Verwerkersovereenkomst (DPA)
Laatste wijziging: juni 2026
Deze Verwerkersovereenkomst (“DPA”) maakt onderdeel uit van de overeenkomst tussen Fectra (“Verwerker”) en de Gebruiker (“Verwerkingsverantwoordelijke”). Zij is van toepassing op alle verwerking van persoonsgegevens die Fectra namens de Gebruiker uitvoert in het kader van de geleverde diensten.
Door gebruik te maken van het Fectra-platform gaat de Gebruiker akkoord met deze DPA.
1. Rollen en verantwoordelijkheden
De Gebruiker (salon, kliniek of verwante onderneming) is de Verwerkingsverantwoordelijke: zij bepalen het doel en de middelen van de verwerking van persoonsgegevens van hun eindklanten.
Fectra is de Verwerker: zij verwerkt persoonsgegevens uitsluitend op instructie van de Verwerkingsverantwoordelijke en in overeenstemming met deze DPA.
2. Aard en doel van de verwerking
Fectra verwerkt persoonsgegevens ten behoeve van:
- Het afhandelen van klantcommunicatie via AI (webchat, WhatsApp)
- Afsprakenbeheer en -planning
- Digitale toestemmingsformulieren en handtekeningen
- Lead- en klantbeheer
- Beveiliging en fraudepreventie
3. Categorieën betrokkenen en persoonsgegevens
De verwerking heeft betrekking op de volgende categorieën betrokkenen:
- Eindklanten — klanten van de Verwerkingsverantwoordelijke die contact opnemen via webchat, WhatsApp of andere kanalen
- Prospects — personen die interesse tonen maar nog geen afspraak hebben gemaakt
- Medewerkers van de Verwerkingsverantwoordelijke — voor zover zij toegang hebben tot het platform
In het kader van de dienstverlening worden de volgende categorieën persoonsgegevens verwerkt:
- Naam, e-mailadres, telefoonnummer
- Afspraakgegevens
- Conversatiegeschiedenis
- Toestemmingsgegevens en digitale handtekeningen
- IP-adressen voor spamdetectie, rate limiting en misbruikpreventie (maximaal 24 uur); IP-adressen die onderdeel uitmaken van een digitaal ondertekend toestemmingsformulier worden bewaard overeenkomstig de bewaartermijn van het betreffende consentrecord
Bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens) worden uitsluitend verwerkt indien de Verwerkingsverantwoordelijke dit uitdrukkelijk configureert en daarvoor een geldige verwerkingsgrondslag heeft.
4. Verplichtingen van Fectra als Verwerker
Fectra verbindt zich:
- Persoonsgegevens uitsluitend te verwerken op gedocumenteerde instructie van de Verwerkingsverantwoordelijke;
- Passende technische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens;
- Medewerkers die toegang hebben tot persoonsgegevens te binden aan vertrouwelijkheid;
- De Verwerkingsverantwoordelijke onverwijld te informeren nadat Fectra kennis heeft genomen van een inbreuk in verband met persoonsgegevens, zodat de Verwerkingsverantwoordelijke kan voldoen aan haar eigen meldplicht jegens de toezichthouder (Autoriteit Persoonsgegevens) binnen de wettelijke termijn van 72 uur;
- De Verwerkingsverantwoordelijke te ondersteunen bij het voldoen aan verzoeken van betrokkenen;
- Na beëindiging van de dienstverlening persoonsgegevens terug te leveren of te vernietigen, naar keuze van de Verwerkingsverantwoordelijke.
5. Sub-verwerkers
Fectra maakt gebruik van de volgende sub-verwerkers. Door akkoord te gaan met deze DPA geeft de Verwerkingsverantwoordelijke algemene toestemming voor het gebruik van deze sub-verwerkers:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| OpenAI | AI-gespreksverwerking (conversaties worden niet gebruikt voor modeltraining) | VS (SCCs) |
| Supabase | Databaseopslag | EU |
| Stripe | Betalingsverwerking | EU/VS (SCCs) |
| Meta (WhatsApp Business API) | Berichtafhandeling | VS (SCCs) |
| Vercel | Hosting | EU/VS (SCCs) |
| Resend | Transactionele e-mail | VS (SCCs) |
Fectra informeert de Verwerkingsverantwoordelijke over wijzigingen in de lijst van sub-verwerkers. De Verwerkingsverantwoordelijke kan hiertegen binnen 14 dagen na kennisgeving schriftelijk bezwaar maken.
Bij activering van voice-functionaliteiten kunnen aanvullende sub-verwerkers (zoals Vapi, Deepgram of ElevenLabs) worden toegevoegd. Dit wordt vooraf gecommuniceerd.
6. Internationale doorgifte
Doorgifte van persoonsgegevens buiten de EER vindt uitsluitend plaats op basis van passende waarborgen conform Hoofdstuk V AVG (Standard Contractual Clauses of adequaatheidsbesluit).
7. Beveiliging
Fectra treft onder meer de volgende maatregelen:
- Versleuteling van gegevens in transit (TLS) en at rest
- Toegangscontrole op rolbasis (tenant-isolatie)
- Logging en monitoring
- Regelmatige back-ups
- Tenant-isolatie op applicatie- en databaseniveau (row-level security)
8. Medische en behandelingsspecifieke gegevens
Het platform faciliteert digitale toestemmingsformulieren. De inhoud van medische of behandelingsspecifieke toestemmingsdocumenten blijft de verantwoordelijkheid van de Verwerkingsverantwoordelijke. Fectra treedt op als technische verwerker en is niet verantwoordelijk voor de juridische adequaatheid van de toestemmingsteksten.
9. Audits en inspectie
De Verwerkingsverantwoordelijke heeft het recht om, maximaal eenmaal per jaar en na voorafgaande schriftelijke kennisgeving van minimaal 14 dagen, een audit uit te voeren of te laten uitvoeren. Fectra werkt hieraan mee.
10. Looptijd en beëindiging
Deze DPA is van kracht zolang Fectra persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke. Bij beëindiging van de overeenkomst vernietigt of retourneert Fectra alle persoonsgegevens binnen 30 dagen, tenzij wettelijke bewaarplichten van toepassing zijn.
11. Toepasselijk recht
Op deze DPA is Nederlands recht van toepassing. Bij conflicten tussen deze DPA en de Algemene Voorwaarden prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.
12. Contact
Vragen over deze DPA? Neem contact op via info@fectra.nl.