Verwerkersovereenkomst (DPA)

1. Partijen

Deze verwerkersovereenkomst (Data Processing Agreement, DPA) is van toepassing tussen:

• Verwerkingsverantwoordelijke: de salon (beauty salon of vergelijkbare onderneming) die StayClient gebruikt
• Verwerker: StayClient, die persoonsgegevens van eindklanten verwerkt ten behoeve van het platform

Door gebruik van StayClient voor klantbeheer gaat de salon akkoord met deze DPA als aanvulling op de algemene voorwaarden.

2. Onderwerp en duur

StayClient verwerkt persoonsgegevens van eindklanten uitsluitend om:

• Loyaliteitsprogramma's (punten, beloningen, transacties) te beheren
• De branded klanten-app te leveren
• Abonnementen en betalingen via Stripe Connect te faciliteren (waar geconfigureerd)
• Communicatie (e-mail, push) te versturen namens de salon
• AVG-rechten (export, verwijdering) technisch mogelijk te maken

De verwerking duurt zolang de salon een actief account heeft, plus de bewaartermijnen in artikel 8.

3. Instructies van de salon

StayClient verwerkt gegevens alleen op gedocumenteerde instructies van de salon via het dashboard en de functionaliteit van het platform. De salon is verantwoordelijk voor rechtmatige grondslag, transparantie naar eindklanten en privacyverklaringen van de salon.

4. Vertrouwelijkheid

StayClient en medewerkers/onderaannemers die toegang hebben tot persoonsgegevens zijn gebonden aan geheimhouding.

5. Beveiliging (artikel 32 AVG)

StayClient treft passende technische en organisatorische maatregelen, waaronder:

• Versleutelde verbindingen (HTTPS/TLS)
• Toegangsbeheer op basis van rollen (eigenaar, medewerker, admin)
• Wachtwoord-hashing en sessiebeveiliging
• Audit logging van relevante mutaties
• Regelmatige back-ups en herstelprocedures
• Beperkte toegang tot productiesystemen

Details staan op onze pagina Beveiliging.

6. Sub-verwerkers

De salon machtigt StayClient om onderstaande categorieën sub-verwerkers in te zetten. StayClient informeert bij wijzigingen van sub-verwerkers via dit document of het dashboard.

• Cloudhosting en database
• Stripe (betalingen)
• E-mailverzending (transactioneel)
• Web Push-infrastructuur (indien gebruikt)

StayClient sluit met sub-verwerkers afspraken af die ten minste artikel 28 AVG-niveau bieden.

7. Rechten van betrokkenen

StayClient ondersteunt de salon bij het afhandelen van verzoeken van eindklanten (inzage, rectificatie, verwijdering, export) via de klanten-app en dashboard. De salon blijft eerste aanspreekpunt voor eindklanten.

8. Datalekken

Bij een inbreuk in verband met persoonsgegevens meldt StayClient de salon zonder onredelijke vertraging nadat wij op de hoogte zijn, met informatie om de salon in staat te stellen melding aan de AP te doen indien vereist.

9. Bewaartermijn en verwijdering

Na beëindiging van het salon-account verwijdert of anonimiseert StayClient eindklantgegevens binnen 90 dagen, tenzij de salon eerder export/verwijdering uitvoert of wettelijke bewaarplicht van toepassing is.

De salon kan te allen tijde export en verwijdering per klant initiëren via het dashboard.

10. Audits en informatie

StayClient verstrekt op redelijk verzoek informatie die nodig is om naleving van artikel 28 AVG aan te tonen, bijvoorbeeld via beschikbare documentatie of een vragenlijst. Fysieke audits vinden plaats onder redelijke voorwaarden en met inachtneming van vertrouwelijkheid van andere klanten.

11. Internationale doorgifte

Indien sub-verwerkers gegevens buiten de EER verwerken, zorgt StayClient voor passende waarborgen conform de AVG.

12. Aansprakelijkheid

Aansprakelijkheid tussen partijen volgt de algemene voorwaarden, met inachtneming van dwingend recht onder de AVG.

13. Contact

Vragen over deze DPA: gebruik het contactformulier of het e-mailadres in de footer. Zie ook het privacybeleid van StayClient.