Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 29 mei 2026

1. Partijen

Deze Verwerkersovereenkomst ("DPA") wordt gesloten tussen:

  • Costplus OÜ, een onderneming geregistreerd in Estland, met haar statutaire zetel aan Pärnu mnt 139b, 11317 Tallinn, Estland, KvK-nummer 16936614 ("Verwerker, wij, ons, of Cost+"); en
  • de handelaar die de Cost+ Checkout Shopify-applicatie heeft geïnstalleerd, of anderszins geïntegreerd heeft met de Cost+ Checkout-dienst, door akkoord te gaan met onze Servicevoorwaarden op https://costplus.io/shopify-app-terms.html ("Verwerkingsverantwoordelijke, Handelaar, of u"),

elk een "Partij en gezamenlijk de Partijen".

Deze DPA maakt deel uit van, en is onderworpen aan, de Servicevoorwaarden tussen de Partijen. In geval van strijdigheid tussen deze DPA en de Servicevoorwaarden met betrekking tot de verwerking van Persoonsgegevens, prevaleert deze DPA.

2. Definities

Tenzij anders gedefinieerd, hebben met een hoofdletter geschreven termen de betekenis die daaraan is toegekend in Verordening (EU) 2016/679 (de "AVG"). Voor de leesbaarheid:

  • "Persoonsgegevens" heeft de betekenis van Artikel 4(1) AVG.
  • "Verwerking" heeft de betekenis van Artikel 4(2) AVG.
  • "Betrokkene" betekent een Shopify-klant of eindgebruiker van wie de Persoonsgegevens worden verwerkt op grond van deze DPA.
  • "Subverwerker" betekent elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.
  • "Diensten" betekent de Cost+ Checkout-dienst (de Shopify-app, bijbehorende API's en gehoste afrekenspagina's) die door de Verwerker aan de Verwerkingsverantwoordelijke wordt geleverd op grond van de Servicevoorwaarden.

3. Onderwerp, aard, doel en duur van de verwerking

3.1 Onderwerp

De Verwerker verwerkt Persoonsgegevens over de klanten van de Verwerkingsverantwoordelijke om de Diensten te verlenen. Cost+ Checkout is een funnel-orkestratietool die kopers die binnenkomen via door de Handelaar beheerde ingangspunten (bijvoorbeeld e-mailcampagnes, landingspagina's, sociale advertenties of directe Shopify-winkellinks) door een uniforme afrekenervaring leidt en de bijbehorende bestelling aanmaakt in de Shopify-winkel van de Handelaar na betaling.

3.2 Aard en doel van de verwerking

De Verwerker verwerkt Persoonsgegevens voor de volgende doeleinden:

  • Verzamelen van contactgegevens en verzendadres van de koper tijdens het afrekenen;
  • Berekenen van toepasselijke belastingen en verzendkosten via Shopify's eigen belasting- en verzendberekeningsdiensten;
  • Aanmaken van de bijbehorende Shopify-bestelling nadat de koper de betaling heeft voltooid;
  • Verwerken van betalingen via de betalingsinfrastructuur van Cost+ of de door de Handelaar geconfigureerde betaalaanbieder;
  • Verwerken van terugbetalingen, annuleringen en aflevergebeurtenissen die door de Handelaar in hun Shopify-beheeromgeving worden geïnitieerd, terug in de Cost+ Checkout-configuratie van de Handelaar;
  • Beantwoorden van verzoeken van betrokkenen doorgestuurd door Shopify via de standaard AVG-webhooks (customers/data_request, customers/redact, shop/redact);
  • Verstrekken van handelaargerichte analyses afgeleid van geaggregeerde en gepseudonimiseerde sessiegegevens.

3.3 Duur

De Verwerker verwerkt Persoonsgegevens gedurende de looptijd van de Diensten en bewaart dergelijke gegevens voor de perioden zoals vastgelegd in Sectie 9 hieronder.

