Juridisch
Verwerkersovereenkomst — Versie 1.0
Van kracht vanaf 1 juli 2026
Nuvalo hecht veel waarde aan de privacy van jou en van jouw klanten. In deze verwerkersovereenkomst leggen wij vast hoe wij omgaan met de persoonsgegevens die jij via de Nuvalo Dienst verwerkt. We hebben gezorgd voor een begrijpelijk document dat je eenvoudig online kunt inzien en accepteren bij registratie.
Vragen? Mail naar info@gonuvalo.com.
Partijen
| Verwerker | Nuvalo, eenmanszaak naar Nederlands recht |
|---|---|
| KvK-nummer | 42095041 |
| BTW-nummer | NL005494323B20 |
| Vestigingsplaats | Ospel, Nederland |
| info@gonuvalo.com | |
| Hierna te noemen | "Nuvalo" of "Verwerker" |
en
| Verwerkingsverantwoordelijke | De ondernemer die een account heeft aangemaakt bij Nuvalo |
|---|---|
| Hierna te noemen | "Verwerkingsverantwoordelijke" of "jij" |
Samen te noemen: "Partijen".
Artikel 1 — Waarom deze overeenkomst?
Omdat jij als gebruiker van Nuvalo persoonsgegevens van jouw klanten opslaat in de Dienst — zoals namen, adressen en e-mailadressen — zijn wij verwerker van die gegevens in de zin van de AVG. Jij bent de verwerkingsverantwoordelijke: jij bepaalt wat er met de gegevens gebeurt en waarom. Wij verwerken de gegevens uitsluitend namens jou en op jouw instructie.
De AVG verplicht ons deze afspraken schriftelijk vast te leggen (artikel 28 AVG). Door bij registratie akkoord te gaan met deze verwerkersovereenkomst, voldoen Partijen aan die verplichting.
Artikel 2 — Begrippen
In deze verwerkersovereenkomst verstaan wij onder:
- AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 lid 1 AVG).
- Verwerking: elke bewerking met betrekking tot persoonsgegevens (artikel 4 lid 2 AVG).
- Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben — in dit geval de klanten van de Verwerkingsverantwoordelijke.
- Subverwerker: een derde partij die door Nuvalo wordt ingeschakeld voor de verwerking van persoonsgegevens in het kader van de Dienst.
- Datalek: een inbreuk in verband met persoonsgegevens (artikel 4 lid 12 AVG).
- Dienst: de Nuvalo offertemodule en/of custom webapplicaties beschikbaar via nuvalo.app en gonuvalo.com.
Artikel 3 — Wat verwerken we en waarom?
3.1 Doel van de verwerking
Nuvalo verwerkt persoonsgegevens uitsluitend om de Dienst aan jou te kunnen leveren. We gebruiken jouw klantgegevens niet voor eigen doeleinden — ze zijn en blijven van jou.
3.2 Wat we verwerken
In het kader van de Dienst verwerken wij de volgende persoonsgegevens van jouw klanten:
- Naam (voor- en achternaam of bedrijfsnaam).
- Adresgegevens (straat, huisnummer, postcode, plaats).
- E-mailadres.
- Telefoonnummer (indien ingevoerd).
- KvK-nummer en BTW-nummer (bij zakelijke klanten).
- IBAN-rekeningnummer (indien ingevoerd).
- Offerteinhoud en factuurbedragen.
Bij custom webapplicaties verwerken wij daarnaast de persoonsgegevens die in het kader van het betreffende project worden verwerkt, zoals vastgelegd in de projectafspraken of de bijbehorende offerte. De aard en de categorieën van die persoonsgegevens kunnen per project verschillen; deze verwerkersovereenkomst is daarop onverkort van toepassing.
Wij verwerken geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 AVG, tenzij dit voor een custom webapplicatie uitdrukkelijk en schriftelijk met jou is overeengekomen en daarvoor een geldige rechtsgrond bestaat.
