Data Processing Agreement

Verwerkersovereenkomst

Versie 1.0Laatste update: 3 februari 2026
01

Partijen

Deze verwerkersovereenkomst ("Overeenkomst") wordt gesloten tussen:

1.1 Verwerkingsverantwoordelijke

De kinesist die gebruikmaakt van de PhysioClip-dienst (hierna: de "Klant").

1.2 Verwerker

Plana BV

Nanofstraat 79A, 3590 Diepenbeek, België

(hierna: "PhysioClip" of de "Verwerker")

Partijen komen het volgende overeen in overeenstemming met artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("GDPR").

02

Voorwerp van de overeenkomst

PhysioClip verwerkt persoonsgegevens uitsluitend in opdracht van en ten behoeve van de Klant, in het kader van het aanbieden en technisch mogelijk maken van de PhysioClip-software.

Deze Overeenkomst regelt de rechten en verplichtingen van Partijen met betrekking tot deze verwerking.

03

Aard en doel van de verwerking

3.1 Duur van de verwerking

De verwerking duurt zolang de hoofdovereenkomst tussen de Klant en PhysioClip van kracht is, inclusief eventuele verlengingen.

3.2 Aard van de verwerking

De verwerking omvat onder meer:

  • opslaan
  • hosten
  • beschikbaar maken
  • beveiligen
  • verwijderen van gegevens

3.3 Doel van de verwerking

De verwerking gebeurt uitsluitend om:

  • de PhysioClip-applicatie operationeel te maken
  • video's te hosten en af te spelen
  • accounts van gebruikers te beheren
  • technische ondersteuning te verlenen
04

Categorieën persoonsgegevens en betrokkenen

4.1 Betrokkenen

  • gebruikers van PhysioClip (kinesisten en medewerkers)
  • eventuele patiënten zichtbaar in door de Klant geüploade video's

4.2 Categorieën persoonsgegevens

  • identificatiegegevens van gebruikers (naam en e-mailadres)
  • videobeelden geüpload door de Klant

PhysioClip bepaalt niet de inhoud van deze video's en verwerkt deze uitsluitend technisch.

Let op: Partijen erkennen dat videobeelden die in een therapeutische context worden verwerkt, gelet op hun doel en gebruik, kunnen kwalificeren als gezondheidsgegevens in de zin van artikel 9 GDPR. De Klant blijft als verwerkingsverantwoordelijke verantwoordelijk voor de rechtsgrond en naleving van artikel 9 GDPR met betrekking tot deze gegevens.

05

Verplichtingen van PhysioClip als verwerker

PhysioClip verbindt zich ertoe:

  • persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke (de Klant)
  • de gegevens niet voor eigen doeleinden te gebruiken
  • de vertrouwelijkheid van alle persoonsgegevens te waarborgen
  • ervoor te zorgen dat personen die gemachtigd zijn om persoonsgegevens te verwerken, contractueel of wettelijk tot vertrouwelijkheid zijn verplicht
  • passende technische en organisatorische beveiligingsmaatregelen te nemen
  • medewerking te verlenen aan verzoeken van betrokkenen
  • de Klant onverwijld te informeren bij een datalek
  • de Klant onmiddellijk te informeren indien een instructie naar het oordeel van PhysioClip in strijd is met de GDPR of andere toepasselijke gegevensbeschermingswetgeving
  • bijstand te verlenen aan de Klant bij het nakomen van diens verplichtingen inzake beveiliging en datalekken (artikelen 32 tot en met 34 GDPR), en bij DPIA's en overleg met toezichthouders (artikelen 35 en 36 GDPR)

Onder "gedocumenteerde instructies" wordt mede verstaan het gebruik van de functionaliteiten van de PhysioClip-applicatie zoals ingezet door de Klant.

06

Beveiligingsmaatregelen

PhysioClip neemt passende technische en organisatorische maatregelen, waaronder:

  • versleuteling van data tijdens transport en opslag
  • beperkte en gecontroleerde toegangsrechten
  • gebruik van professionele cloudinfrastructuur
  • regelmatige beveiligingsupdates en monitoring

Deze maatregelen zijn afgestemd op de aard van de verwerking en het risico.

