📌 Juridische voorrang: dit document is een hoffelijke vertaling van het Italiaanse origineel. In geval van discrepantie tussen deze vertaling en de Italiaanse versie,
prevaleert de Italiaanse versie als juridisch bindend. Italiaans origineel beschikbaar hier:
https://vezpa.it/dpa/.
📌 Doel van dit document: deze Verwerkersovereenkomst (
DPA) regelt de verwerking van persoonsgegevens van
gasten van accommodaties die het Vezpa-platform gebruiken. De accommodatie (
Verwerkingsverantwoordelijke) vertrouwt aan Vezpa (
Verwerker) de verwerking van deze gegevens toe. De DPA maakt integraal deel uit van de
Servicevoorwaarden en wordt gelijktijdig met de registratie van de accommodatie aanvaard.
Op wie het van toepassing is: deze DPA is van toepassing telkens wanneer de accommodatie Vezpa gebruikt om persoonsgegevens te verwerken van andere personen dan de accommodatie zelf (doorgaans: gasten, hun begeleiders, boekingscontacten).
Het is niet van toepassing op de verwerking van gegevens van professionele gebruikers van de accommodatie, waarvoor Vezpa optreedt als zelfstandige Verwerkingsverantwoordelijke (zie
Privacybeleid).
1. Partijen
| Verwerkingsverantwoordelijke ("Verwerkingsverantwoordelijke") |
De accommodatie die het Vezpa-abonnement afsluit, zoals geidentificeerd in haar eigen account (bedrijfsnaam, BTW-nummer, zetel, wettelijke vertegenwoordiger). |
| Verwerker ("Verwerker" / "Vezpa") |
Vezpa di Paolo Vezzola, BTW-nummer 04449070988, met zetel te via San Zeno 67, 25015 Desenzano del Garda (BS), Italie. PEC: [email protected] · E-mail: [email protected] |
2. Onderwerp en duur (art. 28.3 AVG)
De Verwerkingsverantwoordelijke belast de Verwerker met de verwerking van persoonsgegevens namens hemzelf via het Vezpa-platform. De verwerking heeft de duur van het abonnementscontract tussen de partijen en eindigt bij de ontbinding daarvan, onverminderd hetgeen bepaald in §14.
3. Aard, doeleinden en soort verwerkte gegevens
3.1 Doeleinden
- Beheer van boekingen, verblijf en check-in/check-out
- Nakoming van de wettelijke verplichtingen van de Verwerkingsverantwoordelijke jegens overheidsinstanties (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Mededeling van boekingsgegevens aan OTA-kanalen en de door de accommodatie geactiveerde channel manager
- Verzending van mededelingen aan de gast (bevestigingen, pre-check-in, betalingen)
- Verwerking van betalingen via Booking Engine of Stripe-link
- Opstellen van rapporten en statistieken voor de Verwerkingsverantwoordelijke
3.2 Categorieen van betrokkenen
- Gasten van accommodaties en hun begeleiders
- Personen die boeken namens anderen
- Noodcontacten die eventueel door de gast worden verstrekt
3.3 Soort verwerkte persoonsgegevens
- Identificatie- en persoonsgegevens (voornaam, achternaam, geboortedatum en -plaats, nationaliteit, geslacht)
- Identiteitsdocumenten (type, nummer, afgiftedatum, uitgevende instantie, gescande of gefotografeerde afbeelding)
- Tekstgegevens uit het document geextraheerd door automatische OCR
- Contactgegevens (e-mail, telefoon, adres)
- Boekings- en verblijfsgegevens
- Betaalgegevens (beheerd door Stripe, niet opgeslagen bij Vezpa)
⚠️ Bijzondere gegevens (art. 9 AVG): het identiteitsdocument kan bijzondere gegevens bevatten (bv. geboorteplaats). De Verwerkingsverantwoordelijke verklaart over een passende rechtsgrond te beschikken krachtens art. 9.2 AVG (doorgaans lett. b, f of g) en geeft de Verwerker de instructie om de verwerking van dergelijke gegevens te beperken tot de wettelijk vereiste mededelingen aan overheidsinstanties en tot bewaring binnen de voorgeschreven termijnen.
