WeppasWeppas

Verwerkersovereenkomst

Versie 1.1 · ingaand per 2026-06-16

Hieronder de tekst van de verwerkersovereenkomst (AVG art. 28) die klanten van Weppas Control & Chill digitaal accepteren bij eerste login. Dit is een leesversie. De juridisch bindende versie is de versie die de klant heeft geaccepteerd in cockpit; daar wordt versie, IP en timestamp van de acceptatie in een audit-trail bewaard.

Verwerkersovereenkomst

Versie 1.1 · ingaand per 2026-06-16

Deze digitale verwerkersovereenkomst regelt de verwerking van persoonsgegevens tussen jou (de verwerkingsverantwoordelijke) en Weppas — Pascal van den Akker, KvK 90921445 (de verwerker) — wanneer je gebruikmaakt van Weppas Cockpit.

1. Doel en verwerking

Weppas Control & Chill slaat persoonsgegevens van jouw cliënten en bezoekers (naam, e-mail, telefoon, eventueel gezondheids- of welzijnsgerelateerde gegevens) op in een Postgres-database bij Neon (EU-region). De verwerking heeft als doel: je te ondersteunen bij administratie, communicatie en compliance binnen jouw onderneming.

Tot de verwerking behoort de module Klantgeheugen: interne werkaantekeningen die jij per cliënt vastlegt. Deze aantekeningen worden versleuteld opgeslagen (zie §2) en zijn uitsluitend voor jou zichtbaar — nooit voor de cliënt. Het zijn werkaantekeningen, geen medisch dossier: leg er geen formele diagnoses of behandelplannen in vast. Bevatten ze gezondheidsgegevens, dan zijn dat bijzondere persoonsgegevens (AVG art. 9) en ben jij verantwoordelijk voor een geldige grondslag (doorgaans de uitvoering van je dienst of toestemming van de cliënt).

2. Beveiliging (art. 32 AVG)

  • Gevoelige cliëntgegevens (waaronder de Klantgeheugen-aantekeningen en opgeslagen toegangssleutels) worden versleuteld opgeslagen met AES-256-GCM. De encryptiesleutel wordt los van de database bewaard (alleen op de server, niet in de database zelf).
  • Toegang tot Weppas Control & Chill vereist een wachtwoord plus tweestaps- verificatie (2FA).
  • Elke read, write, export of verwijdering van cliëntdossiers wordt geregistreerd in een audit-log (datum, gebruiker, IP, reden).
  • Geen geautomatiseerde uitgaande communicatie zonder expliciete knop-druk door jou.

3. Sub-verwerkers

Weppas Control & Chill maakt gebruik van de volgende sub-verwerkers:

  • Vercel Inc. (US) — hosting van de webapplicatie
  • Neon Inc. (EU-region) — Postgres-database
  • Anthropic (US) — AI-assistent (alleen op jouw verzoek; geen cliëntgegevens worden verzonden zonder jouw expliciete actie)
  • Mollie (NL) — betalingsverwerking (alleen bij gebruik van facturatie- module)
  • Meta (US) — social-media-publicatie (alleen bij gebruik van social- module)
  • Higgsfield (US) — AI-beeld/video voor social (alleen bij gebruik van de social-module; er worden geen cliëntgegevens naartoe gestuurd)
  • E-mailprovider (Titan / Google, afhankelijk van je configuratie) — voor het versturen van bevestigingen, facturen en nieuwsbrieven die je zelf verstuurt

4. Toegang door Weppas-medewerkers

Standaard heeft Pascal (Weppas) geen toegang tot jouw cliëntdossiers. Voor support-doeleinden kan Pascal een meekijk-verzoek sturen dat jij expliciet moet accepteren. Tijdens een meekijk-sessie zie jij een banner "Pascal kijkt mee tot HH:MM" en kun je de sessie elk moment beëindigen.

5. Bewaartermijnen

  • Medische/holistische dossiers: 5 jaar (conform WGBO art. 7:454 BW)
  • Sessies / overige cliëntcontact: 2 jaar
  • Boekhouding / facturen: 7 jaar (fiscale bewaarplicht)
  • Audit-logs: 1 jaar (security-verplichting AVG art. 32)

Je kunt cliëntgegevens op verzoek eerder verwijderen via de "Verzoek tot vergetelheid"-knop, met respect voor wettelijke bewaarplicht.

6. Rechten van betrokkenen

Cliënten van wie je gegevens verwerkt hebben recht op:

  • Inzage (AVG art. 15) — via de "AVG-export"-knop in cockpit
  • Vergetelheid (AVG art. 17) — via de "Verzoek tot vergetelheid"-knop
  • Dataportabiliteit (AVG art. 20) — via dezelfde export-knop (JSON-format)

7. Datalekken

Bij een datalek meldt Weppas jou dit binnen 24 uur na ontdekking via de contactgegevens die je in cockpit hebt geregistreerd. Jij bent verantwoordelijk voor melding aan de Autoriteit Persoonsgegevens binnen 72 uur en — indien van toepassing — aan de betrokken cliënten.

8. Beëindiging

Bij beëindiging van het abonnement:

  • Je krijgt 30 dagen toegang om alle data te exporteren
  • Daarna wordt alle cliëntdata definitief verwijderd binnen 60 dagen
  • Audit-logs worden bewaard tot 1 jaar na beëindiging voor juridische verantwoording, daarna verwijderd

9. Aansprakelijkheid

Weppas is aansprakelijk voor schade veroorzaakt door schending van deze overeenkomst tot maximaal het bedrag van het door jou betaalde abonnement over de afgelopen 12 maanden. Deze beperking geldt niet bij opzet of grove nalatigheid.

10. Toepasselijk recht

Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden in eerste instantie opgelost in goed overleg; bij geen oplossing voorgelegd aan de rechtbank Oost-Brabant.


Door op "Akkoord" te klikken bevestig je dat je deze overeenkomst hebt gelezen, begrepen en geaccepteerd. Je krijgt een kopie per e-mail of via download in de cockpit-instellingen.