4. Soorten Persoonsgegevens en categorieën Betrokkenen

4.1 Soorten Persoonsgegevens

  • Voor- en achternaam;
  • E-mailadres;
  • Telefoonnummer (indien opgegeven);
  • Verzendadres (straat, stad, postcode, land, optionele adresregel 2, provincie/staat);
  • Factuuradres (zelfde velden);
  • Bestelgegevens, inclusief regelitems, productidentificatoren, hoeveelheden, prijzen, toegepaste kortingscodes, ordertotaal, valuta en afleverstatus;
  • Betalingsgerelateerde metadata (betaalmethode-token of referentie, autorisatie- en vastleggingsidentificatoren) — let op: volledige primaire rekeningnummers (PAN) komen nooit terecht in de systemen van de Verwerker; deze worden getokeniseerd door de PCI DSS-conforme betalingsinfrastructuur van Cost+ of de door de Handelaar geconfigureerde betaalaanbieder.

4.2 Categorieën Betrokkenen

  • De klanten (kopers) van de Verwerkingsverantwoordelijke die afrekenen via Cost+ Checkout.

5. Verplichtingen van de Verwerker

De Verwerker zal:

5.1 Gedocumenteerde instructies

Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgifte van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij dit vereist is op grond van Unierecht of het recht van een lidstaat waaraan de Verwerker is onderworpen. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke in kennis van die wettelijke verplichting voorafgaand aan de verwerking, tenzij dat recht een dergelijke kennisgeving verbiedt op zwaarwegende gronden van algemeen belang. De Partijen komen overeen dat de Servicevoorwaarden, deze DPA en het gebruik van de Diensten door de Verwerkingsverantwoordelijke via standaard configuratie-opties gedocumenteerde instructies vormen in de zin van Artikel 28(3)(a) AVG.

5.2 Vertrouwelijkheid

Waarborgen dat personen die gemachtigd zijn de Persoonsgegevens te verwerken, zich hebben verbonden tot geheimhouding of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.

5.3 Beveiligingsmaatregelen

Passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen dat past bij het risico, zoals vereist door Artikel 32 AVG. Een samenvatting van deze maatregelen is opgenomen in Bijlage 1. De Verwerkingsverantwoordelijke erkent dat Bijlage 1 van tijd tot tijd kan worden bijgewerkt om verbeteringen in de beveiligingspostuur van de Verwerker te weerspiegelen, en dat een dergelijke update niet zal resulteren in een wezenlijke verlaging van het beveiligingsniveau.

5.4 Subverwerkers

Subverwerkers uitsluitend inschakelen op de voorwaarden van Sectie 7 hieronder.

5.5 Ondersteuning bij rechten van Betrokkenen

Rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke door passende technische en organisatorische maatregelen ondersteunen, voor zover mogelijk, bij de nakoming van de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene op grond van Hoofdstuk III van de AVG.

5.6 Ondersteuning bij overige verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke ondersteunen bij de naleving van de verplichtingen op grond van Artikelen 32 tot en met 36 AVG, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.

5.7 Teruggave of verwijdering bij beëindiging van de Diensten

Op keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of teruggeven aan de Verwerkingsverantwoordelijke na afloop van de verlening van Diensten met betrekking tot de verwerking, en bestaande kopieën verwijderen, tenzij Unierecht of het recht van een lidstaat opslag van de Persoonsgegevens vereist. De Verwerker verwijdert Persoonsgegevens binnen 90 dagen na het einde van de Diensten, behalve waar een langere bewaartermijn vereist is op grond van Sectie 9.

5.8 Verwerkingsregisters

Een schriftelijk register bijhouden van alle categorieën verwerkingsactiviteiten die namens de Verwerkingsverantwoordelijke worden uitgevoerd, zoals vereist door Artikel 30(2) AVG.

5.9 Audits

De Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving van Artikel 28 AVG aan te tonen, en audits, inclusief inspecties, door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemandateerde auditor toestaan en daaraan bijdragen. De Verwerkingsverantwoordelijke draagt alle kosten van dergelijke audits die verder gaan dan het verstrekken van de standaardinformatie die reeds beschikbaar is voor de Verwerkingsverantwoordelijke via de Diensten. De Verwerkingsverantwoordelijke geeft een redelijke voorafgaande kennisgeving (minimaal 30 dagen), voert audits uit tijdens normale kantooruren en verstoort de bedrijfsvoering van de Verwerker niet.

6. Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke garandeert dat:

  • Er een geldige rechtsgrondslag is vastgesteld op grond van Artikel 6 AVG (en, waar van toepassing, Artikel 9 AVG) voor alle Persoonsgegevens die via de Diensten aan de Verwerker worden verstrekt;
  • Alle vereiste transparantie-informatie aan Betrokkenen is verstrekt op grond van Artikelen 13 en 14 AVG, inclusief het feit dat Cost+ Checkout wordt gebruikt voor de verwerking van afrekenen en bestelgegevens;
  • Cost+ Checkout correct is geconfigureerd (inclusief stroomregels, toegestane landen, betaalmethoden en eventuele aangepaste scripts of blokken), zodat de Diensten uitsluitend Persoonsgegevens verwerken die noodzakelijk zijn voor de rechtmatige doeleinden van de Handelaar;
  • Verzoeken van Betrokkenen die door de Verwerker zijn doorgestuurd binnen de wettelijk vereiste termijnen worden beantwoord.

7. Subverwerkers

7.1 Algemene toestemming

De Verwerkingsverantwoordelijke verleent algemene toestemming aan de Verwerker om Subverwerkers in te schakelen voor de uitvoering van de Diensten. Een lijst van huidige Subverwerkers wordt bijgehouden in Bijlage 2 en wordt van tijd tot tijd bijgewerkt.

7.2 Kennisgeving van wijzigingen

De Verwerker stelt de Verwerkingsverantwoordelijke in kennis van voorgenomen wijzigingen in de lijst van Subverwerkers (toevoeging of vervanging) met minimaal 30 dagen voorafgaande kennisgeving, zodat de Verwerkingsverantwoordelijke de gelegenheid heeft bezwaar te maken op redelijke gronden. Indien de Verwerkingsverantwoordelijke bezwaar maakt en de Partijen niet binnen 30 dagen tot een oplossing kunnen komen, kan de Verwerkingsverantwoordelijke het betreffende deel van de Diensten zonder opgaaf van reden beëindigen.

7.3 Doorstromende verplichtingen

De Verwerker legt aan elke Subverwerker, bij wijze van overeenkomst, dezelfde gegevensbeschermingsverplichtingen op als vastgelegd in deze DPA, en blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van elke Subverwerker.

8. Internationale gegevensdoorgiften

8.1 Primaire hosting

De Verwerker host de Diensten in de Europese Unie en verwerkt Persoonsgegevens primair binnen de EU/EER. Sommige gemachtigde Subverwerkers (bijvoorbeeld bepaalde betaalverwerkingspartners) zijn buiten de EER gevestigd; in dat geval waarborgt de Verwerker dat de doorgifte is beschermd door een adequaatheidsbesluit of door Standaard Contractbepalingen zoals uiteengezet in Sectie 8.2, en identificeert de betreffende Subverwerkers in Bijlage 2.

8.2 Doorgiften via Subverwerkers

Waar een Subverwerker buiten de EU/EER is gevestigd, waarborgt de Verwerker dat doorgiften worden gedekt door een adequaatheidsbesluit op grond van Artikel 45 AVG, of door Standaard Contractbepalingen vastgesteld door de Europese Commissie (Module 2: verwerkingsverantwoordelijke-naar-verwerker of Module 3: verwerker-naar-verwerker, naargelang van toepassing), of door een ander geldig doorgiftemechanisme op grond van Hoofdstuk V AVG.

8.3 Verdere doorgiften

Shopify zelf treedt op als onafhankelijke verwerkingsverantwoordelijke met betrekking tot de klantgegevens die de Verwerkingsverantwoordelijke heeft ingevoerd in zijn Shopify-winkel. De ontvangst van dergelijke gegevens van Shopify door de Verwerker, en de teruglevering van door Shopify aangemaakte bestelgegevens aan Shopify, vallen onder de eigen gegevensbeschermingsvoorwaarden van Shopify met de Handelaar en zijn geen verdere doorgiften in de zin van deze DPA.