4. Instructies van de Verwerkingsverantwoordelijke (art. 28.3.a AVG)
De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Algemene instructies zijn opgenomen in deze DPA, in het Privacybeleid, in de AVG-informatie en in de Servicevoorwaarden. Specifieke instructies kunnen door de Verwerkingsverantwoordelijke worden gegeven via:
- Configuraties in zijn account (activering/deactivering van overheidsconnectors, OTA, retentie)
- Schriftelijke mededeling aan [email protected] of via PEC naar [email protected]
Indien de Verwerker van mening is dat een instructie in strijd is met de AVG of andere toepasselijke bepalingen, stelt hij de Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis.
5. Verplichtingen van de Verwerker (art. 28.3.b-h AVG)
De Verwerker verbindt zich ertoe om:
- Vertrouwelijkheid: de gegevens vertrouwelijk te verwerken en ervoor te zorgen dat de tot verwerking geautoriseerde personen gebonden zijn aan een geheimhoudingsplicht;
- Beveiliging: de technische en organisatorische maatregelen van Bijlage B nemen, die passend zijn voor het risico;
- Sub-verwerkers: de voorwaarden van §6 naleven;
- Bijstand aan de Verwerkingsverantwoordelijke: de Verwerkingsverantwoordelijke bijstaan bij de nakoming van zijn verplichtingen, met name:
- Antwoord op verzoeken van betrokkenen (art. 15-22 AVG) binnen termijnen die de Verwerkingsverantwoordelijke in staat stellen te antwoorden binnen de wettelijke 30 dagen;
- Melding van datalekken aan de Verwerkingsverantwoordelijke binnen 24 uur na ontdekking (§7);
- Ondersteuning bij DPIA (art. 35) en voorafgaande raadplegingen (art. 36);
- Aantonen van naleving via documentatie en, indien verzocht, audits (§9).
- Teruggave / wissing van de gegevens aan het einde, zoals bepaald in §14;
- Informatie: de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving van deze DPA aan te tonen.
6. Sub-verwerkers (art. 28.2 en 28.4 AVG)
6.1 Algemene toestemming
De Verwerkingsverantwoordelijke machtigt de Verwerker om de sub-verwerkers aan te stellen die zijn vermeld op vezpa.it/subprocessors en degenen die vervolgens zullen worden toegevoegd volgens de hier beschreven procedure.
6.2 Vooraankondiging van wijziging
De Verwerker deelt de Verwerkingsverantwoordelijke het voornemen mee om een sub-verwerker toe te voegen of te vervangen met een vooraankondiging van minstens 30 dagen, via e-mail naar het geregistreerde adres en/of mededeling in het dashboard. Binnen deze termijn kan de Verwerkingsverantwoordelijke gemotiveerd bezwaar maken. In geval van onoplosbaar bezwaar kan elk van beide partijen de overeenkomst opzeggen met beeindiging van de betrokken verwerking.
6.3 Verplichtingen jegens de sub-verwerkers
De Verwerker legt de sub-verwerkers schriftelijk verplichtingen inzake gegevensbescherming op die gelijkwaardig zijn aan de hier voorziene verplichtingen, en is jegens de Verwerkingsverantwoordelijke aansprakelijk voor het handelen van de sub-verwerkers.
7. Datalek (art. 33 AVG)
In geval van een inbreuk op persoonsgegevens die gegevens betreft die namens de Verwerkingsverantwoordelijke worden verwerkt, zal de Verwerker:
- De Verwerkingsverantwoordelijke zonder onnodige vertraging en in elk geval binnen 24 uur na ontdekking op de hoogte stellen;
- De informatie van art. 33.3 AVG verstrekken (aard, categorieen en bij benadering aantal betrokkenen en gegevens, waarschijnlijke gevolgen, genomen of voorgestelde maatregelen);
- Samenwerken met de Verwerkingsverantwoordelijke bij mededelingen aan betrokkenen en de toezichthoudende autoriteit;
- Het incident en de genomen acties documenteren.
De melding aan de Verwerkingsverantwoordelijke vindt plaats via e-mail naar het geregistreerde adres en PEC, indien beschikbaar. De Verwerkingsverantwoordelijke blijft verantwoordelijk voor externe meldingen (toezichthouder, betrokkenen) krachtens art. 33-34 AVG.