3.3 Van wie zijn de gegevens?
De persoonsgegevens die jij invoert in de Dienst zijn en blijven van jou. Wij claimen nooit eigendom over deze gegevens.
3.4 Hoe lang bewaren we de gegevens?
Wij bewaren persoonsgegevens zolang jij gebruik maakt van de Dienst. Na beëindiging gelden de volgende termijnen:
- Offertedata en klantgegevens: beschikbaar voor export gedurende 12 maanden na beëindiging, daarna automatisch verwijderd.
- Geaccepteerde offertes en facturen: bewaard gedurende 7 jaar na het boekjaar waarop zij betrekking hebben (fiscale bewaarplicht). Na afloop automatisch verwijderd.
Na afloop van de bewaartermijnen verwijderen wij de gegevens volledig, tenzij een wettelijke bewaarplicht anders vereist.
Artikel 4 — Wat beloven wij jou?
4.1 Wij volgen jouw instructies
Wij verwerken persoonsgegevens uitsluitend op basis van jouw instructies — namelijk het gebruik van de Dienst zoals jij dat configureert. Wij wijken daar alleen van af als een wettelijke verplichting ons daartoe dwingt. In dat geval informeren wij jou, tenzij de wet ons verbiedt dat te doen.
4.2 Geheimhouding
Onze medewerkers en eventuele hulppersonen die toegang hebben tot jouw gegevens zijn gebonden aan geheimhouding. Wij zorgen dat dit contractueel of wettelijk is geregeld.
4.3 Beveiliging
Wij treffen passende technische en organisatorische maatregelen om jouw persoonsgegevens te beveiligen. Concreet betekent dit:
- Versleuteling van gegevens in transit via TLS/HTTPS en at rest in de database.
- Authenticatie via Supabase Auth met magic links — geen wachtwoorden opgeslagen.
- Row Level Security (RLS) op alle databasetabellen, zodat iedere gebruiker uitsluitend zijn eigen gegevens kan inzien.
- Opslag uitsluitend op servers in de Europese Unie (Supabase EU Frankfurt).
- Regelmatige automatische back-ups via Supabase, zodat gegevensverlies bij storingen minimaal is.
- Toegang tot productieomgevingen beperkt tot uitsluitend noodzakelijke personen.
4.4 Subverwerkers
Wij maken gebruik van de volgende subverwerkers. Met al deze partijen hebben wij een verwerkersovereenkomst gesloten:
| Subverwerker | Rol | Locatie |
|---|---|---|
| Supabase | Database, opslag en serverlogica (Edge Functions, back-ups) | EU (Frankfurt) |
| Resend | Verzenden van e-mails (offertes, inloglinks, bevestigingen) | VS (SCCs) |
| Cloudflare | DNS (domeinbeheer) | VS (SCCs) |
| Vercel | Hosting en CDN (beschikbaarheid en snelheid van de app en website) | VS (SCCs) |
Een actuele lijst van subverwerkers is altijd beschikbaar op gonuvalo.com/subverwerkers.
Wij leggen aan subverwerkers dezelfde verplichtingen op als de verplichtingen die wij in deze verwerkersovereenkomst zijn aangegaan. Komt een subverwerker zijn verplichtingen niet na? Dan blijven wij volledig aansprakelijk richting jou (artikel 28 lid 4 AVG).
Voor de doorgifte van persoonsgegevens naar de Verenigde Staten (Resend, Cloudflare en Vercel) zijn Standard Contractual Clauses (SCCs) van toepassing, vastgesteld door de Europese Commissie.
4.5 Wijzigingen in subverwerkers
Voegen wij een nieuwe subverwerker toe of vervangen wij een bestaande? Dan informeren wij jou minimaal 14 dagen vooraf per e-mail. Je hebt het recht bezwaar te maken tegen een nieuwe subverwerker. Als je bezwaar maakt en wij geen alternatief kunnen bieden, mag je de overeenkomst beëindigen zonder opzegtermijn.
