, verwijst Club Wize deze door naar de verwerkingsverantwoordelijke en informeert deze binnen 5 werkdagen.

6. Duur en beëindiging

Deze overeenkomst is geldig zolang de hoofdovereenkomst (het Club Wize abonnement) tussen partijen voortduurt. Bij beëindiging gelden de volgende termijnen:

  • Export-window (90 dagen vooraf): de verwerkingsverantwoordelijke kan tot 90 dagen voor einde contract een volledige export van alle persoonsgegevens opvragen
  • Retentie na einde contract (30 dagen): persoonsgegevens blijven 30 dagen beschikbaar in read-only modus voor eventuele na-ijling
  • Definitieve verwijdering (dag 31): na deze 30 dagen worden alle persoonsgegevens definitief verwijderd, tenzij wettelijke bewaarplichten (zoals fiscale 7-jaarstermijn voor financiële gegevens) anders vereisen
  • Audit logs: blijven bestaan tot hun reguliere retentietermijn (12/6/24 maanden) en worden daarna automatisch verwijderd

7. Geheimhouding personeel

Conform AVG artikel 28(3)(b) waarborgt Club Wize dat alle personen die bevoegd zijn tot het verwerken van persoonsgegevens een geheimhoudingsplicht hebben, hetzij contractueel (NDA), hetzij op grond van een wettelijke verplichting. Toegang tot productiesystemen is beperkt tot een minimaal aantal medewerkers op basis van een need-to-know beginsel en wordt vastgelegd in de audit trail.

8. Auditrecht

Conform AVG artikel 28(3)(h) heeft de verwerkingsverantwoordelijke het recht om de naleving van deze overeenkomst te controleren. Club Wize ondersteunt dit op de volgende manieren:

  • Documentatie op verzoek: beveiligingsdocumentatie, sub-verwerker overzichten en incident-rapportages worden op schriftelijk verzoek verstrekt
  • Jaarlijkse audit: de verwerkingsverantwoordelijke mag maximaal één keer per jaar een audit laten uitvoeren door een onafhankelijke, gecertificeerde auditor
  • Proportionaliteit: de audit wordt uitgevoerd tijdens kantooruren, met minimaal 30 dagen aankondiging, en mag de bedrijfsvoering niet onevenredig verstoren
  • Kosten: reguliere audit-assistentie is kosteloos. Buitenproportionele verzoeken kunnen tegen redelijke kosten worden doorbelast

9. Acceptatie

Deze verwerkersovereenkomst wordt digitaal geaccepteerd op het moment dat een nieuwe Club Wize account wordt aangemaakt, of zodra een bestaande gebruiker bij een nieuwe versie opnieuw expliciet akkoord geeft. De acceptatie wordt vastgelegd met tijdstempel, IP-adres en versienummer. Bij materiële wijzigingen van deze overeenkomst worden bestaande gebruikers vooraf geïnformeerd en opnieuw om acceptatie gevraagd.

Bijlage 1 — Specificatie van persoonsgegevens en betrokkenen

Deze bijlage maakt integraal onderdeel uit van deze verwerkersovereenkomst.

1. Categorieën van betrokkenen

  • Leden: actieve leden, ereleden, proefleden
  • Ouders/verzorgers: bij minderjarige leden
  • Vrijwilligers: trainers, coaches, commissieleden, scheidsrechters
  • Sponsoren: contactpersonen van zakelijke relaties
  • Debiteuren: personen of organisaties die facturen ontvangen
  • Beheerders: bestuursleden en andere gebruikers met toegang tot het beheerportaal

2. Soorten persoonsgegevens

A. Basisidentificatie

  • Naam, voornamen, initialen, geslacht
  • Adres, postcode, woonplaats, land
  • Telefoonnummer(s) en e-mailadres
  • Geboortedatum en leeftijd

B. Lidmaatschapsgegevens

  • Lidnummer en type lidmaatschap
  • Teamindeling, functie (bijv. 'Trainer') en ingangsdatum lidmaatschap
  • Pasfoto (voor spelerspassen of profielen)

C. Financiële gegevens

  • IBAN-rekeningnummer en tenaamstelling
  • Machtigingen voor automatische incasso (SEPA)
  • Factuurhistorie en betalingsstatus

D. Communicatie & authenticatie

  • Gebruikersnaam en gehashte wachtwoorden voor het Club Wize-portaal
  • TOTP/2FA configuratie (versleuteld opgeslagen)
  • Logs van verzonden e-mails, nieuwsbrieven en notificaties

E. Audit & security metadata (nieuw in v1.3)

  • IP-adressen bij inlogpogingen en inzage van persoonsgegevens
  • User agents (browserinformatie) bij dezelfde events
  • Tijdstippen en identiteit van beheerders die persoonsgegevens hebben ingezien of gewijzigd
  • Metadata over wijzigingen (welke tabel, welk veld, oude waarde → nieuwe waarde)

Audit-records bevatten geen inhoudelijke persoonsgegevens van betrokkenen buiten de metadata. Gevoelige velden zoals BSN, IBAN en wachtwoord-hashes worden gefilterd en als [FILTERED] opgeslagen.

F. Bijzondere persoonsgegevens (sociale veiligheid)

  • VCP dossiers (meldingen, vertrouwelijke gesprekken) — alleen toegankelijk voor geautoriseerde VCP-gebruikers
  • VOG-registratie en certificeringen met verloopdatums
  • Gedragscode akkoorden (naam, datum, versie)

3. Doeleinden

De verwerking vindt uitsluitend plaats voor de doeleinden beschreven in artikel 1 van deze overeenkomst.

4. Bewaartermijnen

Club Wize hanteert de volgende bewaartermijnen:

  • Actieve accounts en ledendata: zolang de hoofdovereenkomst voortduurt, bepaald door de verwerkingsverantwoordelijke
  • Financiële gegevens: 7 jaar (wettelijke fiscale bewaarplicht)
  • Na beëindiging hoofdovereenkomst: 90 dagen export-window + 30 dagen retentie, daarna verwijdering
  • Audit trail (wijzigingshistorie): 12 maanden
  • Inzage-logs: 6 maanden
  • Beveiligingslogboek (auth events): 24 maanden
  • Bij inactiviteit: automatische verwijdering na 2 jaar zonder activiteit

Versiehistorie

Versie Datum Wijzigingen
1.3 2026-04-15 Volledige sub-verwerkers tabel; audit trail en beveiligingsmaatregelen; nieuwe art. 7 (geheimhouding) en art. 8 (auditrecht); uitgebreid art. 5 (rechten betrokkenen); concrete termijnen art. 6; digitale acceptatie vervangt papieren ondertekening; bijlage 1 uitgebreid met sectie E (audit & security metadata).
1.2 2025 Template versie (intern gebruik, niet publiek gepubliceerd).

Vragen over deze overeenkomst?

Voor vragen over de verwerkersovereenkomst of compliance-onderwerpen nemen we graag contact op.

support@clubwize.nl Contactformulier
Partners
Lumosa Nikki Twelve
Winnaar SportUp Boost Innovatieprijs
Thialf InnovatieLab prijswinnaar