Trust

Transparantie over hoe mijn.host met persoonsgegevens omgaat

Bij mijn.host nemen we de bescherming van persoonsgegevens serieus. Op deze pagina vind je alle informatie over hoe wij omgaan met de verwerking van persoonsgegevens, welke subverwerkers wij inschakelen, en welke technische en organisatorische beveiligingsmaatregelen wij treffen.

Als je gebruik maakt van onze hosting-, e-mail-, domein- of serverdiensten, verwerken wij persoonsgegevens namens jou als verwerkingsverantwoordelijke. De afspraken hierover zijn vastgelegd in onze verwerkersovereenkomst. Als je onze diensten (mede) gebruikt om persoonsgegevens namens eigen klanten te verwerken — bijvoorbeeld als reseller, webbouwer, agency of managed service provider — dan treed jij op als verwerker en mijn.host als subverwerker. Voor die situatie geldt aanvullend onze subverwerkersovereenkomst. Voor de overdracht van persoonsgegevens aan derden die wij inschakelen bij het leveren van onze diensten, verwijzen we naar onze subverwerkerslijst.

Organisatorische maatregelen
  • Periodieke monitoring, evaluatie en beoordeling van de effectiviteit van maatregelen
  • Procedure voor naleving van bewaartermijnen en verwijdering
  • Geheimhoudingsverplichtingen voor medewerkers
  • Bewustwording en training op het gebied van informatiebeveiliging en privacy
Technische maatregelen
  • Fysieke en netwerkbeveiliging: gesloten serverruimtes, netwerksegmentatie, firewalls, hardening
  • Versleuteling en beveiligde overdracht: TLS/STARTTLS
  • E-mailbeveiliging: anti-spam/anti-virus, DMARC, DKIM en SPF
  • DNS-beveiliging: DNSSEC
  • Logging en monitoring: toegangslogging, SIEM/IDS, tijdsynchronisatie
  • Toegangsbeveiliging: MFA, least-privilege, jump-host/bastion
  • Back-up/continuïteit: gescheiden opslag, integriteitschecks
  • Malware/abuse: endpoint-/malwarescans, quarantaines
Privacycontact

mijn.host B.V.

Pietersbergweg 291

1105 BM Amsterdam

KvK: 89592514

privacy@mijn.host

Documenten
Privacybeleid Verwerkersovereenkomst Subverwerkersovereenkomst Subverwerkers

Bij het leveren van onze diensten schakelen wij subverwerkers in die namens ons persoonsgegevens verwerken. Hieronder vind je een overzicht van alle subverwerkers die wij op dit moment inzetten, inclusief hun locatie en het doel waarvoor zij worden ingezet. Deze lijst geldt als Annex B bij zowel de verwerkersovereenkomst (subverwerkers van mijn.host) als de subverwerkersovereenkomst (sub-subverwerkers van mijn.host wanneer mijn.host als subverwerker optreedt).

Laatst bijgewerkt: april 2026

Voxility • Infrastructuur
Dedicated servers
EU
Worldstream • Infrastructuur
Dedicated servers
Nederland
Leaseweb • Back-up infrastructuur
Dedicated servers (backups)
Nederland
Hostcircle • Back-up infrastructuur
Dedicated servers (backups)
Nederland
Oneprovider • Back-up infrastructuur
Dedicated servers (backups)
EU
SIDN • Domeinregistratie (.nl)
Registry
Nederland
DNS Belgium • Domeinregistratie (.be)
Registry
België
OpenProvider • Domeinregistratie
Registrar
EU
Pax8 • Microsoft 365 distributie
Distributeur
EU / VS
Anthropic • AI-ondersteunde ticketafhandeling
Supportvragen via Claude. Doorgifte VS op basis van SCC’s. Zero data retention (ZDR).
Verenigde Staten

Verwerkersovereenkomst

Versie: april 2026

Deze verwerkersovereenkomst, met inbegrip van de daarbij behorende bijlagen, is aangegaan tussen mijn.host (hierna: de “verwerker”) en de Klant (hierna: de “verwerkingsverantwoordelijke”) en legt de afspraken tussen Partijen vast met betrekking tot de verwerking van persoonsgegevens die de verwerker namens de verwerkingsverantwoordelijke uitvoert in het kader van de diensten die mijn.host op grond van de hoofdovereenkomst aan de Klant levert. Deze verwerkersovereenkomst is uitsluitend van toepassing op de verwerking van persoonsgegevens door de verwerker ten behoeve van de verwerkingsverantwoordelijke en ziet niet op activiteiten die geen verwerking van persoonsgegevens inhouden. Voor zover mijn.host persoonsgegevens verwerkt in de hoedanigheid van zelfstandig verwerkingsverantwoordelijke, valt die verwerking buiten het toepassingsbereik van deze verwerkersovereenkomst.

Partijen

Deze verwerkersovereenkomst is van toepassing tussen mijn.host B.V. (Pietersbergweg 291, 1105 BM Amsterdam, KvK: 89592514), hierna de “verwerker”, en de klant die diensten afneemt bij mijn.host, hierna de “verwerkingsverantwoordelijke”. Gezamenlijk te noemen: “Partijen” en afzonderlijk: “Partij”.

1. Algemeen

  1. Partijen komen overeen dat deze verwerkersovereenkomst alle eerder tussen Partijen overeengekomen verwerkersovereenkomsten en/of privacy- of gegevensbeschermingsbepalingen vervangt die betrekking hebben op dezelfde diensten en op dezelfde verwerkingsrelatie (te weten: Klant als verwerkingsverantwoordelijke en mijn.host als verwerker), tenzij Partijen uitdrukkelijk schriftelijk anders zijn overeengekomen. Deze verwerkersovereenkomst laat een eventueel tussen Partijen gesloten subverwerkersovereenkomst onverlet; beide overeenkomsten bestaan naast elkaar en zien elk op een andere verwerkingsrelatie.
  2. Deze verwerkersovereenkomst is uitsluitend van toepassing indien en voor zover de verwerking van persoonsgegevens wordt beheerst door de AVG. Begrippen uit de AVG die in deze verwerkersovereenkomst worden gebruikt, waaronder “persoonsgegevens”, “verwerken”, “verwerkingsverantwoordelijke” en “verwerker”, hebben de betekenis die daaraan in de AVG is toegekend.
  3. Deze verwerkersovereenkomst wordt geacht integraal deel uit te maken van de hoofdovereenkomst tussen Partijen.