07

Inschakeling van subverwerkers

De Klant geeft toestemming voor het inschakelen van de volgende subverwerkers:

SubverwerkerDoel
SupabaseAuthenticatie en databank
Bunny.netVideo-opslag en streaming
Vercel en RenderHosting en infrastructuur
Brevo en ZohoKlantcommunicatie en support

PhysioClip garandeert dat met deze subverwerkers passende verwerkersovereenkomsten zijn gesloten die dezelfde verplichtingen inzake gegevensbescherming opleggen als vastgelegd in deze DPA, overeenkomstig artikel 28, lid 4, GDPR. Voor subverwerkers die werken met standaard verwerkersvoorwaarden (zoals cloud- en infrastructuurproviders) geldt dat PhysioClip deze voorwaarden heeft beoordeeld en als passend heeft aanvaard overeenkomstig artikel 28 GDPR.

PhysioClip informeert de Klant vooraf bij het toevoegen of wijzigen van subverwerkers. De Klant heeft het recht hiertegen bezwaar te maken. Indien het bezwaar niet kan worden weggenomen, heeft de Klant het recht de overeenkomst te beëindigen.

08

Doorgifte buiten de Europese Unie

Persoonsgegevens worden opgeslagen en structureel verwerkt binnen de Europese Unie. Eventuele technische doorgifte in het kader van content delivery of netwerktransmissie leidt niet tot structurele opslag of zelfstandige verwerking buiten de EU.

Alle subverwerkers zijn geconfigureerd om gegevens uitsluitend in EU-regio's te verwerken en op te slaan. Mocht doorgifte naar een derde land in de toekomst noodzakelijk worden, dan zal PhysioClip de Klant vooraf informeren en zorgen voor passende waarborgen overeenkomstig hoofdstuk V GDPR.

09

Bewaartermijn en verwijdering

Persoonsgegevens worden bewaard:

  • zolang het account van de Klant actief is
  • tot maximaal 1 jaar na deactivering van het account

Bij beëindiging van de overeenkomst zal PhysioClip, naar keuze van de Klant, alle persoonsgegevens wissen of aan de Klant terugbezorgen, en bestaande kopieën verwijderen, tenzij opslag op grond van Unierecht of lidstaatrecht verplicht is.

10

Datalekken

PhysioClip zal:

  • een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en indien mogelijk binnen 48 uur na kennisname melden aan de Klant
  • alle relevante informatie verstrekken die nodig is om aan wettelijke meldingsplichten te voldoen
11

Rechten van betrokkenen

PhysioClip ondersteunt de Klant bij de uitoefening van rechten van betrokkenen, waaronder:

  • inzage (artikel 15 GDPR)
  • rectificatie (artikel 16 GDPR)
  • wissing (artikel 17 GDPR)
  • beperking van de verwerking (artikel 18 GDPR)
  • dataportabiliteit (artikel 20 GDPR)
  • bezwaar (artikel 21 GDPR)

voor zover technisch mogelijk en wettelijk vereist.

12

Audit en verantwoording

PhysioClip stelt alle nodige informatie ter beschikking om de naleving van de verplichtingen uit artikel 28 GDPR aan te tonen, en staat audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde controleur toe en draagt daaraan bij.

Audits worden beperkt tot wat redelijk en noodzakelijk is en mogen de veiligheid en vertrouwelijkheid van andere klanten niet in gevaar brengen.

13

Aansprakelijkheid

PhysioClip is aansprakelijk voor schade die het gevolg is van een verwerking die niet in overeenstemming is met deze Overeenkomst of de GDPR, voor zover deze schade is toe te rekenen aan haar eigen handelen of nalaten.

14

Duur en beëindiging

Deze Overeenkomst geldt zolang PhysioClip persoonsgegevens verwerkt in opdracht van de Klant en eindigt automatisch bij beëindiging van de hoofdovereenkomst tussen Partijen.

15

Toepasselijk recht

Op deze Overeenkomst is uitsluitend het Belgisch recht van toepassing.

Geschillen worden voorgelegd aan de bevoegde rechtbanken van België.