# Verwerkersovereenkomst — Speelvriendje

**Versie 1.0 — Mei 2026**
**Pilot-versie. Voor productie-uitrol gevalideerd door externe AVG-jurist.**

---

## Partijen

**Verwerkingsverantwoordelijke** (hierna: "School"):
- Naam school: ____________________________________________
- Adres: __________________________________________________
- KvK-nummer / BRIN-nummer: _______________________________
- Vertegenwoordigd door: __________________________________
- Functie: ________________________________________________
- E-mail: _________________________________________________

**Verwerker** (hierna: "Speelvriendje"):
- Naam: Speelvriendje (handelsnaam, ondernemingsvorm wordt vóór productie-uitrol vastgelegd)
- Functioneel verantwoordelijke: Thiery Ketz
- E-mail: thiery.ketz@nowonline.com
- Webadres: https://www.speelvriendje.nl

---

## Considerans

A. School wenst gebruik te maken van de SaaS-applicatie Speelvriendje voor het faciliteren van ouder-bevestigde speelafspraken tussen klasgenoten.

B. Bij dit gebruik worden persoonsgegevens van leerlingen, hun ouders/voogden, en leerkrachten verwerkt door Speelvriendje namens de School.

C. Op grond van Artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) zijn partijen verplicht hun afspraken over deze verwerking schriftelijk vast te leggen.

D. Deze overeenkomst maakt onlosmakelijk deel uit van de hoofdovereenkomst (pilot-overeenkomst of dienstverleningsovereenkomst) tussen partijen.

---

## 1. Onderwerp en duur

### 1.1 Onderwerp
Speelvriendje verwerkt persoonsgegevens uitsluitend ten behoeve van School en uitsluitend voor het faciliteren van speelafspraken tussen leerlingen volgens de in Bijlage A omschreven processen.

### 1.2 Duur
Deze overeenkomst gaat in op de datum van ondertekening en eindigt zodra de hoofdovereenkomst eindigt. Verplichtingen die naar hun aard voortduren (vertrouwelijkheid, datalek-meldplicht over historische verwerkingen) blijven van kracht.

### 1.3 Beëindiging
Beide partijen kunnen deze overeenkomst beëindigen met een opzegtermijn van 30 dagen. Bij ernstige tekortkoming door één partij kan de andere partij per direct opzeggen, na schriftelijke ingebrekestelling met een redelijke termijn voor herstel.

---

## 2. Aard, doel en categorieën

### 2.1 Aard van de verwerking
Verzamelen, vastleggen, opslaan, raadplegen, gebruiken, verstrekken (door middel van toezenden, verspreiden of anderszins ter beschikking stellen aan andere partijen die expliciet toestemming hebben), wijzigen, vernietigen.

### 2.2 Doel van de verwerking
Uitsluitend: het faciliteren van veilige, ouder-bevestigde speelafspraken tussen klasgenoten en aanverwante administratieve handelingen (account-beheer, communicatie over de dienst).

### 2.3 Categorieën persoonsgegevens
Zoals gespecificeerd in Bijlage A, hoofdstuk "Categorieën persoonsgegevens".

### 2.4 Categorieën betrokkenen
- Leerlingen van School die zijn aangemeld door hun ouder/voogd
- Ouders en voogden van die leerlingen
- Leerkrachten van School die door de Schoolbeheerder zijn aangemeld
- Schoolbeheerders aangewezen door School

---

## 3. Verplichtingen Speelvriendje als verwerker

Speelvriendje verbindt zich:

### 3.1 Verwerkt uitsluitend op gedocumenteerde instructie
Speelvriendje verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van School, behalve wanneer wettelijk anders verplicht. Bij wettelijke verplichting wordt School hierover geïnformeerd, tenzij de wet dat verbiedt.

### 3.2 Vertrouwelijkheid
Personen die toegang hebben tot persoonsgegevens zijn gebonden aan vertrouwelijkheid (contractueel of wettelijk).