2. Bijlagen

De volgende bijlagen maken integraal deel uit van deze verwerkersovereenkomst:

  • Annex A: Details van de gegevensverwerking
  • Annex B: Subverwerkers
  • Annex C: Beveiligingsmaatregelen (technische en organisatorische maatregelen)

3. Doel van de verwerking

  1. De verwerker verbindt zich ertoe, in overeenstemming met de voorwaarden van deze verwerkersovereenkomst, de verwerking van persoonsgegevens uit te voeren namens de verwerkingsverantwoordelijke.
  2. De verwerking van persoonsgegevens door de verwerker geschiedt uitsluitend in het kader van de uitvoering van de hoofdovereenkomst, strikt overeenkomstig de gedocumenteerde instructies van de verwerkingsverantwoordelijke, en heeft betrekking op een of meer van de diensten zoals nader omschreven in Annex A. De verwerker zal de persoonsgegevens niet voor enig ander doel of op enige andere wijze gebruiken dan voor het doel dat door de verwerkingsverantwoordelijke is bepaald.
  3. De verwerkingsverantwoordelijke stemt ermee in dat deze verwerkersovereenkomst, de hoofdovereenkomst en eventuele nadere (schriftelijk overeengekomen) werkafspraken, alsmede de door de verwerkingsverantwoordelijke of diens geautoriseerde gebruikers gekozen configuraties en instellingen van de diensten (in overeenstemming met de documentatie), gezamenlijk de volledige instructies van de verwerkingsverantwoordelijke aan verwerker vormen met betrekking tot de verwerking van persoonsgegevens.
  4. Aanvullende of afwijkende instructies gelden uitsluitend indien Partijen deze schriftelijk zijn overeengekomen, waarbij verwerker gerechtigd is eventuele (redelijke) kosten die samenhangen met de uitvoering van dergelijke instructies in rekening te brengen.

4. Verplichtingen

  1. De verwerkingsverantwoordelijke verklaart en garandeert dat hij te allen tijde voldoet aan de toepasselijke gegevensbeschermingswetgeving (waaronder de AVG) met betrekking tot (i) de persoonsgegevens die hij aan verwerker verstrekt of via de diensten laat verwerken en (ii) de (verwerkings)instructies die hij aan verwerker geeft. De verwerkingsverantwoordelijke staat ervoor in dat de verwerking van persoonsgegevens via de diensten rechtmatig is, zodat verwerker de persoonsgegevens kan verwerken op grond van de hoofdovereenkomst en deze verwerkersovereenkomst en in overeenstemming met de toepasselijke gegevensbeschermingswetgeving.
  2. De verwerkingsverantwoordelijke staat ervoor in dat hij beschikt over alle noodzakelijke rechten, toestemmingen, grondslagen en autorisaties om (a) persoonsgegevens aan verwerker te verstrekken en (b) verwerker te machtigen de persoonsgegevens te verwerken zoals voorzien in de hoofdovereenkomst, deze verwerkersovereenkomst en de gedocumenteerde instructies van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is verantwoordelijk voor de herkomst, juistheid, kwaliteit en rechtmatigheid van de persoonsgegevens en de wijze waarop hij deze heeft verkregen.
  3. Voor zover derden aanspraken jegens verwerker geldend maken die verband houden met persoonsgegevens of verwerkingen waarvoor de verwerkingsverantwoordelijke verantwoordelijk is, vrijwaart de verwerkingsverantwoordelijke verwerker op eerste verzoek tegen dergelijke aanspraken, schade, boetes en kosten, voor zover toegestaan onder dwingend recht en voor zover niet veroorzaakt door opzet of bewuste roekeloosheid van verwerker.
  4. Verwerker is niet verantwoordelijk voor het beoordelen of de instructies van de verwerkingsverantwoordelijke voldoen aan toepasselijke wet- en regelgeving. Indien verwerker van oordeel is dat een instructie van de verwerkingsverantwoordelijke inbreuk maakt op de toepasselijke gegevensbeschermingswetgeving, zal verwerker de verwerkingsverantwoordelijke daarvan onverwijld op de hoogte stellen en is verwerker niet gehouden aan een dergelijke onrechtmatige instructie gevolg te geven. Verwerker zal de uitvoering van de betreffende instructie opschorten totdat de verwerkingsverantwoordelijke de instructie heeft ingetrokken, gewijzigd of schriftelijk heeft bevestigd dat de instructie rechtmatig is, een en ander voor zover dit redelijkerwijs mogelijk is zonder onevenredige verstoring van de continuïteit van de dienstverlening.
  5. De details van de verwerking, waaronder de categorieën persoonsgegevens die door de verwerkingsverantwoordelijke in de diensten worden geüpload of anderszins ter beschikking worden gesteld en door verwerker namens de verwerkingsverantwoordelijke worden verwerkt, zijn opgenomen in Annex A (Details van de gegevensverwerking).
  6. De verwerkingsverantwoordelijke zal verwerker schriftelijk en met een redelijke voorafgaande kennisgeving informeren als hij wijzigingen beoogt aan te brengen in de hiervoor bedoelde verwerking, waaronder (maar niet beperkt tot) wijzigingen in de aard, doeleinden, categorieën persoonsgegevens of categorieën betrokkenen. Indien nodig zullen Partijen Annex A dienovereenkomstig aanpassen.
  7. De verwerkingsverantwoordelijke staat ervoor in dat hij, overeenkomstig artikel 30 van de AVG, een volledig en actueel register van verwerkingsactiviteiten bijhoudt.
  8. De verwerkingsverantwoordelijke is verplicht verwerker onverwijld schriftelijk te informeren indien hij de diensten (gaat) gebruiken om persoonsgegevens te verwerken (mede) namens een of meer eigen verwerkingsverantwoordelijke(n), dan wel indien een dergelijke verwerking eindigt. De verwerkingsverantwoordelijke is zelf verantwoordelijk voor de juiste kwalificatie van zijn rol onder de AVG en voor het tijdig informeren van verwerker over wijzigingen daarin. In geval van een dergelijke situatie is tevens de subverwerkersovereenkomst tussen Partijen van toepassing, voor zover de feitelijke verwerking daartoe aanleiding geeft.

5. Duur van de verwerkersovereenkomst en beëindiging

  1. Deze verwerkersovereenkomst wordt aangegaan voor de duur die is vastgelegd in de hoofdovereenkomst. Partijen blijven gebonden aan de verplichtingen uit deze verwerkersovereenkomst die naar hun aard ook na beëindiging van kracht blijven.
  2. Deze verwerkersovereenkomst eindigt automatisch zodra de hoofdovereenkomst wordt beëindigd.
  3. Na beëindiging van de hoofdovereenkomst verwijdert de verwerker alle persoonsgegevens conform de bewaartermijnen zoals opgenomen in Annex A, tenzij Unierecht of lidstatelijk recht bewaring voorschrijft.
  4. Indien de verwerker vanwege technische of andere redenen niet in staat is om persoonsgegevens te verwijderen, zal de verwerker redelijke maatregelen nemen om ervoor te zorgen dat de persoonsgegevens worden geblokkeerd voor verdere verwerking en, voor zover technisch mogelijk, worden geanonimiseerd.