8. Rechten van de betrokkenen (art. 28.3.e AVG)
Indien een betrokkene zich rechtstreeks tot de Verwerker wendt om rechten uit te oefenen met betrekking tot gegevens die namens de Verwerkingsverantwoordelijke worden verwerkt, leidt de Verwerker het verzoek zonder vertraging door naar de Verwerkingsverantwoordelijke en reageert hij niet namens de Verwerkingsverantwoordelijke, behoudens andersluidende instructies.
De Verwerker stelt de Verwerkingsverantwoordelijke in het dashboard en via API functionaliteiten ter beschikking voor:
- Export van de gegevens van een betrokkene (inzage en overdraagbaarheid)
- Rectificatie
- Wissing of anonimisering
- Beperking van de verwerking
Voor verzoeken die handmatige technische tussenkomst vereisen, reageert de Verwerker binnen 10 werkdagen na ontvangst van de instructie van de Verwerkingsverantwoordelijke.
9. Audit (art. 28.3.h AVG)
De Verwerker verstrekt de Verwerkingsverantwoordelijke op verzoek informatie en documentatie die de naleving van deze DPA aantonen, waaronder:
- Samenvatting van de geimplementeerde beveiligingsmaatregelen
- Lijst van sub-verwerkers met vestigingen en grondslagen voor doorgifte
- Register van verwerkingsactiviteiten (relevante uittreksels)
- Certificeringen van sub-verwerkers (ISO 27001, SOC 2, DPF) indien beschikbaar
De Verwerkingsverantwoordelijke kan audits uitvoeren (rechtstreeks of via onafhankelijke derden die zijn onderworpen aan geheimhouding) met een vooraankondiging van minstens 30 dagen, tijdens werkuren, zonder de werkzaamheden te verstoren en niet vaker dan eenmaal per jaar (behoudens in geval van datalek). Elke partij draagt haar eigen kosten.
10. Doorgiften buiten de EU (Hoofdstuk V AVG)
De lijst van sub-verwerkers met vermelding van de vestiging en de rechtsgrond van de doorgifte is gepubliceerd op vezpa.it/subprocessors. Voor doorgiften die niet worden gedekt door een adequaatheidsbesluit, past de Verwerker toe:
- Standaardcontractbepalingen 2021/914 en aanvullende maatregelen waar nodig (gedocumenteerde Transfer Impact Assessment);
- Of andere passende waarborgen zoals bepaald in art. 46 AVG.
11. Rol van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke verklaart en garandeert:
- De betrokkenen de in art. 13-14 AVG bedoelde informatie te hebben verstrekt;
- De eventuele rechtsgronden (toestemming, overeenkomst, wettelijke verplichting) die nodig zijn voor de verwerking te hebben verkregen;
- Rechtmatige instructies aan de Verwerker te geven;
- De correcte bewaring en wissing van de gegevens na terugtrekking van het Vezpa-platform te waarborgen.
12. Vertrouwelijkheid
Elke partij houdt alle informatie die zij van de andere partij ter uitvoering van deze DPA ontvangt strikt vertrouwelijk, gedurende de volledige duur van de overeenkomst en de daaropvolgende 5 jaar.
13. Aansprakelijkheid
De aansprakelijkheid van elke partij krachtens art. 82 AVG jegens de betrokkenen blijft geregeld door de wet. In de verhoudingen tussen de partijen is het contractuele aansprakelijkheidsregime dat zoals vastgelegd in de Servicevoorwaarden (§9-10), onverminderd de dwingende verdeling zoals voorzien in art. 82 AVG.
14. Beeindiging van de verwerking
Bij beeindiging van de overeenkomst om welke reden dan ook zal de Verwerker:
- De Verwerkingsverantwoordelijke de instrumenten ter beschikking stellen om zijn gegevens te exporteren in een gestructureerd formaat (CSV/JSON) gedurende 30 dagen na de beeindiging;
- Na de 30 dagen, de namens de Verwerkingsverantwoordelijke verwerkte gegevens uit de productiesystemen wissen of anonimiseren;
- De gegevens uit de back-ups wissen binnen de volgende rotatiecyclus (doorgaans binnen 90 dagen);
- De gegevens die Vezpa wettelijk verplicht is te bewaren (doorgaans: factureringsgegevens en beveiligingslogs) uitsluitend bewaren gedurende de door de toepasselijke wetgeving opgelegde termijn, met behoud van passende beveiligingsmaatregelen.
