Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 2026-05-25

Deze Verwerkersovereenkomst (Data Processing Agreement, DPA) regelt de verwerking van persoonsgegevens door FlowWell namens jouw kantoor wanneer je gebruikmaakt van EPCpro Makelaar. Hij is opgesteld in lijn met artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) en met de richtlijnen van de Belgische Gegevensbeschermingsautoriteit.

Voor Office-tier en zakelijke contracten: klanten die hun eigen DPA-template wensen te gebruiken kunnen contact opnemen via contact@flowwell.be. We staan open voor onderhandeling op redelijke voorwaarden.

1. Partijen

• Verwerkingsverantwoordelijke (klant): de organisatie die EPCpro Makelaar gebruikt, vertegenwoordigd door de admin van de gekoppelde Clerk-organisatie. Voor solo-makelaars: de natuurlijke persoon die het account aanmaakt.
• Verwerker: FlowWell — Robin Van Camp, KBO BE 1019.778.519, Herentalsebaan, 2100 Antwerpen, België.

2. Voorwerp en duur

FlowWell verwerkt persoonsgegevens namens de klant voor de levering van EPCpro Makelaar: het genereren van renovatierapporten op basis van EPC-attesten, het beheren van gebruikersaccounts en organisaties, en het verwerken van facturatie. Deze DPA geldt zolang de klant een actief account heeft bij EPCpro Makelaar.

3. Aard, doel en categorieën

3.1 Aard van de verwerking

Het ontvangen van EPC-attesten zonder permanente opslag, het genereren en bewaren van renovatierapporten, het beheren van gebruikers en organisaties, en het verwerken van betalingen via Stripe.

3.2 Doel van de verwerking

Levering van de SaaS-dienst zoals beschreven in de algemene voorwaarden van EPCpro Makelaar.

3.3 Soort persoonsgegevens

• E-mailadressen, namen, taalvoorkeuren van gebruikers.
• Organisatiegegevens (handelsnaam, juridische naam, BTW-nummer, factuuradres).
• Adresgegevens van panden (afgeleid uit EPC-attesten).
• EPC-attest-inhoud: bewaard naast het bijbehorende rapport voor preview en herraadpleging, automatisch verwijderd bij verwijdering van het rapport.
• Gegenereerde renovatierapporten (opgeslagen onder de organisatie).
• Authenticatiegegevens (sessietokens, IP, apparaat) beheerd via Clerk.

3.4 Categorieën van betrokkenen

• Medewerkers van vastgoedkantoren die de dienst gebruiken.
• Eigenaars van panden waarvan EPC-attesten worden verwerkt (gegevens beperkt tot adres en EPC-inhoud).

4. Verplichtingen van FlowWell als verwerker

FlowWell verbindt zich ertoe om:

• Persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de klant, met inbegrip van wat hieronder en in het privacybeleid is opgenomen. Onverwijld te melden wanneer een instructie naar het oordeel van FlowWell in strijd is met de AVG of andere wetgeving.
• De vertrouwelijkheid te waarborgen van alle personen die toegang hebben tot persoonsgegevens, via contractuele verplichtingen en toegangscontroles.
• Passende technische en organisatorische beveiligingsmaatregelen te nemen (zie sectie 6).
• De voorwaarden voor het inschakelen van sub-verwerkers te respecteren (zie sectie 8).
• De klant bij te staan bij verzoeken van betrokkenen, datalekken, DPIA's en raadplegingen van de toezichthouder, in de mate van het redelijke en rekening houdend met de aard van de verwerking.
• De persoonsgegevens te verwijderen of terug te geven bij beëindiging van de dienst, behoudens wettelijke bewaarplicht (zie sectie 11).
• De klant alle informatie ter beschikking te stellen die nodig is om de naleving van artikel 28 AVG aan te tonen, en redelijke audits toe te laten (zie sectie 10).

5. Verplichtingen van de klant als verantwoordelijke

De klant verzekert dat:

• De verwerking van persoonsgegevens binnen EPCpro Makelaar gebaseerd is op een geldige rechtsgrond onder de AVG.
• De betrokkenen waarvan persoonsgegevens worden verwerkt op passende wijze geïnformeerd zijn (bijvoorbeeld via een eigen privacyverklaring tegenover panden eigenaars).
• De dienst niet wordt gebruikt voor doeleinden buiten de rol van vastgoedmakelaar of in strijd met de algemene voorwaarden.