6. Subverwerkers

  1. De verwerkingsverantwoordelijke stemt ermee in dat verwerker, teneinde de diensten te kunnen leveren, subverwerkers mag inschakelen om persoonsgegevens van de verwerkingsverantwoordelijke te verwerken. Verwerker houdt een lijst bij van haar geautoriseerde subverwerkers op haar website en de verwerkingsverantwoordelijke machtigt verwerker om van deze subverwerkers gebruik te maken. De lijst van subverwerkers die van toepassing is op de ingangsdatum van de hoofdovereenkomst is als Annex B bij deze verwerkersovereenkomst gevoegd.
  2. Verwerker mag subverwerkers inschakelen binnen en buiten de EU/EER en mag persoonsgegevens buiten de EU/EER doorgeven, dan wel daar op andere wijze verwerken. Verwerker draagt er zorg voor dat subverwerkers door schriftelijke overeenkomsten zijn gebonden aan gegevensverwerkingsverplichtingen die, voor zover passend bij de aard van de door de subverwerker geleverde diensten, ten minste een gelijkwaardig beschermingsniveau bieden als de verplichtingen op grond van deze verwerkersovereenkomst ten aanzien van gegevensbescherming.
  3. De verwerker draagt er zorg voor dat iedere door hem ingeschakelde subverwerker de verplichtingen naleeft die op de verwerker rusten op grond van deze verwerkersovereenkomst en de toepasselijke gegevensbeschermingswetgeving. De verwerker blijft jegens de verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de verwerking door subverwerkers, alsof de verwerker de verwerking zelf verricht.
  4. Verwerker zal de verwerkingsverantwoordelijke ten minste veertien (14) dagen vooraf schriftelijk informeren indien zij voornemens is wijzigingen aan te brengen in de lijst van subverwerkers. De verwerkingsverantwoordelijke kan binnen deze termijn schriftelijk bezwaar maken tegen de inschakeling van een nieuwe subverwerker (of een materiële wijziging met betrekking tot een bestaande subverwerker), mits dit bezwaar is gebaseerd op redelijke gronden die verband houden met gegevensbescherming.

7. Datalek

  1. In het geval van een datalek zal de verwerker de verwerkingsverantwoordelijke zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking van het datalek, op de hoogte stellen. De melding bevat, voor zover beschikbaar, ten minste:
    • een beschrijving van de aard van de inbreuk, waaronder – waar mogelijk – hoe deze heeft plaatsgevonden en de (vermoedelijke) datum en het tijdstip van het incident en van ontdekking;
    • de (categorieën van) persoonsgegevens waarop de inbreuk betrekking heeft;
    • de (categorieën van) betrokkenen en, voor zover redelijkerwijs mogelijk, een schatting van het aantal getroffen betrokkenen;
    • de waarschijnlijke gevolgen en risico’s van de inbreuk; en
    • de maatregelen die de verwerker heeft genomen of voorstelt te nemen om de inbreuk aan te pakken en de mogelijke nadelige gevolgen te beperken.
  2. Indien de verwerker niet alle informatie als bedoeld in artikel 7.1 binnen de in dat artikel genoemde termijn kan verstrekken, verstrekt de verwerker binnen die termijn de informatie die op dat moment beschikbaar is, onder gelijktijdige vermelding van de redenen waarom aanvullende informatie nog ontbreekt. De verwerker verstrekt aanvullende informatie vervolgens zonder onredelijke vertraging zodra deze beschikbaar komt.
  3. De verwerker verleent de verwerkingsverantwoordelijke redelijke bijstand om te voldoen aan diens verplichtingen onder de AVG in verband met de inbreuk, waaronder – voor zover van toepassing – bijstand bij (i) meldingen aan de bevoegde toezichthoudende autoriteit(en) en (ii) kennisgeving aan betrokkenen.

8. Beveiliging en geheimhouding

  1. De verwerker heeft passende technische en organisatorische maatregelen genomen voor de beveiliging van de persoonsgegevens.
  2. Deze beveiligingsmaatregelen zijn ingericht op een passend beveiligingsniveau, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen. De (actuele) beveiligingsmaatregelen zijn nader beschreven in Annex C.
  3. De verwerker monitort de naleving van de beveiligingsmaatregelen periodiek en is gerechtigd de beveiligingsmaatregelen aan te passen indien dit redelijkerwijs noodzakelijk is voor de beveiliging, continuïteit of doorontwikkeling van de diensten.
  4. De verwerker beperkt de toegang tot persoonsgegevens tot die personen voor wie toegang noodzakelijk is voor de uitvoering van de diensten. De verwerker draagt er zorg voor dat personen die onder haar gezag persoonsgegevens verwerken, zijn gehouden aan een passende geheimhoudingsverplichting en passende instructies en training hebben ontvangen met betrekking tot gegevensbescherming en informatiebeveiliging.

9. Rechten van betrokkenen

  1. De verwerker verleent de verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en met inachtneming van de aard van de verwerking, bijstand bij het nakomen van diens verplichtingen ten aanzien van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG (zoals het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar).
  2. De verwerker zal verzoeken van betrokkenen die rechtstreeks bij de verwerker worden ingediend, onverwijld doorgeleiden naar de verwerkingsverantwoordelijke en zal deze verzoeken niet zelfstandig afhandelen, tenzij de verwerkingsverantwoordelijke daartoe uitdrukkelijk toestemming heeft gegeven.
  3. De verwerker mag redelijke kosten in rekening brengen voor bijstand die verder gaat dan standaardfunctionaliteit van de diensten.

10. Doorgifte buiten de EU/EER

  1. De verwerker mag persoonsgegevens buiten de EU/EER verwerken of doorgeven, mits is voldaan aan de vereisten van Hoofdstuk V van de AVG. De verwerker draagt er zorg voor dat een geldig doorgiftemechanisme van toepassing is, zoals een adequaatheidsbesluit, door de Europese Commissie vastgestelde Standard Contractual Clauses (SCC’s) of een ander door de AVG erkend instrument.
  2. Waar Standard Contractual Clauses van toepassing zijn, worden deze geacht integraal deel uit te maken van deze verwerkersovereenkomst.

11. Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

  1. De verwerker verleent de verwerkingsverantwoordelijke, op diens verzoek en voor zover redelijkerwijs mogelijk, bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en, indien van toepassing, bij de voorafgaande raadpleging van de toezichthoudende autoriteit.