9. Bewaring en verwijdering

De Verwerker bewaart Persoonsgegevens voor de volgende perioden:

  • Actieve sessiegegevens (lopende afreeksessies die niet zijn voltooid): verwijderd 30 dagen na het verlopen van de sessie;
  • Voltooide bestelgegevens (sessies die hebben geleid tot een Shopify-bestelling): bewaard gedurende 7 jaar ter naleving van wettelijke bewaarverplichtingen op het gebied van belasting en boekhouding in Estland en de meeste EU-jurisdicties, daarna verwijderd;
  • Betaaltokens en autorisatieregistraties: bewaard gedurende de bewaartermijn van de onderliggende betaalmethode (doorgaans 7 jaar);
  • Loggegevens (verzoeklogs, webhook-afleverlogs): bewaard gedurende 90 dagen, daarna gewist;
  • Audit- / beveiligingseventlogs: bewaard gedurende 1 jaar.

Bij beëindiging van de Diensten verwijdert of retourneert de Verwerker Persoonsgegevens zoals uiteengezet in Sectie 5.7 hierboven, met inachtneming van de bewaartermijnen die door het toepasselijk recht zijn voorgeschreven.

10. Melding van datalekken

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging en in elk geval binnen 48 uur in kennis nadat hij kennis heeft gekregen van een datalek dat de gegevens van de Verwerkingsverantwoordelijke treft. De melding bevat minimaal de informatie die vereist is op grond van Artikel 33(3) AVG voor zover beschikbaar, en wordt bijgewerkt naarmate aanvullende informatie beschikbaar komt.

11. Aansprakelijkheid

De aansprakelijkheid van de Partijen op grond van deze DPA is onderworpen aan de aansprakelijkheidsbepalingen van de Servicevoorwaarden, met dien verstande dat enige beperking van aansprakelijkheid in de Servicevoorwaarden de aansprakelijkheid niet uitsluit of beperkt voor zaken waarvoor uitsluiting of beperking onwettig zou zijn op grond van het toepasselijk gegevensbeschermingsrecht.

12. Toepasselijk recht en bevoegde rechter

Deze DPA wordt beheerst door het recht van Estland, zonder rekening te houden met de conflictrechtelijke bepalingen. De Partijen onderwerpen zich aan de exclusieve bevoegdheid van de rechtbanken van Harju County, Estland, voor elk geschil dat voortvloeit uit of verband houdt met deze DPA, onverminderd dwingende wettelijke bepalingen inzake bevoegdheid over consumenten- of betrokkenengeschillen.

13. Looptijd en beëindiging

Deze DPA treedt in werking op de datum waarop de Verwerkingsverantwoordelijke de Diensten voor het eerst installeert of gebruikt en eindigt automatisch bij beëindiging van de Servicevoorwaarden. Bepalingen die naar hun aard de beëindiging overleven (inclusief Secties 5.7, 9, 10 en 12) blijven van kracht.

14. Volledige overeenkomst

Deze DPA, samen met de Servicevoorwaarden op https://costplus.io/shopify-app-terms.html en het Privacybeleid op https://costplus.io/privacy-policy.html, vormt de volledige overeenkomst tussen de Partijen met betrekking tot het onderwerp en vervangt alle eerdere afspraken.

Bijlage 1 — Technische en organisatorische maatregelen

De Verwerker treft de volgende technische en organisatorische maatregelen ter bescherming van Persoonsgegevens:

Encryptie

  • Alle gegevens in transit worden versleuteld met TLS 1.2 of hoger, met certificaten beheerd via Let's Encrypt en automatische vernieuwing.
  • Shopify API-toegangstokens en inloggegevens van externe betaalaanbieders worden in rust versleuteld met AES-256-GCM met sleutels op applicatieniveau beheerd via HashiCorp Vault Transit of een gelijkwaardig sleutelbeheerssysteem.
  • Databaseback-ups worden versleuteld vóór overdracht naar externe opslag.

Toegangscontrole

  • Toegang tot productiesystemen is beperkt tot een gedefinieerde groep gemachtigde medewerkers met individueel identificeerbare accounts, SSH-sleutelgebaseerde authenticatie voor servertoegang en hardware-ondersteunde of TOTP-meerfactorauthenticatie voor beheerdersinterfaces.
  • Wachtwoorden van handelaren op applicatieniveau worden gehasht met Argon2id met geheugenintensiefe parameters.
  • Toegang tot Persoonsgegevens wordt gelogd en bewaard overeenkomstig Sectie 9 van de DPA.

