Verwerkersovereenkomst

Opdrachtgever	[naam + rechtsvorm onderwijsinstelling]
Verwerker	Kamels B.V. (Calendrum)
Versie	1.0
Datum	[datum invullen]

Partijen

[naam + rechtsvorm onderwijsinstelling], KvK-nummer [KvK-nummer], gevestigd en kantoorhoudende aan [adres, postcode + plaats], te dezen rechtsgeldig vertegenwoordigd door [functie + naam], hierna te noemen: “Opdrachtgever”;
Kamels B.V., KvK-nummer 77418689, gevestigd en kantoorhoudende aan Zuiderzeestraatweg 125, te (8096 BE) Oldebroek, te dezen rechtsgeldig vertegenwoordigd door R. Lindeboom, directeur-grootaandeelhouder, hierna te noemen: “Verwerker”.

Hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”.

Overwegen het volgende

Opdrachtgever en Verwerker zijn een overeenkomst aangegaan waarbij is overeengekomen dat Verwerker in opdracht van Opdrachtgever het product Calendrum levert: een online register waarmee schoolbesturen contracten, beleidsstukken, VOG’s en wettelijke planverplichtingen bewaken en tijdig gesignaleerd worden. Deze overeenkomst (hierna: Onderliggende Overeenkomst) leidt ertoe dat Verwerker in opdracht van Opdrachtgever Persoonsgegevens Verwerkt.
Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 AVG, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Komen het volgende overeen:

Artikel 1: Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

AVG: de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679);
Betrokkene, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;
Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG;
Instructies: geschreven of elektronisch gestuurde aanwijzing van de Opdrachtgever aan de Verwerker;
Onderliggende Overeenkomst: de overeenkomst tussen Opdrachtgever en Verwerker voor het gebruik van Calendrum;
Subverwerker: de partij die door Verwerker wordt ingeschakeld als verwerker ten behoeve van de Verwerking van de Persoonsgegevens;
Toezichthoudende Autoriteit: de Autoriteit Persoonsgegevens.

Artikel 2: Onderwerp en opdracht

Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de Onderliggende Overeenkomst.
De Opdrachtgever, in de hoedanigheid van Verwerkingsverantwoordelijke, geeft Verwerker conform artikel 28 AVG Instructies om Persoonsgegevens te Verwerken. De Instructies zijn onder meer omschreven in Bijlage 1.
De Verwerker informeert de Opdrachtgever indien een Instructie naar mening van Verwerker in strijd is met de AVG.
Verwerker brengt Opdrachtgever onverwijld op de hoogte indien Verwerker niet langer aan deze Verwerkersovereenkomst kan voldoen.

Artikel 3: Rolverdeling

Opdrachtgever is Verwerkingsverantwoordelijke en bepaalt het doel en de middelen van de Verwerking.
Verwerker Verwerkt de Persoonsgegevens uitsluitend in opdracht van de Opdrachtgever.
Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt Verwerker een register bij van verwerkingsactiviteiten.

Artikel 4: Gebruik Persoonsgegevens

Verwerker verplicht zich de Persoonsgegevens niet voor andere doeleinden te gebruiken dan waarvoor zij zijn verstrekt. Verwerker Verwerkt niet voor eigen doeleinden of doeleinden van derden, tenzij een wettelijke bepaling daartoe verplicht.
De Verwerking vindt nooit plaats voor reclamedoeleinden of het doen van ongevraagde aanbiedingen door Verwerker.
De doeleinden, Verwerkingen en categorieën Persoonsgegevens zijn gespecificeerd in Bijlage 1.

Artikel 5: Vertrouwelijkheid

Verwerker behandelt alle Persoonsgegevens strikt vertrouwelijk. Eenieder die Verwerker betrekt bij de Verwerking heeft een geheimhoudingsplicht.
Personen onder gezag van Verwerker hebben uitsluitend toegang tot Persoonsgegevens voor zover noodzakelijk voor hun werkzaamheden.