12. Audit

  1. De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die redelijkerwijs nodig is om de naleving van de verplichtingen uit deze verwerkersovereenkomst aan te tonen, en maakt audits – waaronder inspecties – door of namens de verwerkingsverantwoordelijke mogelijk, met inachtneming van het bepaalde in dit artikel.
  2. Audits worden uitgevoerd op kosten van de verwerkingsverantwoordelijke, met een redelijke voorafgaande schriftelijke kennisgeving (ten minste 30 dagen), en worden beperkt tot hetgeen noodzakelijk en proportioneel is om naleving van deze verwerkersovereenkomst te verifiëren.
  3. De verwerkingsverantwoordelijke draagt er zorg voor dat de audit op professionele wijze wordt uitgevoerd, de bedrijfsvoering van de verwerker niet onevenredig verstoort en de vertrouwelijkheid en beveiliging van gegevens van de verwerker en haar andere klanten niet in gevaar brengt.
  4. De verwerker is gerechtigd om redelijke voorwaarden te stellen aan de audit, waaronder (maar niet beperkt tot) voorafgaande instemming met de scope en planning, geheimhoudingsverplichtingen voor auditors en beperking van toegang tot gegevens van andere klanten.
  5. Indien de verwerker beschikt over een actueel certificaat, rapport of verklaring van een onafhankelijke auditor (bijvoorbeeld SOC 2 Type II, ISO 27001), geldt dat als voldoende bewijs van naleving van de relevante beveiligingsverplichtingen uit deze verwerkersovereenkomst, tenzij de verwerkingsverantwoordelijke gemotiveerd en schriftelijk aantoont dat aanvullend onderzoek noodzakelijk is.

13. Aansprakelijkheid

  1. De aansprakelijkheid van de verwerker onder of in verband met deze verwerkersovereenkomst is onderworpen aan de aansprakelijkheidsbepalingen en -beperkingen zoals opgenomen in de hoofdovereenkomst en de daarop van toepassing zijnde algemene voorwaarden, voor zover toegestaan onder dwingend recht.

14. Overige bepalingen

  1. In geval van strijdigheid tussen de bepalingen van deze verwerkersovereenkomst en de hoofdovereenkomst, prevaleert de verwerkersovereenkomst voor zover het de verwerking van persoonsgegevens betreft.
  2. Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze verwerkersovereenkomst worden voorgelegd aan de bevoegde rechter te Amsterdam, voor zover niet anders voorgeschreven door dwingend recht.
  3. Indien enige bepaling van deze verwerkersovereenkomst nietig is, vernietigd wordt of anderszins niet-afdwingbaar blijkt te zijn, of indien deze verwerkersovereenkomst een leemte bevat, blijven de overige bepalingen onverminderd van kracht. Partijen zullen in dat geval in overleg treden om een vervangende of aanvullende bepaling overeen te komen die rechtsgeldig is en die zoveel mogelijk aansluit bij de strekking van de oorspronkelijke bepaling, met inachtneming van de vereisten van artikel 28 AVG.

Annex A: Details van de gegevensverwerking

Naam en contactgegevens van de verwerker mijn.host B.V.
Pietersbergweg 291, 1105 BM Amsterdam
E-mail: privacy@mijn.host
Functionaris voor gegevensbescherming Niet aangewezen.
Vertegenwoordiger van de verwerker Niet van toepassing.
Duur van de verwerking De verwerking start op de ingangsdatum van de hoofdovereenkomst en eindigt bij afloop of beëindiging van de hoofdovereenkomst.
Diensten De verwerking van persoonsgegevens door de verwerker geschiedt in het kader van een of meer van de navolgende diensten:
  • Webhosting (inclusief opslag en beschikbaarstelling van klantcontent)
  • E-mailhosting
  • DNS-hosting en nameserverbeheer
  • Back-ups en disaster recovery
  • Beheer en support op klantomgevingen
  • Monitoring en beveiliging van klantomgevingen
  • Domeinnaamregistratie
Aard en doeleinden van de verwerking De verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van en op instructie van de verwerkingsverantwoordelijke voor het leveren van de diensten.
Betrokkenen Afhankelijk van de door de Klant afgenomen diensten en de inhoud van de klantdata, kunnen de volgende categorieën van betrokkenen voorkomen:
  • Medewerkers en contactpersonen van de Klant (waaronder beheerders en andere geautoriseerde gebruikers)
  • Eindgebruikers en bezoekers van de Klant (waaronder klanten/relaties van de Klant, websitebezoekers en gebruikers van applicaties)
  • Afzenders en ontvangers van e-mail (voor zover e-maildiensten worden geleverd)
  • Overige natuurlijke personen van wie persoonsgegevens door of namens de Klant in de klantomgeving(en) worden verwerkt (bijv. prospects/leads, leveranciers en contactpersonen daarvan)
Categorieën van persoonsgegevens Afhankelijk van de door de verwerkingsverantwoordelijke afgenomen dienst(en) kunnen de volgende categorieën van persoonsgegevens door de verwerker worden verwerkt:
Webhosting (inclusief klantcontent)
  • Door de verwerkingsverantwoordelijke aangeleverde of gegenereerde content, applicatiedata en databanken
  • Accountgegevens van gebruikers (zoals gebruikersnaam en e-mailadres)
  • IP-adressen en technische metadata
Webhosting, e-mailhosting en VPS-/serverdiensten
  • Inhoud van e-mailberichten en bijbehorende bijlagen
  • Header- en routinggegevens (waaronder afzender, ontvanger, tijdstip, onderwerpregels en e-mailheaders)
  • Mailboxmetadata en configuratiegegevens
DNS-hosting en nameserverbeheer
  • DNS-records en zonefiles, hostnamen en technische IP-adressen
Back-ups en disaster recovery
  • Kopieën van klantcontent, databases en systeemconfiguraties (met inbegrip van alle categorieën persoonsgegevens die de verwerkingsverantwoordelijke daarin heeft opgeslagen)
Monitoring, performance en security logging
  • IP-adressen, tijdstempels en user-agent gegevens
  • Inlog- en systeemgebeurtenissen, event-logs, foutmeldingen en performancelogs
Beheer en support (inclusief change management)
  • Ticketinhoud, contactgegevens van aanvragers en contextuele informatie met betrekking tot incidenten of wijzigingsverzoeken
  • Screenshots of logfragmenten die door de verwerkingsverantwoordelijke worden aangeleverd of die noodzakelijk zijn voor troubleshooting en probleemoplossing
Malware-scanning, abuse-detectie en Notice-and-Take-Down ondersteuning
  • Scanresultaten, URL’s, bestandsnamen en IP-adressen
  • Communicatiegegevens en metadata met betrekking tot meldingen en afhandeling van abuse-incidenten

