Juridisch

Data Processing Agreement (DPA)

Hoe PimLayer persoonsgegevens verwerkt namens je organisatie, in overeenstemming met de GDPR.

Laatst bijgewerkt: 13 november 2025

Dit Data Processing Agreement (“DPA”) vormt een integraal onderdeel van de overeenkomst tussen PimLayer BV, met maatschappelijke zetel Emiel Clauslaan 21a, 9800 Deinze, België, BTW BE 0793.569.173 (“Verwerker”), en de klant die gebruikmaakt van het PimLayer-platform (“Verwerkingsverantwoordelijke”).

Deze DPA beschrijft de voorwaarden waaronder PimLayer persoonsgegevens verwerkt namens de klant, in overeenstemming met de General Data Protection Regulation (GDPR, EU 2016/679) en relevante Belgische wetgeving.

1. Onderwerp van de verwerking

PimLayer verwerkt persoonsgegevens uitsluitend in opdracht van de klant, voor de uitvoering van de overeenkomst, en voor de doeleinden die de klant bepaalt. De persoonsgegevens worden verwerkt binnen het PIM-platform en alle bijhorende diensten (support, hosting, logging, integraties).

2. Duur van de verwerking

De verwerking gebeurt gedurende de looptijd van de samenwerking. Na beëindiging worden gegevens verwijderd of teruggeleverd volgens artikel 11 van deze DPA.

3. Soorten persoonsgegevens

De verwerking kan, afhankelijk van het gebruik door de klant, onder meer onderstaande gegevens omvatten: contactgegevens (naam, e-mail, telefoon), gebruikersaccounts, login- en toegangslogs, productinformatie gelinkt aan personen (indien van toepassing), en interne opmerkingen, workflows of metadata. De klant blijft verantwoordelijk voor de soorten gegevens die in PimLayer worden ingevoerd.

4. Categorieën betrokkenen

Medewerkers van de klant, leveranciers of partners van de klant, en andere personen waarvan de klant gegevens in het platform invoert.

5. Doeleinden van de verwerking

PimLayer verwerkt persoonsgegevens enkel voor: het aanbieden van toegang tot het PIM-platform, technisch onderhoud, hosting en beveiliging, ondersteuning en klantendienst, monitoring en logging, de uitvoering van integraties en API-verkeer, en wettelijke verplichtingen (bijvoorbeeld boekhouding, veiligheid). PimLayer gebruikt gegevens nooit voor eigen doeleinden.

6. Verplichtingen van PimLayer (Verwerker)

PimLayer verbindt zich ertoe: alleen te verwerken volgens schriftelijke instructies van de klant, persoonsgegevens vertrouwelijk te behandelen, passende technische en organisatorische veiligheidsmaatregelen te nemen, toegang te beperken tot medewerkers die het strikt nodig hebben, onderverwerkers alleen in te schakelen met contractuele waarborgen, de klant te informeren over datalekken zonder onredelijke vertraging, assistentie te bieden aan de klant bij GDPR-verzoeken, audits toe te laten binnen redelijkheid, en gegevens niet te verwerken buiten de EU zonder geldige GDPR-mechanismen.

7. Beveiligingsmaatregelen

PimLayer voert beveiliging door op verschillende niveaus, waaronder: encryptie van data in transit en at rest, firewalls en netwerksegmentatie, sterke authenticatie en RBAC (role-based access control), continuïteits- en back-upbeleid, logregistratie en monitoring, en regelmatige beveiligingsupdates en kwetsbaarheidsscans. Een gedetailleerde beschrijving is op aanvraag beschikbaar voor klanten.

8. Onderverwerkers

PimLayer mag erkende derde partijen inzetten voor hosting en infrastructuur, e-maillevering, logging en monitoring, back-ups, en supporttools. Voor elke onderverwerker wordt een verwerkersovereenkomst (SCC’s of gelijkwaardig) afgesloten. Een actuele lijst is beschikbaar op verzoek.

9. Meldplicht datalekken

PimLayer zal de klant onverwijld informeren over elk bevestigd gegevenslek dat betrekking heeft op de verwerkte persoonsgegevens. Deze melding bevat de aard van het incident, de vermoedelijke impact, de genomen maatregelen, en aanbevelingen voor de klant.

10. Rechten van betrokkenen

PimLayer ondersteunt de klant bij het beantwoorden van GDPR-verzoeken zoals: recht op inzage, recht op rectificatie, recht op vergetelheid, recht op beperking, bezwaar, en dataportabiliteit. PimLayer reageert enkel op verzoeken die via de klant lopen.

11. Einde van de verwerking

Bij beëindiging van de overeenkomst verwijdert PimLayer alle persoonsgegevens van de klant, binnen 30 dagen na stopzetting, tenzij wettelijk langere bewaring verplicht is. Op verzoek kan PimLayer een export van de gegevens leveren voor beëindiging. Back-upkopieën worden automatisch overschreven volgens het interne retentiebeleid.

12. Internationale doorgifte

Indien gegevens buiten de EER worden verwerkt (bijvoorbeeld door cloudproviders), garandeert PimLayer een adequaatheidsbesluit, SCC’s (Standard Contractual Clauses), of een gelijkwaardig beschermingsniveau.

13. Aansprakelijkheid

De aansprakelijkheid van PimLayer blijft beperkt tot wat contractueel overeengekomen is tussen beide partijen. PimLayer is niet verantwoordelijk voor gegevens die de klant onrechtmatig invoert, verkeerde instructies van de klant, of beveiligingsrisico’s veroorzaakt door externe integraties die de klant zelf beheert.

14. Toepasselijk recht en bevoegde rechtbank

Deze DPA wordt beheerst door het Belgisch recht. Geschillen vallen onder de bevoegdheid van de rechtbanken van Gent, afdeling Gent.

15. Contact

Voor vragen over deze DPA: PimLayer BV, Emiel Clauslaan 21a, 9800 Deinze, België. BTW BE 0793.569.173. info@pimlayer.be, +32 (0)9 391 87 52.