Artikel 6: Beveiliging

Beide Partijen treffen passende technische en organisatorische maatregelen conform artikel 32 AVG.
De getroffen beveiligingsmaatregelen zijn vastgelegd in Bijlage 2.
Beide Partijen evalueren periodiek hun beveiligingsmaatregelen en passen deze aan waar nodig.
Opdrachtgever heeft het recht om, in overleg met Verwerker en met inachtneming van een redelijke termijn, naleving te controleren middels een audit. Kosten komen voor rekening van Opdrachtgever, tenzij uit de audit gebreken blijken die aan Verwerker toerekenbaar zijn.

Artikel 7: Datalekken

Beide Partijen hebben een passend beleid voor de omgang met Datalekken.
Indien een Datalek wordt vastgesteld, informeert de ontdekkende Partij de andere Partij zonder onredelijke vertraging. Verwerker verstrekt alle relevante informatie, inclusief genomen maatregelen.
Verwerker informeert Opdrachtgever onverwijld bij een vermoeden dat een Datalek een hoog risico inhoudt voor betrokkenen (artikel 34 lid 1 AVG).
Opdrachtgever voldoet aan eventuele wettelijke meldingsplichten.
Partijen documenteren alle Datalekken in een incidentenregister.

Artikel 8: Medewerking

Verwerker verleent medewerking bij het nakomen van de verplichtingen van Opdrachtgever op grond van de AVG, waaronder: verzoeken van betrokkenen (hoofdstuk III AVG), audits, DPIA’s en verzoeken van de Toezichthoudende Autoriteit.
Klachten of verzoeken van Betrokkenen stuurt Verwerker onverwijld door naar Opdrachtgever.

Artikel 9: Doorgifte buiten de EER

Verwerker is uitsluitend gerechtigd tot doorgifte buiten de EER indien Opdrachtgever daarvoor specifieke schriftelijke toestemming heeft gegeven, of indien een geldige overdrachtsgrond uit hoofdstuk V AVG van toepassing is.
Bij doorgifte zien Partijen erop toe dat dit conform wettelijke voorschriften plaatsvindt. Eventuele derde landen zijn opgenomen in Bijlage 1.

Artikel 10: Subverwerker

Opdrachtgever geeft Verwerker door ondertekening toestemming tot het inschakelen van Subverwerkers zoals opgenomen in Bijlage 1.
Bij voorgenomen wijzigingen licht Verwerker Opdrachtgever in, met een bezwaartermijn van 6 weken.
Verwerker legt iedere Subverwerker minimaal dezelfde verplichtingen op als in deze Verwerkersovereenkomst.

Artikel 11: Bewaartermijnen en vernietiging

Verwerker Verwerkt de Persoonsgegevens niet langer dan de bewaartermijnen in Bijlage 1.
Bij beëindiging van deze Verwerkersovereenkomst levert Verwerker de Persoonsgegevens terug en/of vernietigt deze binnen een door Partijen overeengekomen termijn.
Verwerker bevestigt schriftelijk dat vernietiging heeft plaatsgevonden.

Artikel 12: Aansprakelijkheid

Partijen kunnen afspraken over aansprakelijkheid opnemen in de Onderliggende Overeenkomst.
Aansprakelijkheidsbeperkingen gelden niet bij verhaalsacties op grond van artikel 82 AVG of verhaal van een boete van de Autoriteit Persoonsgegevens.

Artikel 13: Duur en beëindiging

De looptijd is gelijk aan de looptijd van de Onderliggende Overeenkomst, inclusief verlengingen.
Tot teruglevering en vernietiging conform artikel 11 blijft Verwerker de artikelen naleven.

Artikel 14: Toepasselijk recht en geschillen

Deze Verwerkersovereenkomst wordt beheerst door Nederlands recht.
Geschillen worden voorgelegd aan de bevoegde rechter in de plaats van vestiging van Opdrachtgever.

Ondertekening

Aldus overeengekomen, in tweevoud opgemaakt en ondertekend.