15. Wijzigingen
De Verwerker kan deze DPA wijzigen om wetswijzigingen (bv. nieuwe SCC's, maatregelen van de Italiaanse toezichthoudende autoriteit) of organisatorische wijzigingen te volgen. Wezenlijke wijzigingen worden aan de Verwerkingsverantwoordelijke meegedeeld met een vooraankondiging van minstens 30 dagen. Indien de Verwerkingsverantwoordelijke niet akkoord gaat, kan hij zonder boete opzeggen voor het niet-genoten deel van het abonnement.
16. Toepasselijk recht
Deze DPA wordt beheerst door het Italiaanse recht. Voor geschillen is §16 van de Servicevoorwaarden van toepassing.
Bijlage A - Samenvattende beschrijving van de verwerking
| Onderwerp |
Beschrijving |
| Aard van de verwerking |
Verzamelen, registreren, organiseren, structureren, opslaan, aanpassen, opvragen, raadplegen, gebruiken, meedelen, doorzenden aan OTA-kanalen en overheidsinstanties, wissen |
| Doeleinden |
Zie §3.1 |
| Categorieen van betrokkenen |
Zie §3.2 |
| Categorieen van gegevens |
Zie §3.3 |
| Duur |
Voor de volledige duur van de overeenkomst. Specifieke bewaring voor categorieen van gegevens volgens het Privacybeleid §6 |
Bijlage B - Technische en organisatorische beveiligingsmaatregelen (art. 32 AVG)
Technische maatregelen
- Versleuteling tijdens transport: HTTPS/TLS 1.2+, HSTS
- Versleuteling at-rest: gevoelige velden met django-cryptography, volumes en snapshots versleuteld aan infrastructuurzijde (DigitalOcean)
- Wachtwoord-hashing met gesalte PBKDF2 (standaard Django)
- Authenticatie: roterende JWT (access 15 min, refresh 180 dagen met blacklist), optionele 2FA TOTP
- Bot blocker en rate limiting om geautomatiseerde aanvallen te voorkomen
- Role-based access control (directeur/assistent/huishoudelijk medewerker/waarnemer)
- Back-ups beheerd door de infrastructuurprovider in de EU
- Applicatie- en toegangslogs voor het opsporen van anomalieen
- Secure Storage aan app-zijde: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatorische maatregelen
- Vezpa werkt momenteel als eenmanszaak zonder werknemers; eventuele externe medewerkers worden schriftelijk aangewezen als Verwerkers of Geautoriseerde Personen met geheimhoudingsplicht
- Gedocumenteerde incident response-procedure
- Register van verwerkingsactiviteiten (art. 30) geactualiseerd
- DPA met de belangrijkste sub-verwerkers
- Privacy by Design and by Default in de ontwikkelingsfasen
- Scheiding van productie / staging / ontwikkelingsomgevingen
Bijlage C - Geautoriseerde sub-verwerkers
De geldende lijst is gepubliceerd en wordt bijgewerkt op vezpa.it/subprocessors. Bij het aangaan van de overeenkomst omvat de lijst (onder meer):
- DigitalOcean LLC - infrastructuur (EU Frankfurt + VS DPF)
- Stripe - betalingen (EU/VS DPF)
- Google LLC - Firebase Cloud Messaging (VS DPF)
- IONOS SE - e-mail (DE)
- STAAH Limited - channel manager OTA (NZ, adequaatheid)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple neemt niet deel aan het DPF, doorgiften naar de VS via SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (VS, actieve DPF-certificering)
- Tuya Smart - smart sloten (CN, alleen indien geactiveerd door de accommodatie, SCC)
© 2022-2026 Vezpa - Alle rechten voorbehouden |
Privacybeleid |
Servicevoorwaarden |
Cookiebeleid |
AVG |
DPA |
Sub-verwerkers