De aard, omvang en concrete inhoud van de verwerkte persoonsgegevens worden in belangrijke mate bepaald door de verwerkingsverantwoordelijke en zijn afhankelijk van de gegevens die de verwerkingsverantwoordelijke in of via de diensten uploadt, opslaat of anderszins ter beschikking stelt aan de verwerker.
Speciale categorieën van gegevens De verwerker heeft geen kennis van de vraag of bijzondere categorieën van persoonsgegevens worden verwerkt. De aard en inhoud van de verwerkte gegevens worden bepaald door de verwerkingsverantwoordelijke. Indien bijzondere categorieën van persoonsgegevens worden verwerkt, is de verwerkingsverantwoordelijke verantwoordelijk voor een rechtmatige grondslag hiervoor.
Frequentie van de overdracht Continu gedurende de looptijd van de hoofdovereenkomst.
Bewaartermijnen De verwerker bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de diensten. Tenzij Partijen schriftelijk anders overeenkomen of de verwerkingsverantwoordelijke andere schriftelijke instructies geeft, gelden de volgende bewaartermijnen:
  • Actieve klantdata (webhosting, e-mail, databases en overige klantcontent): gedurende de looptijd van de hoofdovereenkomst. Na afloop of beëindiging verwijdert de verwerker de klantdata uit de productie- en beheersystemen. Back-ups worden uiterlijk 30 dagen na beëindiging overeenkomst verwijderd. De verwerkingsverantwoordelijke dient alle klantdata vóór de einddatum zelf te exporteren of te migreren.
  • Back-ups en disaster recovery: bewaard conform de reguliere back-uprotatie van de verwerker, met een maximale bewaartermijn van 90 dagen, tenzij schriftelijk anders overeengekomen. Verwijdering uit back-ups vindt plaats door uitrotatie.
  • Logging en monitoring (o.a. access logs, server logs, security logs): maximaal 12 maanden, voor zover noodzakelijk voor beveiliging, incidentonderzoek, misbruikpreventie, beschikbaarheid en troubleshooting.
  • Support- en ticketdata (incl. communicatie en bijlagen/logfragmenten): maximaal 48 maanden na afsluiting van het ticket.

Annex B: Subverwerkers

Een actueel overzicht van alle subverwerkers die de verwerker inschakelt is te vinden onder het tabblad Subverwerkers.

Annex C: Beveiligingsmaatregelen

De verwerker implementeert en handhaaft passende technische en organisatorische beveiligingsmaatregelen ter bescherming van de persoonsgegevens.

Organisatorische maatregelen

  • Periodieke monitoring, evaluatie en beoordeling van de effectiviteit van de organisatorische en technische maatregelen.
  • Procedure voor naleving van bewaartermijnen en verwijdering conform afspraken/instructies.
  • Geheimhoudingsverplichtingen voor medewerkers (contractueel en/of via intern beleid).
  • Bewustwording en training van medewerkers op het gebied van informatiebeveiliging en privacy.

Technische maatregelen

  • Fysieke en netwerkbeveiliging: gesloten serverruimtes, netwerksegmentatie, firewalls, hardening.
  • Versleuteling en beveiligde overdracht: TLS/STARTTLS (waar van toepassing), versleuteling “in transit”.
  • E-mailbeveiliging: anti-spam/anti-virus, rate-limiting, DMARC/DKIM/SPF (waar van toepassing).
  • DNS-beveiliging: DNSSEC (waar mogelijk).
  • Logging en monitoring: toegangslogging, monitoring/alerting, SIEM/IDS (waar passend), tijdsynchronisatie.
  • Toegangsbeveiliging: MFA, least-privilege (waar mogelijk), jump-host/bastion.
  • Back-up/continuïteit: gescheiden opslag, integriteitschecks.
  • Malware/abuse: endpoint-/malwarescans, quarantaines, gecontroleerde toegang tot samples/logging.

Subverwerkersovereenkomst

Versie: april 2026

Deze subverwerkersovereenkomst, met inbegrip van de daarbij behorende bijlagen, is aangegaan tussen mijn.host B.V. (hierna: de “subverwerker”) en de klant die als verwerker diensten afneemt bij mijn.host (hierna: de “verwerker”) en legt de afspraken tussen Partijen vast met betrekking tot de verwerking van persoonsgegevens die de subverwerker namens en ten behoeve van de verwerker verricht in het kader van de door subverwerker aan verwerker geleverde diensten.

Deze subverwerkersovereenkomst is uitsluitend van toepassing op de verwerking van persoonsgegevens door de subverwerker ten behoeve van de verwerker in het kader van de diensten die mijn.host op grond van de hoofdovereenkomst aan de verwerker levert. De subverwerker verwerkt persoonsgegevens op basis van gedocumenteerde instructies van de verwerker. Voor zover mijn.host persoonsgegevens verwerkt in de hoedanigheid van zelfstandig verwerkingsverantwoordelijke of als (hoofd)verwerker voor eigen klanten, valt die verwerking buiten het toepassingsbereik van deze subverwerkersovereenkomst.

Partijen

Deze subverwerkersovereenkomst is van toepassing tussen mijn.host B.V. (Pietersbergweg 291, 1105 BM Amsterdam, KvK: 89592514), hierna de “subverwerker”, en de verwerker die diensten afneemt bij mijn.host ten behoeve van diens verwerkingsverantwoordelijke(n). Gezamenlijk te noemen: “Partijen” en afzonderlijk: “Partij”.

1. Algemeen

  1. Partijen komen overeen dat deze subverwerkersovereenkomst alle eerder tussen Partijen overeengekomen subverwerkersovereenkomsten en/of privacy- of gegevensbeschermingsbepalingen vervangt die betrekking hebben op dezelfde diensten en op dezelfde verwerkingsrelatie (te weten: Klant als verwerker en mijn.host als subverwerker), tenzij Partijen uitdrukkelijk schriftelijk anders zijn overeengekomen. Deze subverwerkersovereenkomst laat de tussen Partijen gesloten Verwerkersovereenkomst onverlet; beide overeenkomsten bestaan naast elkaar en zien elk op een andere verwerkingsrelatie.
  2. Deze subverwerkersovereenkomst is uitsluitend van toepassing indien en voor zover de verwerking van persoonsgegevens wordt beheerst door de AVG. Begrippen uit de AVG die in deze subverwerkersovereenkomst worden gebruikt, waaronder “persoonsgegevens”, “verwerken”, “verwerkingsverantwoordelijke”, “verwerker” en “subverwerker”, hebben de betekenis die daaraan in de AVG is toegekend.
  3. Deze subverwerkersovereenkomst wordt geacht integraal deel uit te maken van de hoofdovereenkomst tussen subverwerker en de verwerker. Voor de toepassing van deze subverwerkersovereenkomst wordt onder de term “sub-subverwerker” verstaan: een derde partij die door subverwerker wordt ingeschakeld voor (een deel van) de verwerking van persoonsgegevens.
  4. Toepasselijkheid. Deze subverwerkersovereenkomst is uitsluitend van toepassing voor zover en vanaf het moment dat de Klant, in het kader van de door mijn.host geleverde diensten, persoonsgegevens feitelijk verwerkt in de hoedanigheid van verwerker ten behoeve van een of meer eigen verwerkingsverantwoordelijke(n). Voor zover en zolang de Klant uitsluitend als verwerkingsverantwoordelijke persoonsgegevens (laat) verwerken, is deze subverwerkersovereenkomst niet van toepassing en geldt uitsluitend de Verwerkersovereenkomst tussen Partijen. De Klant is zelf verantwoordelijk voor de juiste kwalificatie van zijn rol onder de AVG.