Opdrachtgever

Naam: __________________________

Functie: ________________________

Datum: _________________________

Handtekening:

Verwerker

Naam: R. Lindeboom

Functie: directeur-grootaandeelhouder

Datum: _________________________

Handtekening:

Bijlage 1: Verwerkingsbijlage Calendrum

A. Contactgegevens

Verwerker	Roel Lindeboom (DGA), Kamels B.V. · mail@kamels.nl · 06 21 91 58 75
Opdrachtgever	[naam, e-mail en telefoon invullen]

B. Beschrijving product

Naam product/dienst	Calendrum (verplichtingen- en signaleringsregister)
Naam Verwerker	Kamels B.V., Oldebroek
Link naar Verwerker	www.kamels.nl
Beknopte uitleg	Calendrum is een webapplicatie waarmee schoolbesturen hun verplichtingen bewaken: contracten, beleidsstukken, VOG’s en de wettelijke planverplichting, per school of bestuurs-breed. De applicatie bewaart uitsluitend een link naar het document (in SharePoint/Google Drive van het bestuur) — niet het document zelf — en stuurt automatische signalen vóór een deadline. Calendrum wordt gehost door MijnDomein.

C. Verwerkingen en doeleinden

De Verwerking van Persoonsgegevens vindt plaats voor de volgende doeleinden:

Het verkrijgen van toegang tot Calendrum, waaronder identificatie, authenticatie en autorisatie van gebruikers.
Het registreren en bewaken van verplichtingen en het versturen van signalen (per e-mail en in de app) aan de verantwoordelijke.
De beveiliging, controle en preventie van misbruik en oneigenlijk gebruik.
De continuïteit, verbetering en goede werking van Calendrum, waaronder onderhoud, back-ups en ondersteuning.

D. Verwerkingen

Onderdeel	Bijbehorende Verwerking(en)
Account & toegang	Opslaan en beheren van gebruikersaccounts (naam, e-mail, rol, gekoppeld bestuur/school). Wachtwoordloze authenticatie via SSO of een eenmalige e-maillink; sessiebeheer.
Verplichtingen (items)	Vastleggen van titel, documentlink, datums en de naam + het e-mailadres van de verantwoordelijke. Berekenen en versturen van signaalmomenten.
Beheer en ondersteuning	Logging van gebruikersacties in een auditlog (gebruiker-ID, actie, entiteit). Registratie van inlogpogingen (identifier, IP-adres, tijdstip).
Agenda-feed (iCal)	Optioneel, via een geheim adres: weergeven van deadlines in een agenda-app. De feed bevat uitsluitend titel en datum — géén documentlink en géén persoonsgegevens van de verantwoordelijke.

E. Categorieën Persoonsgegevens

Betrokkene: gebruiker (medewerker/contactpersoon van Opdrachtgever).

Categorie	Specificatie	Bewaartermijn
Accountgegevens	Naam, e-mailadres, rol, gekoppeld bestuur/school	Tot verwijdering account
Authenticatiegegevens	SSO-identiteit (provider + subject); optioneel wachtwoord-hash (bcrypt)	Tot verwijdering account
Sessiegegevens	IP-adres, user-agent, sessietoken (SHA-256-hash)	8 uur (auto-expire)
Inloglinks	Token (SHA-256-hash), doel, vervaltijd	Eenmalig; 30 min (login) / 14 dagen (uitnodiging)
Inlogpogingen	Identifier (e-mail), IP-adres, tijdstip	90 dagen
Itemgegevens	Titel, documentlink, datums, notitie; naam + e-mail van de verantwoordelijke	Tot verwijdering item/account
Auditlog	Gebruiker-ID, actie, entiteit, IP-adres, metadata	7 jaar
Meldingen	In-app meldingen	90 dagen na lezen
Organisatie-/huisstijl	Naam bestuur/school, logo, kleuren	Tot verwijdering account

F. Locatie van opslag en Verwerking

Verwerking	Locatie
Primaire opslag (database, logo’s)	MijnDomein datacenter, Nederland
Back-ups	Server-side, Nederland
E-mail (SMTP)	MijnDomein, Nederland (of de door Opdrachtgever geconfigureerde mailserver)