### 3.3 Beveiliging (Art. 32 AVG)
Speelvriendje treft passende technische en organisatorische maatregelen, waaronder ten minste:

| Maatregel | Beschrijving |
|---|---|
| Versleuteling onderweg | TLS 1.3 voor alle verbindingen |
| Versleuteling at rest | Database en bestandsopslag versleuteld via sub-verwerker (Supabase) |
| Toegevoegde encryptie | Telefoonnummers AES-256-GCM versleuteld op applicatie-niveau |
| Toegangscontrole | Row Level Security op database-niveau; magic-link authenticatie zonder wachtwoorden |
| Logging | Audit log van alle gevoelige acties, 24 maanden bewaard |
| Back-up | Automatische dagelijkse back-up; geografisch gescheiden binnen EU |
| Incident response | Datalek-detectie en -procedure, zoals beschreven in §6 |

Een actuele en uitgebreidere lijst staat in de Data Protection Impact Assessment (DPIA), beschikbaar via /public/legal/dpia-speelvriendje.md. School kan inzage in actuele audit-logs en certificeringen op verzoek krijgen.

### 3.4 Sub-verwerkers (Art. 28 lid 2 en 4 AVG)
Speelvriendje maakt gebruik van de in Bijlage B genoemde sub-verwerkers. School geeft hierbij algemene voorafgaande toestemming voor deze sub-verwerkers.

Speelvriendje informeert School minimaal **30 dagen** vooraf over het toevoegen of vervangen van een sub-verwerker. School heeft het recht om **bezwaar** te maken tegen de wijziging. Bij gegrond bezwaar zoekt Speelvriendje een alternatief; lukt dat niet, dan kan School de overeenkomst kosteloos opzeggen.

Speelvriendje sluit met elke sub-verwerker een schriftelijke overeenkomst die vergelijkbare verplichtingen bevat als deze overeenkomst.

### 3.5 Bijstand bij betrokkenen-rechten (Art. 28 lid 3 sub e AVG)
Speelvriendje verleent School ondersteuning bij het beantwoorden van verzoeken van betrokkenen tot:

- Inzage (Art. 15)
- Rectificatie (Art. 16)
- Verwijdering (Art. 17)
- Beperking (Art. 18)
- Overdraagbaarheid (Art. 20)
- Bezwaar (Art. 21)

Reactietijd Speelvriendje na ontvangst van verzoek: **maximaal 5 werkdagen**, zodat School binnen de wettelijke termijn van 30 dagen kan antwoorden.

### 3.6 Bijstand bij beveiligingsverplichtingen
Speelvriendje verleent School redelijke ondersteuning bij:

- Het uitvoeren van een DPIA (Art. 35 AVG) — een actuele DPIA is beschikbaar
- Voorafgaande raadpleging van de toezichthouder (Art. 36 AVG)
- Implementeren van passende beveiligingsmaatregelen (Art. 32 AVG)

### 3.7 Datalekken (Art. 33–34 AVG)
Bij vermoeden of constatering van een datalek:

- **Binnen 24 uur** informeert Speelvriendje School schriftelijk, ook bij twijfel of er sprake is van een datalek
- Speelvriendje verstrekt alle informatie die School nodig heeft voor de wettelijke meldplicht
- Speelvriendje voert binnen **14 dagen** een post-incident analyse uit en deelt deze
- Indien Speelvriendje en School er niet uitkomen wie aan de Autoriteit Persoonsgegevens moet melden: School beslist (zij is verwerkingsverantwoordelijke)

### 3.8 Verwijdering of teruggave (Art. 28 lid 3 sub g AVG)
Bij beëindiging van deze overeenkomst:

1. School kiest of Speelvriendje de persoonsgegevens **terugstuurt** of **vernietigt**
2. Bij voorkeur teruggave: Speelvriendje levert binnen **30 dagen** een complete export aan in machine-leesbaar formaat (JSON/CSV)
3. Bij vernietiging: Speelvriendje vernietigt alle persoonsgegevens binnen **30 dagen** na beëindiging, inclusief back-ups (back-ups uiterlijk binnen **90 dagen** vanwege technische rotatie-cycli)
4. Speelvriendje verstrekt een **verklaring van vernietiging** ondertekend door functioneel verantwoordelijke
5. Audit-logs blijven bewaard tot het einde van de wettelijke bewaartermijn (24 maanden), maar zijn na 30 dagen niet meer terug te leiden naar individuele betrokkenen (geanonimiseerd)

### 3.9 Auditrecht (Art. 28 lid 3 sub h AVG)
School heeft het recht om jaarlijks (of vaker bij gegrond vermoeden van non-compliance) een audit uit te voeren of te laten uitvoeren door een onafhankelijke derde. Speelvriendje verleent redelijke medewerking.