2. Bijlagen

De volgende bijlagen maken integraal deel uit van deze subverwerkersovereenkomst:

  • Annex A: Details van de gegevensverwerking
  • Annex B: Sub-subverwerkers
  • Annex C: Beveiligingsmaatregelen (technische en organisatorische maatregelen)

3. Doel van de verwerking

  1. De subverwerker verbindt zich ertoe, in overeenstemming met de voorwaarden van deze subverwerkersovereenkomst, de verwerking van persoonsgegevens uit te voeren namens de verwerker.
  2. De verwerking van persoonsgegevens door de subverwerker geschiedt uitsluitend in het kader van de uitvoering van de hoofdovereenkomst, strikt overeenkomstig de gedocumenteerde instructies van de verwerker, en heeft betrekking op een of meer van de diensten zoals nader omschreven in Annex A. De subverwerker zal de persoonsgegevens niet voor enig ander doel of op enige andere wijze gebruiken dan voor het doel dat door de verwerker is doorgegeven.
  3. Aanvullende of afwijkende instructies gelden uitsluitend indien Partijen deze schriftelijk zijn overeengekomen, waarbij de subverwerker gerechtigd is eventuele (redelijke) kosten die samenhangen met de uitvoering van dergelijke instructies in rekening te brengen aan de verwerker.

4. Verplichtingen

  1. De verwerker verklaart en garandeert dat hij te allen tijde voldoet aan de toepasselijke gegevensbeschermingswetgeving (waaronder de AVG) met betrekking tot (i) de persoonsgegevens die hij aan de subverwerker verstrekt of via de diensten laat verwerken en (ii) de (verwerkings)instructies die hij aan de subverwerker geeft. De verwerker staat ervoor in dat de verwerking van persoonsgegevens via de diensten rechtmatig is, dat hij daartoe bevoegd is op grond van een verwerkersovereenkomst met de betreffende verwerkingsverantwoordelijke(n), en dat de subverwerker de persoonsgegevens kan verwerken op grond van de hoofdovereenkomst en deze subverwerkersovereenkomst in overeenstemming met de toepasselijke gegevensbeschermingswetgeving.
  2. De verwerker staat ervoor in dat hij bevoegd is de subverwerker in te schakelen en dat de instructies die hij geeft rechtmatig zijn.
  3. De subverwerker is niet verantwoordelijk voor het beoordelen of de instructies van de verwerker (of de onderliggende instructies van de verwerkingsverantwoordelijke(n)) voldoen aan toepasselijke wet- en regelgeving.
  4. De details van de verwerking zijn opgenomen in Annex A (Details van de gegevensverwerking).
  5. De verwerker zal de subverwerker schriftelijk en met een redelijke voorafgaande kennisgeving informeren als hij wijzigingen beoogt aan te brengen in de hiervoor bedoelde verwerking, waaronder (maar niet beperkt tot) wijzigingen in de aard, doeleinden, categorieën persoonsgegevens of categorieën betrokkenen. Indien nodig zullen Partijen Annex A dienovereenkomstig aanpassen.

5. Duur van de subverwerkersovereenkomst en beëindiging

  1. Deze subverwerkersovereenkomst wordt aangegaan voor de duur die is vastgelegd in de hoofdovereenkomst. Partijen blijven gebonden aan de verplichtingen uit deze subverwerkersovereenkomst die naar hun aard ook na beëindiging van kracht blijven.
  2. Deze subverwerkersovereenkomst eindigt automatisch zodra de hoofdovereenkomst wordt beëindigd.
  3. Na beëindiging van de hoofdovereenkomst verwijdert de subverwerker alle persoonsgegevens conform de bewaartermijnen zoals opgenomen in Annex A, tenzij Unierecht of lidstatelijk recht bewaring voorschrijft.
  4. Indien de subverwerker vanwege technische of andere redenen niet in staat is om persoonsgegevens te verwijderen, zal de subverwerker redelijke maatregelen nemen om ervoor te zorgen dat de persoonsgegevens worden geblokkeerd voor verdere verwerking en, voor zover technisch mogelijk, worden geanonimiseerd.

6. Sub-subverwerkers

  1. De verwerker geeft de subverwerker hierbij toestemming om bij de verwerking van persoonsgegevens gebruik te maken van sub-subverwerkers met inachtneming van de toepasselijke gegevensbeschermingswetgeving. Een actuele lijst van sub-subverwerkers is opgenomen in Annex B.
  2. De subverwerker zorgt ervoor dat sub-subverwerkers door schriftelijke overeenkomsten zijn gebonden aan gegevensverwerkingsverplichtingen die ten minste een gelijkwaardig beschermingsniveau bieden als de verplichtingen in deze subverwerkersovereenkomst.
  3. De subverwerker draagt er zorg voor dat iedere door hem ingeschakelde sub-subverwerker de verplichtingen naleeft die op de subverwerker rusten op grond van deze subverwerkersovereenkomst en de toepasselijke gegevensbeschermingswetgeving. De subverwerker blijft jegens de verwerker volledig verantwoordelijk en aansprakelijk voor de verwerking door sub-subverwerkers, alsof de subverwerker de verwerking zelf verricht.

7. Datalek

  1. In het geval van een datalek zal de subverwerker de verwerker zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking van het datalek, op de hoogte stellen. De melding bevat, voor zover beschikbaar, ten minste:
    • een beschrijving van de aard van de inbreuk, waaronder – waar mogelijk – hoe deze heeft plaatsgevonden en de (vermoedelijke) datum en het tijdstip van het incident en van ontdekking;
    • de (categorieën van) persoonsgegevens waarop de inbreuk betrekking heeft;
    • de (categorieën van) betrokkenen en, voor zover redelijkerwijs mogelijk, een schatting van het aantal getroffen betrokkenen;
    • de waarschijnlijke gevolgen en risico’s van de inbreuk; en
    • de maatregelen die de subverwerker heeft genomen of voorstelt te nemen om de inbreuk aan te pakken en de mogelijke nadelige gevolgen te beperken.
  2. Indien de subverwerker niet alle informatie als bedoeld in artikel 7.1 binnen de in dat artikel genoemde termijn kan verstrekken, verstrekt de subverwerker binnen die termijn de informatie die op dat moment beschikbaar is, onder gelijktijdige vermelding van de redenen waarom aanvullende informatie nog ontbreekt. De subverwerker verstrekt aanvullende informatie vervolgens zonder onredelijke vertraging zodra deze beschikbaar komt.
  3. De subverwerker verleent de verwerker redelijke bijstand om te voldoen aan diens verplichtingen onder de AVG in verband met de inbreuk (waaronder diens verplichtingen jegens verwerkingsverantwoordelijke(n)), waaronder – voor zover van toepassing – bijstand bij (i) meldingen aan de bevoegde toezichthoudende autoriteit(en) en (ii) kennisgeving aan betrokkenen.