Doorgifte buiten de EER

Calendrum draait volledig binnen de EU (MijnDomein, Nederland); lettertypen worden self-hosted en er worden geen externe content- of trackingdiensten ingeladen. Inloggen via een eenmalige e-maillink verloopt eveneens volledig binnen de EER. Logt een gebruiker in via SSO (Google of Microsoft), dan vindt de authenticatie plaats bij de identityprovider van de gebruiker; daarbij kan verwerking buiten de EER plaatsvinden onder de voorwaarden (adequaatheidsbesluit/EU-modelcontractbepalingen) van die provider. De gebruiker authenticeert met het eigen account; Calendrum ontvangt enkel het geverifieerde e-mailadres en een identiteits-id. Door ondertekening geeft Opdrachtgever toestemming voor deze technische doorgifte bij gebruik van SSO.

G. Subverwerkers

Subverwerker	Doel	Data	Vestiging
MijnDomein	Webhosting, database, back-ups, SMTP	Alle opgeslagen data	Nederland

Google en Microsoft fungeren uitsluitend als identityprovider voor SSO. Zij verwerken het account van de gebruiker als zelfstandig verwerkingsverantwoordelijke (de gebruiker logt in met het eigen account) en worden daarom niet als Subverwerker aangemerkt.

Bijlage 2: Beveiligingsbijlage Calendrum

De Verwerker treft de volgende technische en organisatorische maatregelen ter beveiliging van de Verwerking van Persoonsgegevens.

A. Organisatorische maatregelen

Medewerkers van Verwerker met toegang tot Persoonsgegevens zijn gebonden aan geheimhouding.
Toegang tot systemen is beperkt tot geautoriseerde medewerkers op basis van het need-to-know-principe; binnen de applicatie geldt rolgebaseerde autorisatie (least privilege).
Verwerker heeft een procedure voor de omgang met beveiligingsincidenten en Datalekken.
Dataminimalisatie: Calendrum slaat geen documenten op, uitsluitend een link naar het bronsysteem van Opdrachtgever.

B. Technische maatregelen

Maatregel	Implementatie
Transport	HTTPS-only met 301-redirect; HSTS max-age 1 jaar inclusief subdomeinen
Authenticatie	Wachtwoordloos: SSO (Google/Microsoft, met eigen MFA) of een eenmalige, tijdgebonden e-maillink — uitsluitend op uitnodiging
Wachtwoorden	Waar een wachtwoord-hash bestaat: bcrypt cost 12 (one-way)
Sessiebeveiliging	SHA-256-gehashte tokens; Secure/HttpOnly/SameSite=Lax cookies; 8 uur auto-expire
CSRF-bescherming	Token-gebaseerd op alle state-changing operaties (POST/PUT/DELETE)
SQL-injectiepreventie	Uitsluitend geparametriseerde queries (PDO prepared statements)
XSS-preventie	Strikte Content-Security-Policy (script-src 'self') en output-escaping
Brute-force-bescherming	Rate limiting: 5 pogingen per 15 min op login, inloglink-aanvraag en contactformulier
Tenant-isolatie	Elke query filtert centraal op bestuur (board_id) en school
Uploadbeveiliging	MIME-/afbeeldingsvalidatie, willekeurige bestandsnamen, geen SVG, PHP-executie geblokkeerd in de uploadmap
Logging/audittrail	Alle mutaties gelogd met gebruiker-ID, actie, entiteit en IP-adres
Clickjacking	X-Frame-Options: SAMEORIGIN en frame-ancestors 'self'
Overige headers	X-Content-Type-Options: nosniff, Referrer-Policy, Permissions-Policy; open-redirect-bescherming

C. Contactgegevens beveiligingsincidenten

Verwerker	Roel Lindeboom (DGA), Kamels B.V. · mail@kamels.nl · 06 21 91 58 75
Opdrachtgever	[naam, e-mail en telefoon invullen]

Verwerkersovereenkomst Calendrum v1.0 · 10 juni 2026 · Kamels B.V., Oldebroek (KvK 77418689).