Voorwaarden:
- Audit aangekondigd minimaal 14 dagen vooraf
- Auditor onderworpen aan vertrouwelijkheid
- Kosten voor School, behalve als de audit ernstige tekortkomingen aantoont
- Speelvriendje kan in plaats van een audit een **recente onafhankelijke verklaring** (SOC 2 / ISO 27001 / NEN 7510) overleggen — voor pilot-versie nog niet aanwezig

### 3.10 Geen doorgifte buiten EU
Speelvriendje en haar sub-verwerkers verwerken alle persoonsgegevens **binnen de Europese Economische Ruimte (EER)**. Bij eventuele toekomstige doorgifte buiten de EER zijn passende waarborgen (Art. 46 AVG, Standard Contractual Clauses) verplicht, en wordt School vooraf geïnformeerd met opzeggingsrecht.

---

## 4. Verplichtingen School als verwerkingsverantwoordelijke

### 4.1 Rechtmatigheid
School waarborgt dat de aanlevering van persoonsgegevens aan Speelvriendje een geldige rechtsgrond heeft (toestemming ouders, gerechtvaardigd belang, of andere) en dat ouders adequaat zijn geïnformeerd over de verwerking.

### 4.2 Eigen privacy-verklaring
School verwerkt deze verwerking in haar eigen privacyverklaring richting ouders en leerlingen, met verwijzing naar Speelvriendje als verwerker en naar de Speelvriendje-privacyverklaring (https://www.speelvriendje.nl/privacy).

### 4.3 Beheer van toegang
School wijst de Schoolbeheerder aan en is verantwoordelijk voor het up-to-date houden van leerkracht-uitnodigingen en klas-koppelingen via de schoolbeheer-omgeving.

### 4.4 Geen bovenwettelijke verzoeken
School verstrekt geen instructies aan Speelvriendje die in strijd zijn met de AVG of andere toepasselijke wetgeving.

---

## 5. Aansprakelijkheid

### 5.1 Onderlinge verdeling
Beide partijen zijn aansprakelijk voor schade die voortvloeit uit een toerekenbare tekortkoming in hun eigen verplichtingen onder de AVG of deze overeenkomst.

### 5.2 Boetes en claims
Bestuurlijke boetes opgelegd door de Autoriteit Persoonsgegevens of schadeclaims van betrokkenen worden gedragen door de partij die voor de overtreding verantwoordelijk is. Bij gedeelde verantwoordelijkheid: naar evenredigheid.

### 5.3 Beperking
Voor de pilot-fase is de aansprakelijkheid van Speelvriendje per gebeurtenis beperkt tot **€10.000**, en in totaal tot **€25.000 per kalenderjaar**, met uitzondering van opzet of bewuste roekeloosheid. Voor productie-uitrol worden deze limieten heroverwogen op basis van vergoeding en risicoprofiel.

---

## 6. Geheimhouding

Beide partijen behandelen alle informatie die zij in het kader van deze overeenkomst over de andere partij verkrijgen vertrouwelijk. Deze verplichting blijft voortduren na beëindiging.

---

## 7. Slotbepalingen

### 7.1 Volledigheid
Deze overeenkomst en haar bijlagen vormen de volledige overeenkomst tussen partijen ten aanzien van de verwerking van persoonsgegevens.

### 7.2 Wijzigingen
Wijzigingen kunnen slechts schriftelijk worden overeengekomen door beide partijen. Niet-substantiële wijzigingen aan Bijlagen A en B kunnen door Speelvriendje worden voorgesteld; School heeft 30 dagen om bezwaar te maken, anders gelden ze als aanvaard.

### 7.3 Geschillen
Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden bij voorkeur in onderling overleg opgelost; lukt dit niet, dan zijn de rechtbanken van het arrondissement waar School is gevestigd bevoegd.