8. Beveiliging en geheimhouding

  1. De subverwerker heeft passende technische en organisatorische maatregelen genomen voor de beveiliging van de persoonsgegevens.
  2. Deze beveiligingsmaatregelen zijn ingericht op een passend beveiligingsniveau, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen. De (actuele) beveiligingsmaatregelen zijn nader beschreven in Annex C.
  3. De subverwerker monitort de naleving van de beveiligingsmaatregelen periodiek en is gerechtigd de beveiligingsmaatregelen aan te passen indien dit redelijkerwijs noodzakelijk is voor de beveiliging, continuïteit of doorontwikkeling van de diensten.
  4. De subverwerker beperkt de toegang tot persoonsgegevens tot die personen voor wie toegang noodzakelijk is voor de uitvoering van de diensten. De subverwerker draagt er zorg voor dat personen die onder haar gezag persoonsgegevens verwerken, zijn gehouden aan een passende geheimhoudingsverplichting en passende instructies en training hebben ontvangen met betrekking tot gegevensbescherming en informatiebeveiliging.

9. Rechten van betrokkenen

  1. De subverwerker verleent de verwerker, voor zover redelijkerwijs mogelijk en met inachtneming van de aard van de verwerking, bijstand bij het nakomen van diens verplichtingen ten aanzien van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG.
  2. De subverwerker zal verzoeken van betrokkenen die rechtstreeks bij de subverwerker worden ingediend, onverwijld doorgeleiden naar de verwerker en zal deze verzoeken niet zelfstandig afhandelen, tenzij de verwerker daartoe uitdrukkelijk toestemming heeft gegeven.
  3. De subverwerker mag redelijke kosten in rekening brengen voor bijstand die verder gaat dan standaardfunctionaliteit van de diensten.

10. Doorgifte buiten de EU/EER

  1. De subverwerker mag persoonsgegevens buiten de EU/EER verwerken of doorgeven, mits is voldaan aan de vereisten van Hoofdstuk V van de AVG. De subverwerker draagt er zorg voor dat een geldig doorgiftemechanisme van toepassing is, zoals een adequaatheidsbesluit, door de Europese Commissie vastgestelde Standard Contractual Clauses (SCC’s) of een ander door de AVG erkend instrument.
  2. Waar Standard Contractual Clauses van toepassing zijn, worden deze geacht integraal deel uit te maken van deze subverwerkersovereenkomst.

11. Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

  1. De subverwerker verleent de verwerker, op diens verzoek en voor zover redelijkerwijs mogelijk, bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en, indien van toepassing, bij de voorafgaande raadpleging van de toezichthoudende autoriteit.

12. Audit

  1. De subverwerker stelt de verwerker alle informatie ter beschikking die redelijkerwijs nodig is om de naleving van de verplichtingen uit deze subverwerkersovereenkomst aan te tonen, en maakt audits – waaronder inspecties – door of namens de verwerker mogelijk, met inachtneming van het bepaalde in dit artikel.
  2. Audits worden uitgevoerd op kosten van de verwerker, met een redelijke voorafgaande schriftelijke kennisgeving (ten minste 30 dagen), en worden beperkt tot hetgeen noodzakelijk en proportioneel is om naleving van deze subverwerkersovereenkomst te verifiëren.
  3. De verwerker draagt er zorg voor dat de audit op professionele wijze wordt uitgevoerd, de bedrijfsvoering van de subverwerker niet onevenredig verstoort en de vertrouwelijkheid en beveiliging van gegevens van de subverwerker en haar andere klanten niet in gevaar brengt.
  4. De subverwerker is gerechtigd om redelijke voorwaarden te stellen aan de audit, waaronder (maar niet beperkt tot) voorafgaande instemming met de scope en planning, geheimhoudingsverplichtingen voor auditors en beperking van toegang tot gegevens van andere klanten.
  5. Indien de subverwerker beschikt over een actueel certificaat, rapport of verklaring van een onafhankelijke auditor (bijvoorbeeld SOC 2 Type II, ISO 27001), geldt dat als voldoende bewijs van naleving van de relevante beveiligingsverplichtingen uit deze subverwerkersovereenkomst, tenzij de verwerker gemotiveerd en schriftelijk aantoont dat aanvullend onderzoek noodzakelijk is.

13. Aansprakelijkheid

  1. De aansprakelijkheid van de subverwerker onder of in verband met deze subverwerkersovereenkomst is onderworpen aan de aansprakelijkheidsbepalingen en -beperkingen zoals opgenomen in de hoofdovereenkomst en de daarop van toepassing zijnde algemene voorwaarden, voor zover toegestaan onder dwingend recht.

14. Overige bepalingen

  1. In geval van strijdigheid tussen de bepalingen van deze subverwerkersovereenkomst en de hoofdovereenkomst, prevaleert de subverwerkersovereenkomst voor zover het de verwerking van persoonsgegevens betreft.
  2. Op deze subverwerkersovereenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze subverwerkersovereenkomst worden voorgelegd aan de bevoegde rechter te Amsterdam, voor zover niet anders voorgeschreven door dwingend recht.
  3. Indien enige bepaling van deze subverwerkersovereenkomst nietig is, vernietigd wordt of anderszins niet-afdwingbaar blijkt te zijn, of indien deze subverwerkersovereenkomst een leemte bevat, blijven de overige bepalingen onverminderd van kracht. Partijen zullen in dat geval in overleg treden om een vervangende of aanvullende bepaling overeen te komen die rechtsgeldig is en die zoveel mogelijk aansluit bij de strekking van de oorspronkelijke bepaling, met inachtneming van de vereisten van artikel 28 AVG.

