Wij verwerken, jij bent verantwoordelijk
Deze verwerkersovereenkomst (Data Processing Agreement / DPA) is een aanvulling op onze algemene voorwaarden en regelt hoe inktboek persoonsgegevens van jouw klanten verwerkt namens jou.
1. Rolverdeling
Voor de gegevens van jouw klanten (eindklanten van de tattoo studio) ben jij (de studio) de verwerkingsverantwoordelijke in de zin van de AVG. inktboek is de verwerker: wij verwerken die gegevens uitsluitend in opdracht van jou en volgens deze overeenkomst.
Voor je eigen account gegevens (jouw studio naam, jouw artiest profielen, jouw login) zijn wij de verantwoordelijke. Daarvoor geldt het privacy statement.
2. Wat we verwerken
| Categorie | Voorbeelden |
|---|---|
| Identificerend | Naam, e-mail, telefoon |
| Intake / aanvraag | Beschrijving, gewenste lichaamszone, grootte, kleur, budget |
| Medisch (bijzondere categorie) | Allergieën, medicijngebruik, eerste tattoo ja/nee |
| Beeldmateriaal | Door klant geüploade referentie foto’s, healed photos |
| Communicatie | Chat berichten tussen klant en artiest |
| Financieel | Aanbetalings bedrag, status, transactie IDs (kaart-/banknummer staat bij Stripe) |
| Audit | Tijdstempels van booking creatie, status veranderingen, betalingen |
| Inkt en compliance (NEN-EN 17169) | Per sessie geregistreerde inkten (merk, productnaam, kleurcode, batchnummer, vervaldatum, REACH-conformiteit) en het gegenereerde inktpaspoort als PDF, gekoppeld aan klant en sessie |
3. Voor wie en hoe lang
- Klanten van studio’s die inktboek gebruiken
- Bewaartermijn: zoals beschreven in het privacy statement (account data tot opzegging + 30d, klant data 7 jaar fiscaal)
- Op verzoek van jou (de studio) verwijderen we klant data eerder, voor zover wettelijke bewaarplicht dat toelaat
4. Subverwerkers
Voor de uitvoering schakelen we de volgende subverwerkers in. Deze lijst is bijgewerkt op 2 mei 2026. Wezenlijke wijzigingen melden we minimaal 30 dagen vooraf zodat je bezwaar kunt maken.
| Subverwerker | Functie | Locatie |
|---|---|---|
| Stripe Payments Europe Ltd. | Onze partner in betalingen: verwerking van aanbetalingen, geld gaat direct naar de artiest | EU (Ierland) |
| Strato AG | Hosting van app server, database en S3-bestandsopslag (intake-foto’s, project-files, healed photos en NEN-EN 17169 inktpaspoort PDF's) | Duitsland (EU) |
Voor het versturen van bevestigingen, herinneringen en inloglinks draaien wij onze eigen mailserver bij Strato. Er zit geen externe mail dienst tussen ons en de ontvanger.
Aanvullende, één malige technische dienstverleners (bijv. monitoring) gebruiken we alleen als ze geen toegang krijgen tot persoonsgegevens.
5. Onze verplichtingen als verwerker
- We verwerken persoonsgegevens uitsluitend in opdracht van jou en volgens deze overeenkomst.
- We treffen passende technische en organisatorische maatregelen (zie sectie 7).
- We helpen je bij het beantwoorden van inzage-, rectificatie- en verwijderingsverzoeken van betrokkenen.
- We informeren je onverwijld bij een datalek waarbij gegevens van jouw klanten zijn betrokken. Uiterlijk binnen 24 uur na ontdekking.
- We helpen je bij meldingen aan de Autoriteit Persoonsgegevens en betrokkenen waar wettelijk vereist.
- Na opzegging verwijderen we de gegevens binnen 30 dagen, behalve waar wettelijke bewaarplicht anders bepaalt.
6. Jouw verplichtingen als verantwoordelijke
- Je informeert je klanten over hun privacy rechten en hoe jij hun gegevens verwerkt. Bijvoorbeeld via een privacy pagina op je eigen website.
- Je gebruikt inktboek alleen voor doeleinden waar je een geldige rechtsgrond voor hebt (uitvoering van de overeenkomst tot tattoo werk, of toestemming).
- Je geeft ons opdrachten via de inktboek applicatie zelf (bijv. een verwijderverzoek voor een specifieke klant). Voor afwijkende opdrachten: schriftelijk per e-mail.
7. Beveiligingsmaatregelen
- Verkeer tussen browser en inktboek loopt versleuteld over HTTPS
- Wachtwoorden worden versleuteld opgeslagen, niemand bij ons kan ze inzien
- Inloggen werkt via een veilige sessiecookie
- Misbruikbeperking op login en API aanroepen
- Betalingen via Stripe worden geverifieerd voordat we de status updaten
- Dagelijkse database back-ups, versleuteld opgeslagen, 30 dagen bewaard
- Toegang tot servers strikt afgeschermd, geen wachtwoord logins
- Logs van inlog- en betaalmomenten worden 30 dagen bewaard
8. Audit recht
Je mag eenmaal per jaar een audit (uit)laten voeren naar onze naleving van deze overeenkomst, mits met 30 dagen aankondiging en op je eigen kosten. We werken redelijk mee. Als alternatief verstrekken wij desgevraagd kopieën van relevante certificeringen of audit rapporten.
9. Aansprakelijkheid
De aansprakelijkheidsbeperking uit de algemene voorwaarden geldt ook voor deze DPA, behalve waar dwingend recht (zoals de AVG voor specifieke boetes) anders bepaalt.
10. Looptijd en beëindiging
Deze DPA loopt zolang je een actief inktboek account hebt. Bij beëindiging van je abonnement eindigt deze DPA automatisch. Onze verplichtingen voor data export en -verwijdering blijven van kracht volgens sectie 5.
Vragen of een aangepaste DPA nodig voor jouw situatie? Mail privacy@inktboek.nl. Voor grotere studio’s of ketens kunnen we een ondertekend papier-exemplaar leveren.