### 7.4 Nietigheid
Indien een bepaling van deze overeenkomst nietig of vernietigbaar blijkt, blijven de overige bepalingen volledig van kracht.

---

## Ondertekening

| **Voor School** | **Voor Speelvriendje** |
|---|---|
| Naam: ___________________________ | Naam: Thiery Ketz |
| Functie: _________________________ | Functie: Functioneel verantwoordelijke |
| Datum: __________________________ | Datum: __________________________ |
| Handtekening: ___________________ | Handtekening: ___________________ |

---

# Bijlage A — Specificatie van de verwerking

## Categorieën persoonsgegevens

| Categorie | Gegeven | Verplicht? | Bewaartermijn |
|---|---|---|---|
| Leerling | Voornaam | Ja | Tot uitstroom uit klas |
| Leerling | Klas-koppeling | Ja | Tot uitstroom |
| Leerling | Foto | Optioneel | Door ouder ingesteld |
| Ouder | Volledige naam | Ja | Tot accountverwijdering |
| Ouder | E-mailadres | Ja | Tot accountverwijdering |
| Ouder | Telefoonnummer (encrypted) | Optioneel | Tot accountverwijdering |
| Ouder | Relatie tot leerling | Ja | Tot accountverwijdering |
| Leerkracht | Volledige naam | Ja | Tot uitschrijving |
| Leerkracht | E-mailadres | Ja | Tot uitschrijving |
| Schoolbeheerder | Volledige naam | Ja | Tot uitschrijving |
| Schoolbeheerder | E-mailadres | Ja | Tot uitschrijving |
| Afspraak | Datum, tijd, deelnemers | Ja | 90 dagen na afspraak |
| Audit | Wie deed wat wanneer | Ja | 24 maanden |

**Niet verwerkt:** achternamen leerlingen, adressen, geboortedata, schoolresultaten, medische gegevens, locatiegegevens, biometrie, gedragsdata van kinderen.

## Doelen

1. Faciliteren van speelafspraken tussen klasgenoten met dubbele ouder-bevestiging
2. Communicatie over uitnodigingen, bevestigingen en logistieke afstemming
3. Inzicht voor leerkracht in welke leerling met welke ouder na schooltijd meegaat
4. Account-administratie en authenticatie

---

# Bijlage B — Sub-verwerkers

| Naam | Functie | Locatie verwerking | DPA aanwezig | EU-conform |
|---|---|---|---|---|
| Supabase Inc. | Database, authenticatie, bestandsopslag | Ierland (eu-west-1) | Ja | Ja |
| Vercel Inc. | Applicatiehosting, edge-functies | EU (Frankfurt/Amsterdam) | Ja | Ja |
| Brevo (Sendinblue SAS) | Transactie-mails (welkomst, bevestigingen) | Frankrijk | Ja | Ja |
| Plausible Insights OÜ | Anonieme statistieken publieke pagina's (geen persoonsgegevens) | Estland (servers Duitsland) | Ja | Ja |

Geen sub-verwerkers buiten de EER. Geen US data-transfers.

---

# Bijlage C — Beveiligingsmaatregelen (samenvatting)

Een actuele en uitgebreidere lijst staat in de DPIA (https://www.speelvriendje.nl/legal/dpia-speelvriendje.md). Kerncomponenten:

**Technisch**
- TLS 1.3, AES-256 at rest, AES-256-GCM voor telefoonnummers (apart sleutelbeheer)
- Row Level Security op database-niveau
- Magic-link authenticatie zonder wachtwoorden
- Signed URLs voor foto's (5 min geldig)
- Audit log van gevoelige acties
- Automatische data-vernietiging na bewaartermijn

**Organisatorisch**
- DPIA en deze DPA up-to-date gehouden
- Sub-verwerker-management met EU-only beleid
- Datalek-procedure met 24u-meldtermijn aan school
- Privacy by design op nieuwe features
- Toegangsbeperking productie-omgeving (single-operator audit)

---

*Versiehistorie: 1.0 (mei 2026) — pilot-versie, gebaseerd op standaardmodellen Autoriteit Persoonsgegevens en EDPB-richtsnoeren.*