6. Beveiligingsmaatregelen

FlowWell implementeert de volgende technische en organisatorische maatregelen, in overeenstemming met artikel 32 AVG:

• Versleuteling tijdens transport: TLS 1.2+ voor al het verkeer.
• Versleuteling in rust: volledige database-encryptie via Railway.
• Toegangscontrole: toegang tot productiegegevens beperkt tot strikt noodzakelijke personen; rolgebaseerde authenticatie binnen het systeem.
• Audit-logging: append-only log van betekenisvolle handelingen (rapportgeneratie, accountverwijdering, abonnementswijzigingen).
• Bewaring brondocument: EPC-attesten die je uploadt worden bij het bijhorende renovatierapport bewaard op door Railway beheerde Postgres met volledige database-encryptie in rust, uitsluitend toegankelijk voor geauthenticeerde gebruikers binnen jouw kantoor, en automatisch verwijderd wanneer het rapport of de organisatie wordt verwijderd.
• Logs-filtering: EPC-inhoud wordt expliciet uit foutmeldingen en logs gefilterd vóór verzending naar Sentry.
• Onderhoud: reguliere updates van OS, runtime en afhankelijkheden.
• Back-ups: dagelijkse back-ups via Railway, met EU-residentie.
• Incidentresponse: proces voor detectie, beoordeling en melding van datalekken (zie sectie 7).

7. Datalekken

Bij een inbreuk op de beveiliging die persoonsgegevens betreft:

• FlowWell meldt het incident onverwijld en uiterlijk binnen 72 uur aan de klant, met alle informatie die nodig is om de melding aan de Gegevensbeschermingsautoriteit op te stellen (aard, betrokken categorieën gegevens en personen, mogelijke gevolgen, en getroffen of voorgenomen maatregelen).
• FlowWell verleent redelijke bijstand bij de communicatie naar betrokkenen wanneer een hoog risico bestaat (artikel 34 AVG).
• FlowWell documenteert elk incident intern, ook wanneer het niet aan de toezichthouder gemeld hoeft te worden.

8. Sub-verwerkers

De klant verleent algemene toestemming voor de inschakeling van sub-verwerkers, op voorwaarde dat:

• FlowWell met elke sub-verwerker een schriftelijke overeenkomst sluit die ten minste dezelfde verplichtingen oplegt als deze DPA, in het bijzonder inzake passende beveiligingsmaatregelen.
• FlowWell volledig aansprakelijk blijft tegenover de klant voor de naleving van de AVG door de sub-verwerker.
• FlowWell de klant minstens 30 dagen vooraf informeert over voorgenomen wijzigingen in de lijst van sub-verwerkers, met recht op gemotiveerd bezwaar. Bij gegrond bezwaar zoeken partijen samen een redelijke oplossing.

De actuele lijst van sub-verwerkers is opgenomen in het privacybeleid, sectie 6: Clerk, Stripe, Resend, Sentry, Railway, Anthropic.

9. Internationale doorgifte

Doorgifte van persoonsgegevens naar sub-verwerkers gevestigd in de Verenigde Staten (Clerk, Anthropic, Resend, Railway US-regio) gebeurt op basis van de Standard Contractual Clauses van de Europese Commissie (Uitvoeringsbesluit 2021/914 van 4 juni 2021), aangevuld met aanvullende technische en organisatorische maatregelen waar passend.

10. Bijstand aan jouw verplichtingen

FlowWell verleent de klant redelijke bijstand, rekening houdend met de aard van de verwerking en de beschikbare informatie, bij:

• Verzoeken van betrokkenen (inzage, correctie, verwijdering, portabiliteit, beperking, bezwaar). Voor account- en rapportgegevens kan de klant deze rechten zelf uitoefenen via Instellingen.
• Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA, artikel 35 AVG).
• Voorafgaande raadpleging van de Gegevensbeschermingsautoriteit (artikel 36 AVG).
• Reguliere audits van de naleving van deze DPA, op redelijke termijn aangekondigd en redelijkerwijs uit te voeren. FlowWell kan voldoen aan auditverzoeken door middel van actuele certificeringen of attesten van onafhankelijke auditors van de sub-verwerkers.

11. Beëindiging — verwijdering of teruggave

Bij beëindiging van de dienst:

• Persoonsgegevens worden binnen 30 dagen na beëindiging permanent verwijderd uit onze productiesystemen.
• Facturen blijven 7 jaar bewaard in overeenstemming met de Belgische fiscale bewaarplicht.
• Back-ups worden in het normale rotatieproces overschreven binnen 30 dagen.
• Op verzoek leveren we vooraf een export aan in een gangbaar formaat (JSON), via de exportfunctie in Instellingen of via een ondersteuningsverzoek.

12. Aansprakelijkheid

De aansprakelijkheid van FlowWell onder deze DPA wordt geregeld door artikel 82 AVG en de aansprakelijkheidsbepalingen in de algemene voorwaarden. Voor schade als gevolg van schending van de AVG geldt het wettelijk regime.

13. Wijzigingen

Wijzigingen aan deze DPA worden minstens 30 dagen vooraf gecommuniceerd, met uitzondering van wijzigingen die nodig zijn om aan dwingend recht te voldoen.

14. Toepasselijk recht

Op deze DPA is het Belgisch recht van toepassing. Geschillen worden in eerste aanleg voorgelegd aan de bevoegde rechtbanken van Antwerpen.

15. Contact

FlowWell — Robin Van Camp
Herentalsebaan, 2100 Antwerpen, België
KBO BE 1019.778.519
Vragen over deze DPA: contact@flowwell.be

Privacybeleid · Algemene voorwaarden