Verwerkersovereenkomst inlyn

Versie: april 2026

Deze verwerkersovereenkomst ("Overeenkomst") is een aanvulling op de Algemene Voorwaarden van inlyn en wordt aangegaan tussen:

Verwerkingsverantwoordelijke ("Klant"): de partij die een abonnement afneemt op inlyn.

Verwerker ("inlyn"): L.P.L. Lenkens h.o.d.n. DRYVE, KvK 52411052, gevestigd te Veenendaal.

Artikel 1: Definities

Begrippen in deze Overeenkomst hebben dezelfde betekenis als in de Algemene Verordening Gegevensbescherming (AVG / GDPR) en de Algemene Voorwaarden van inlyn.

Artikel 2: Onderwerp en duur

1. Deze Overeenkomst regelt de verwerking van persoonsgegevens door inlyn ten behoeve van de Klant in het kader van het inlyn platform.
2. Deze Overeenkomst is geldig voor de duur van het abonnement en eindigt automatisch bij beëindiging daarvan.

Artikel 3: Categorieën van persoonsgegevens

De Klant kan de volgende categorieën persoonsgegevens invoeren in inlyn:

• Naam, adres, telefoonnummer, e-mailadres van contactpersonen en klanten van de Klant.
• Functietitel, bedrijfsnaam, KvK-nummer.
• Afspraken, correspondentie, notities, documenten.
• Facturatiegegevens en offertes.
• Gebruikersgegevens van medewerkers van de Klant (naam, e-mail, rol).
• Overige gegevens die de Klant invoert via custom velden.

Artikel 4: Categorieën van betrokkenen

• Klanten en contactpersonen van de Klant.
• Medewerkers van de Klant.
• Leveranciers en partners van de Klant.

Artikel 5: Doel van de verwerking

inlyn verwerkt persoonsgegevens uitsluitend ten behoeve van:

1. Het leveren van de inlyn Dienst zoals beschreven in de Algemene Voorwaarden.
2. Het technisch beheer, onderhoud en back-ups van de Dienst.
3. Het bieden van ondersteuning aan de Klant.

Artikel 6: Verplichtingen van inlyn

1. inlyn verwerkt persoonsgegevens alleen op basis van schriftelijke instructies van de Klant, tenzij een wettelijke verplichting anders vereist.
2. inlyn zorgt ervoor dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.
3. inlyn treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, waaronder:
   • Versleuteling van data in transit (HTTPS/TLS).
   • Versleuteling van gevoelige gegevens in de database (AES-256-GCM).
   • Toegangscontrole via rollen en rechten (RBAC).
   • Twee-factor authenticatie (2FA).
   • Dagelijkse back-ups met 14 dagen retentie.
   • Audit trail op alle wijzigingen.
   • Hosting binnen de Europese Economische Ruimte (EER).
4. inlyn meldt een datalek aan de Klant zonder onredelijke vertraging en in ieder geval binnen 48 uur na ontdekking.
5. inlyn assisteert de Klant bij het nakomen van verplichtingen uit de AVG, waaronder:
   • Het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering).
   • Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien van toepassing.

Artikel 7: Subverwerkers

1. De Klant geeft inlyn algemene toestemming voor het inschakelen van subverwerkers.
2. inlyn informeert de Klant vooraf over wijzigingen in subverwerkers. De Klant kan bezwaar maken binnen 14 dagen.
3. inlyn maakt gebruik van subverwerkers voor hosting, e-mailverzending en infrastructuur. Data wordt opgeslagen binnen de Europese Economische Ruimte (EER). Waar subverwerkers buiten de EER zijn gevestigd, gelden passende waarborgen conform de AVG (Standard Contractual Clauses of adequaatheidsbesluit).
4. Een actueel overzicht van subverwerkers is beschikbaar op aanvraag.
5. inlyn zorgt ervoor dat met elke subverwerker afspraken zijn gemaakt die minimaal dezelfde bescherming bieden als deze Overeenkomst.

Artikel 8: Rechten van betrokkenen

1. De Klant is verantwoordelijk voor het afhandelen van verzoeken van betrokkenen.
2. inlyn biedt de Klant de volgende functionaliteit:
   • Inzage: export per persoon of bedrijf als JSON (alle gerelateerde data).
   • Rectificatie: de Klant kan gegevens zelf aanpassen in inlyn.
   • Verwijdering: soft delete met 30 dagen retentie, daarna permanent verwijderd.
   • Dataportabiliteit: export in CSV en JSON formaat.

Artikel 9: Verwijdering van gegevens

1. Bij beëindiging van het abonnement heeft de Klant 30 dagen om Data te exporteren.
2. Na deze termijn worden alle persoonsgegevens van de Klant permanent verwijderd uit de productieomgeving.
3. Back-ups die persoonsgegevens bevatten worden binnen 14 dagen na de verwijdering uit de productieomgeving overschreven.

Artikel 10: Audits

1. inlyn stelt op verzoek van de Klant alle informatie beschikbaar die nodig is om de naleving van deze Overeenkomst aan te tonen.
2. De Klant of een door hem aangewezen onafhankelijke auditor kan eenmaal per jaar een audit uitvoeren, na minimaal 30 dagen vooraankondiging en gedurende reguliere kantooruren.
3. De kosten van de audit zijn voor rekening van de Klant, tenzij de audit een materiële tekortkoming aan het licht brengt.

Artikel 11: Aansprakelijkheid

De aansprakelijkheid van inlyn als verwerker is beperkt conform Artikel 11 van de Algemene Voorwaarden van inlyn.

Artikel 12: Toepasselijk recht

Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland.

Deze verwerkersovereenkomst treedt in werking bij aanvang van het abonnement op inlyn en eindigt bij beëindiging daarvan.