Infrastructuur

  • Diensten worden gehost in Tier-III of gelijkwaardige datacenters gelegen binnen de Europese Unie.
  • Logische scheiding tussen test- en productieomgevingen; productiegegevens worden niet gebruikt in ontwikkel- of testomgevingen.
  • Regelmatige patching van besturingssystemen, runtimeomgevingen en externe afhankelijkheden.

Personeel

  • Medewerkers met toegang tot Persoonsgegevens zijn gebonden aan schriftelijke geheimhoudingsverplichtingen die de beëindiging van hun dienstverband overleven.
  • Inwerkprogramma en periodieke beveiligingsbewustzijnstraining voor alle medewerkers met toegang tot Persoonsgegevens of productie-infrastructuur.

Incidentrespons

  • Gedocumenteerde procedure voor reactie op beveiligingsincidenten, met betrekking tot detectie, indamming, onderzoek, melding (inclusief aan de Verwerkingsverantwoordelijke binnen 48 uur conform Artikel 10) en evaluatie na het incident.
  • Kwartaalreview van incidentresponsprocedures en contactgegevens.

Preventie van gegevensverlies

  • Toegangscontroles op applicatieniveau, afgebakend per individuele merchant en individuele sessie; geen enkele merchant kan via de API toegang krijgen tot de gegevens van een andere merchant.
  • Auditlogboek van alle toegang tot Persoonsgegevens, bewaard conform Artikel 9.
  • Regelmatige hersteltests van versleutelde back-ups.

Veilige ontwikkeling

  • Broncode opgeslagen in een privérepository met verplichte beoordeling van alle wijzigingen vóór samenvoeging.
  • Geautomatiseerde scan op kwetsbaarheden in afhankelijkheden en regelmatige updates van bibliotheken van derden.
  • Ten minste jaarlijks penetratietesten zodra de Diensten algemeen beschikbaar zijn.

Bijlage 2 — Geautoriseerde Sub-verwerkers

Vanaf de datum van de laatste update van deze DPA zijn de volgende Sub-verwerkers gemachtigd om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke:

SubverwerkerDoelLocatieOverdrachtsmechanisme
OVH SASCloud-infrastructuurhosting (rekenkracht, opslag, netwerk) en versleutelde off-site back-upsFrankrijk (EU)Intra-EER
SMTP2GOTransactionele e-mails en notificatie-e-mailsEUIntra-EER
Cost+ betalingsinfrastructuur (Costplus OÜ)Betalingstokenisatie, autorisatie, afschrijving, terugbetalingEUIntra-EER
Ginger PaymentsBetalingsgateway / transactieroutingNederland (EU)Intra-EER
FinteqHubBetalingsgateway / orkestratieCyprus en Litouwen (EU)Intra-EER
ComplyPayBanking-as-a-Service (BaaS)-aanbiederDenemarken (EU)Intra-EER
RapydBetalingsacquiring / -verwerkingEU / Verenigd KoninkrijkIntra-EER; overdrachten naar het VK op grond van het EU–VK adequaatheidsbesluit
SHIFT4Betalingsacquiring / -verwerkingEU / Verenigd KoninkrijkIntra-EER; overdrachten naar het VK op grond van het EU–VK adequaatheidsbesluit
ElavonBetalingsacquiring / -verwerkingEU / Verenigd KoninkrijkIntra-EER; overdrachten naar het VK op grond van het EU–VK adequaatheidsbesluit
ClearhausBetalingsacquiring / -verwerkingDenemarken (EU)Intra-EER
PayneticsBetalingsacquiring / uitgifte van elektronisch geldBulgarije (EU)Intra-EER
DiditIdentiteitsverificatie, KYB / KYC / AML-complianceVerenigde Staten / Spanje (EU)Standaard Contractuele Clausules (Art. 46 AVG)

De Verwerker zal een actuele versie van deze lijst bijhouden op https://costplus.io/dpa/sub-processors en zal de Verwerkingsverantwoordelijke informeren over eventuele toevoegingen of vervangingen overeenkomstig Artikel 7.2 van deze DPA.

Einde van de Gegevensverwerkingsovereenkomst.