Annex A: Details van de gegevensverwerking

Naam en contactgegevens van de subverwerker mijn.host B.V.
Pietersbergweg 291, 1105 BM Amsterdam
E-mail: privacy@mijn.host
Functionaris voor gegevensbescherming Niet aangewezen.
Vertegenwoordiger van de subverwerker Niet van toepassing.
Duur van de verwerking De verwerking start op de ingangsdatum van de hoofdovereenkomst (tussen verwerker en subverwerker) en eindigt bij afloop of beëindiging van die hoofdovereenkomst.
Diensten De verwerking van persoonsgegevens door de subverwerker geschiedt in het kader van een of meer van de navolgende diensten:
  • Webhosting (inclusief opslag en beschikbaarstelling van klantcontent)
  • E-mailhosting
  • DNS-hosting en nameserverbeheer
  • Back-ups en disaster recovery
  • Beheer en support op klantomgevingen
  • Monitoring en beveiliging van klantomgevingen
  • Domeinnaamregistratie
Aard en doeleinden van de verwerking De subverwerker verwerkt persoonsgegevens uitsluitend ten behoeve van en op instructie van de verwerker voor het leveren van de diensten.
Betrokkenen Afhankelijk van de door de verwerker afgenomen diensten en de inhoud van de klantdata, kunnen de volgende categorieën van betrokkenen voorkomen:
  • Medewerkers en contactpersonen van de verwerker (waaronder beheerders en andere geautoriseerde gebruikers)
  • Eindgebruikers en bezoekers van de verwerker (waaronder klanten/relaties van de verwerker, websitebezoekers en gebruikers van applicaties)
  • Afzenders en ontvangers van e-mail (voor zover e-maildiensten worden geleverd)
  • Overige natuurlijke personen van wie persoonsgegevens door of namens de verwerker in de klantomgeving(en) worden verwerkt (bijv. prospects/leads, leveranciers en contactpersonen daarvan)
Categorieën van persoonsgegevens Afhankelijk van de door de verwerker afgenomen dienst(en) kunnen de volgende categorieën van persoonsgegevens door de subverwerker worden verwerkt:
Webhosting (inclusief klantcontent)
  • Door de verwerker aangeleverde of gegenereerde content, applicatiedata en databanken
  • Accountgegevens van gebruikers (zoals gebruikersnaam en e-mailadres)
  • IP-adressen en technische metadata
E-mailhosting
  • Inhoud van e-mailberichten en bijbehorende bijlagen
  • Header- en routinggegevens (waaronder afzender, ontvanger, tijdstip, onderwerpregels en e-mailheaders)
  • Mailboxmetadata en configuratiegegevens
DNS-hosting en nameserverbeheer
  • DNS-records en zonefiles, hostnamen en technische IP-adressen
Back-ups en disaster recovery
  • Kopieën van klantcontent, databases en systeemconfiguraties (met inbegrip van alle categorieën persoonsgegevens die de verwerker daarin heeft opgeslagen)
Monitoring, performance en security logging
  • IP-adressen, tijdstempels en user-agent gegevens
  • Inlog- en systeemgebeurtenissen, event-logs, foutmeldingen en performancelogs
Beheer en support (inclusief change management)
  • Ticketinhoud, contactgegevens van aanvragers en contextuele informatie met betrekking tot incidenten of wijzigingsverzoeken
  • Screenshots of logfragmenten die door de verwerker worden aangeleverd of die noodzakelijk zijn voor troubleshooting en probleemoplossing
Malware-scanning, abuse-detectie en Notice-and-Take-Down ondersteuning
  • Scanresultaten, URL’s, bestandsnamen en IP-adressen
  • Communicatiegegevens en metadata met betrekking tot meldingen en afhandeling van abuse-incidenten

De aard, omvang en concrete inhoud van de verwerkte persoonsgegevens worden in belangrijke mate bepaald door de verwerker en zijn afhankelijk van de gegevens die de verwerker in of via de diensten uploadt, opslaat of anderszins ter beschikking stelt aan de subverwerker.
Speciale categorieën van gegevens De subverwerker heeft geen kennis van de vraag of bijzondere categorieën van persoonsgegevens worden verwerkt. De aard en inhoud van de verwerkte gegevens worden bepaald door de verwerker. Indien bijzondere categorieën van persoonsgegevens worden verwerkt, is de verwerker verantwoordelijk voor een rechtmatige grondslag hiervoor.
Frequentie van de overdracht Continu gedurende de looptijd van de hoofdovereenkomst.
Bewaartermijnen De subverwerker bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de diensten. Tenzij Partijen schriftelijk anders overeenkomen of de verwerker andere schriftelijke instructies geeft, gelden de volgende bewaartermijnen:
  • Actieve klantdata (webhosting, e-mail, databases en overige klantcontent): gedurende de looptijd van de hoofdovereenkomst. Na beëindiging stelt de subverwerker de verwerker gedurende 30 dagen in staat om klantdata te exporteren of te migreren. Na afloop van deze termijn verwijdert de subverwerker de klantdata uit productie- en beheersystemen.
  • Back-ups en disaster recovery: bewaard conform de reguliere back-uprotatie van de subverwerker, met een maximale bewaartermijn van 90 dagen, tenzij schriftelijk anders overeengekomen. Verwijdering uit back-ups vindt plaats door uitrotatie.
  • Logging en monitoring (o.a. access logs, server logs, security logs): maximaal 12 maanden, voor zover noodzakelijk voor beveiliging, incidentonderzoek, misbruikpreventie, beschikbaarheid en troubleshooting.
  • Support- en ticketdata (incl. communicatie en bijlagen/logfragmenten): maximaal 48 maanden na afsluiting van het ticket.

Annex B: Sub-subverwerkers

Een actueel overzicht van alle sub-subverwerkers die de subverwerker inschakelt is te vinden onder het tabblad Subverwerkers.

Annex C: Beveiligingsmaatregelen

De subverwerker implementeert en handhaaft passende technische en organisatorische beveiligingsmaatregelen ter bescherming van de persoonsgegevens.

Organisatorische maatregelen

  • Periodieke monitoring, evaluatie en beoordeling van de effectiviteit van de organisatorische en technische maatregelen.
  • Procedure voor naleving van bewaartermijnen en verwijdering conform afspraken/instructies.
  • Geheimhoudingsverplichtingen voor medewerkers (contractueel en/of via intern beleid).
  • Bewustwording en training van medewerkers op het gebied van informatiebeveiliging en privacy.

Technische maatregelen

  • Fysieke en netwerkbeveiliging: gesloten serverruimtes, netwerksegmentatie, firewalls, hardening.
  • Versleuteling en beveiligde overdracht: TLS/STARTTLS (waar van toepassing), versleuteling “in transit”.
  • E-mailbeveiliging: anti-spam/anti-virus, rate-limiting, DMARC/DKIM/SPF (waar van toepassing).
  • DNS-beveiliging: DNSSEC (waar mogelijk).
  • Logging en monitoring: toegangslogging, monitoring/alerting, SIEM/IDS (waar passend), tijdsynchronisatie.
  • Toegangsbeveiliging: MFA, least-privilege (waar mogelijk), jump-host/bastion.
  • Back-up/continuïteit: gescheiden opslag, integriteitschecks.
  • Malware/abuse: endpoint-/malwarescans, quarantaines, gecontroleerde toegang tot samples/logging.
Stuur een bericht

Stuur een bericht

Vul het onderstaande formulier in en wij zullen zo spoedig mogelijk contact met je opnemen.