4.6 Rechten van betrokkenen
Jij bent verantwoordelijk voor het beantwoorden van verzoeken van jouw klanten over hun privacyrechten (inzage, rectificatie, wissing, overdraagbaarheid, bezwaar). Wij helpen je daarbij waar wij kunnen. Ontvangt Nuvalo een verzoek rechtstreeks van een betrokkene, dan sturen wij het onverwijld door aan jou.
4.7 Datalekken — wij melden snel
Ontdekken wij een (vermoedelijk) datalek dat jouw gegevens betreft? Dan informeren wij jou onverwijld en uiterlijk binnen 48 uur na ontdekking. De melding bevat minimaal:
- De aard van het datalek.
- Welke categorieën persoonsgegevens en betrokkenen zijn getroffen.
- De vermoedelijke omvang.
- De maatregelen die we hebben genomen of zullen nemen.
Jij bent zelf verantwoordelijk voor de eventuele melding aan de Autoriteit Persoonsgegevens en de betrokken personen.
4.8 Auditrecht
Jij hebt het recht om, op eigen kosten en na schriftelijke kennisgeving van minimaal 14 dagen, een audit te (laten) uitvoeren naar de naleving van deze verwerkersovereenkomst. Wij verlenen medewerking en stellen de benodigde informatie beschikbaar. Wij mogen vragen dat een audit wordt uitgevoerd door een onafhankelijke en vertrouwelijke auditor.
Artikel 5 — Wat verwachten wij van jou?
Jij garandeert dat:
- Je een geldige rechtsgrond hebt voor de verwerking van de persoonsgegevens van jouw klanten (artikel 6 AVG).
- Je jouw klanten hebt geïnformeerd over de verwerking van hun persoonsgegevens, conform de AVG.
- De instructies die je ons geeft in overeenstemming zijn met de AVG en andere toepasselijke wet- en regelgeving.
- Je ons onverwijld informeert over wijzigingen die van invloed kunnen zijn op de verwerking.
- Je uitsluitend persoonsgegevens invoert die relevant en noodzakelijk zijn voor het gebruik van de Dienst.
Artikel 6 — Aansprakelijkheid
6.1 Onze aansprakelijkheid in het kader van deze verwerkersovereenkomst is beperkt tot het bedrag dat jij in de 12 maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan ons hebt betaald, met een maximum van € 5.000,-. Wij zijn niet aansprakelijk voor indirecte schade.
6.2 Als een derde ons aansprakelijk stelt voor schade die is ontstaan doordat jij de AVG of deze verwerkersovereenkomst hebt geschonden, vrijwaar jij ons voor die schade.
6.3 De beperking van aansprakelijkheid geldt niet bij opzet of grove nalatigheid van Nuvalo.
Artikel 7 — Overige bepalingen
7.1 Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Limburg.
7.2 Rangorde
In geval van strijdigheid tussen deze verwerkersovereenkomst en de Algemene Voorwaarden van Nuvalo prevaleert deze verwerkersovereenkomst voor zover het de verwerking van persoonsgegevens betreft.
7.3 Wijzigingen
Wij mogen deze verwerkersovereenkomst wijzigen. Wijzigingen worden minimaal 30 dagen voor inwerkingtreding per e-mail aangekondigd. Voortgezet gebruik van de Dienst na de ingangsdatum geldt als aanvaarding. Ben je het niet eens? Dan kun je de overeenkomst beëindigen voor de ingangsdatum.
7.4 Akkoordverklaring
Door bij registratie de betreffende checkbox aan te vinken, verklaart de Verwerkingsverantwoordelijke kennis te hebben genomen van en in te stemmen met deze verwerkersovereenkomst. Nuvalo registreert de datum, het tijdstip en het IP-adres van de acceptatie als bewijs.
Versie en datum
| Versie | 1.0 |
|---|---|
| Datum | 1 juli 2026 |
| Van kracht vanaf | 1 juli 2026 |
| Status | Eerste versie |
| Verwerker | Nuvalo — KvK 42095041 |
Vragen over deze verwerkersovereenkomst? Mail naar info@gonuvalo.com.