Verwerkersovereenkomst

VERWERKERSOVEREENKOMST

Ultimatum App B.V.

Versie: februari 2026

Deze Verwerkersovereenkomst (“DPA”) maakt integraal onderdeel uit van de Platformovereenkomst en Algemene Voorwaarden van Ultimatum App B.V.

Artikel 1 – Partijen

Ultimatum App B.V., gevestigd te ’s-Gravenhage, KvK 58311998, hierna: “Verwerker”

De Merchant zoals geïdentificeerd in de Hoofdovereenkomst, hierna: “Verwerkingsverantwoordelijke”

Artikel 2 – Doel en toepasselijkheid

Deze DPA is van toepassing op iedere verwerking van Persoonsgegevens door Verwerker in het kader van de Platformovereenkomst.
Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking.
Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van de levering van de Diensten conform de Platformovereenkomst.
1. de Hoofdovereenkomst
2. deze DPA
3. schriftelijke instructies van Verwerkingsverantwoordelijke tenzij een wettelijke verplichting anders vereist.

Artikel 3 – Aard van de verwerking

Verwerker verwerkt Persoonsgegevens in het kader van:

het faciliteren van online bestellingen;
het verwerken van ordergegevens;
het tonen van bestel- en transactieoverzichten;
ondersteuning en klantenservice;
fraudepreventie;
technische hosting en beveiliging.

De categorieën betrokkenen en gegevens zijn opgenomen in Bijlage 1.

Artikel 4 – Verantwoordelijkheden

Verwerkingsverantwoordelijke garandeert dat:
1. een geldige rechtsgrond bestaat voor de verwerking;
2. betrokkenen correct zijn geïnformeerd;
3. de verwerking rechtmatig is.
Verwerker bepaalt niet zelfstandig het doel of de middelen van de verwerking.
Verwerker gebruikt de Persoonsgegevens niet voor eigen doeleinden.

Artikel 5 – Beveiliging (artikel 32 AVG)

Verwerker treft passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.
Deze maatregelen houden rekening met:
1. de stand van de techniek
2. uitvoeringskosten
3. aard en omvang van de verwerking
4. risico’s voor betrokkenen
Maatregelen kunnen onder meer omvatten:
1. toegangsbeperking op basis van autorisatie
2. versleutelde verbindingen (SSL/TLS)
3. logging en monitoring
4. periodieke beveiligingsupdates
5. back-upsystemen

Verwerker garandeert geen absolute beveiliging.

Artikel 6 – Subverwerkers

Verwerkingsverantwoordelijke verleent algemene toestemming voor het inschakelen van subverwerkers.
Verwerker informeert Verwerkingsverantwoordelijke vooraf over toevoeging of vervanging van subverwerkers.
Verwerkingsverantwoordelijke kan binnen 14 dagen gemotiveerd bezwaar maken.
Verwerker legt aan subverwerkers contractuele verplichtingen op die minimaal gelijkwaardig zijn aan deze DPA.
Een actuele lijst van categorieën subverwerkers is opgenomen in Bijlage 2.

Artikel 7 – Acceptatie

Indien Persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt, zorgt Verwerker voor passende waarborgen conform hoofdstuk V AVG, zoals:

standaardcontractbepalingen (SCC’s), of
een adequaatheidsbesluit van de Europese Commissie.

Artikel 8 – Datalekken

Verwerker meldt een inbreuk in verband met persoonsgegevens (“Datalek”) zonder onredelijke vertraging nadat zij daarvan kennis heeft genomen.
Verwerker verstrekt de informatie die redelijkerwijs noodzakelijk is om te voldoen aan de meldplicht.
De meldplicht aan de Autoriteit Persoonsgegevens en betrokkenen rust uitsluitend op Verwerkingsverantwoordelijke.

Artikel 9 – Rechten van betrokkenen

Indien Verwerker een verzoek ontvangt van een betrokkene, zal zij dit onverwijld doorsturen naar Verwerkingsverantwoordelijke.
Verwerker verleent, voor zover technisch mogelijk, redelijke bijstand bij:
1. inzage
2. correctie
3. verwijdering
4. dataportabiliteit
Kosten van aanvullende werkzaamheden kunnen in rekening worden gebracht conform de geldende prijslijst.

Artikel 10 – Audit

Verwerkingsverantwoordelijke heeft het recht eenmaal per kalenderjaar een audit uit te voeren.
De audit:
1. vindt plaats op eigen kosten;
2. wordt minimaal 30 dagen vooraf aangekondigd;
3. mag de bedrijfsvoering niet onredelijk verstoren;
4. beperkt zich tot naleving van deze DPA.
Verwerker mag vertrouwelijke informatie afschermen.

Artikel 11 – Duur en beëindiging

Merchant is volledig aansprakelijk voor negatieve saldi bij de PSP.
Na beëindiging zal Verwerker:
1. Persoonsgegevens verwijderen, of
2. retourneren op verzoek, tenzij wettelijke bewaarplichten anders vereisen
Eventuele exportwerkzaamheden kunnen tegen vergoeding plaatsvinden.

Artikel 12 – Aansprakelijkheid

De aansprakelijkheid van Verwerker voortvloeiend uit deze DPA is beperkt overeenkomstig de aansprakelijkheidsbepalingen in de Algemene Voorwaarden van Ultimatum.
Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden die voortvloeien uit:
1. onrechtmatige verwerking door Verwerkingsverantwoordelijke;
2. het ontbreken van een rechtsgrond;
3. onjuiste instructies.

Artikel 13 – Vertrouwelijkheid

Verwerker waarborgt dat medewerkers en subverwerkers gebonden zijn aan een geheimhoudingsverplichting.

Artikel 14 – Rangorde

Deze DPA maakt integraal onderdeel uit van de Platformovereenkomst.

Bij tegenstrijdigheid prevaleert deze DPA uitsluitend voor zover het de verwerking van persoonsgegevens betreft.

Artikel 15 – IToepasselijk recht

Op deze DPA is Nederlands recht van toepassing.

Bevoegde rechter: Rechtbank Den Haag.

BIJLAGE 1 – Categorieën persoonsgegevens

Betrokkenen:

Klanten van Merchant
Bezorgers (indien van toepassing)
Medewerkers van Merchant

Gegevenscategorieën:

Naam
Adres
E-mailadres
Telefoonnummer
Ordergegevens
IP-adres
Betaalreferenties (geen volledige kaartgegevens)
Eventuele dieet- of allergie-informatie

Bewaartermijnen:

Conform instellingen Merchant
Met inachtneming van wettelijke fiscale bewaarplichten

BIJLAGE 2 – Categorieën subverwerkers

Hostingproviders
Cloudinfrastructuur
E-mailproviders
SMS-providers
PSP’s (zelfstandig verwerkingsverantwoordelijk)
Beveiligings- en monitoringdiensten

PDF downloaden