Juridisch
Verwerkersovereenkomst
Wesender B.V. · KVK 90732510 · Laatste update: 1 juni 2026
1. Partijen en begrippen
Deze verwerkersovereenkomst ("VOK") wordt aangegaan tussen:
- Verwerkingsverantwoordelijke: de rechtspersoon of natuurlijke persoon die een Wesender-account gebruikt ("Afnemer").
- Verwerker: Wesender B.V., KVK 90732510 ("Wesender").
Deze VOK maakt onlosmakelijk deel uit van de overeenkomst tussen Afnemer en Wesender en is van toepassing op alle persoonsgegevens die Afnemer via de Wesender API verwerkt.
2. Aard en doel van de verwerking
Wesender verwerkt persoonsgegevens uitsluitend ten behoeve van:
- het bezorgen van e-mails namens Afnemer (transactionele e-mail);
- het bijhouden van bezorglogboeken (maximaal 30 dagen);
- het afhandelen van bounces, klachten en suppressies;
- het leveren van webhooks bij bezorggebeurtenissen.
Wesender verwerkt de gegevens uitsluitend op instructie van Afnemer en niet voor eigen doeleinden.
3. Soorten persoonsgegevens
| Categorie | Voorbeelden |
|---|---|
| Contactgegevens ontvangers | E-mailadres, naam (indien in het "to"-veld) |
| Berichtinhoud | Onderwerp, HTML-body, bijlagen (tijdelijk tijdens bezorging) |
| Bezorgmetadata | Tijdstempel, IP-adres ontvangende server, bouncereden |
4. Verplichtingen van Wesender als verwerker
Wesender verplicht zich tot het volgende:
- Persoonsgegevens uitsluitend verwerken op documenteerde instructie van Afnemer.
- Geheimhouding opleggen aan medewerkers die toegang hebben tot de gegevens.
- Passende technische en organisatorische beveiligingsmaatregelen treffen (zie artikel 5).
- Afnemer onverwijld informeren als een instructie naar het oordeel van Wesender in strijd is met de AVG.
- Afnemer binnen 72 uur na ontdekking informeren over een datalek dat hem aangaat.
- Ondersteuning bieden bij verzoeken van betrokkenen (inzage, verwijdering, etc.).
5. Beveiliging
Wesender past minimaal de volgende beveiligingsmaatregelen toe:
- Versleuteling van gegevens in transit (TLS 1.2+) en in rust (AES-256).
- Toegangscontrole op basis van het least-privilege principe.
- Regelmatige back-ups met versleuteling, opgeslagen in Nederland.
- Automatische beveiligingsupdates op alle productieservers.
- Logboekregistratie van toegang tot persoonsgegevens.
- Tweefactorauthenticatie voor systeembeheerders.
6. Sub-verwerkers
Wesender maakt gebruik van de volgende sub-verwerkers:
| Naam | Dienst | Land |
|---|---|---|
| Mollie B.V. | Betalingsverwerking | Nederland |
| Postal (zelfgehost) | E-mailbezorging | Nederland |
| PowerDNS (zelfgehost) | DNS-beheer | Nederland |
Wesender informeert Afnemer minimaal 14 dagen van tevoren bij het toevoegen of wijzigen van sub-verwerkers. Afnemer heeft het recht hiertegen bezwaar te maken.
7. Doorgifte buiten de EER
Wesender geeft persoonsgegevens niet door aan landen buiten de Europese Economische Ruimte (EER). Alle servers staan in Nederland. Sub-verwerkers zijn gevestigd in de EER of vallen onder een geldende adequaatheidsbeslissing van de Europese Commissie.
8. Verwijdering bij contractbeëindiging
Na beëindiging van de overeenkomst verwijdert Wesender alle persoonsgegevens van Afnemer uit zijn systemen binnen 30 dagen, tenzij een wettelijke bewaarplicht geldt. Op verzoek verstrekt Wesender een schriftelijke bevestiging van de verwijdering.
9. Audit en compliance
Wesender stelt informatie ter beschikking die nodig is om de naleving van de verplichtingen uit de AVG aan te tonen. Afnemer heeft het recht een audit uit te voeren, of een door Wesender goedgekeurde auditor in te zetten, na minimaal 30 dagen voorafgaande kennisgeving. Auditkosten komen voor rekening van Afnemer.
10. Toepasselijk recht
Op deze VOK is Nederlands recht van toepassing. Geschillen worden beslecht bij de bevoegde rechter te Amsterdam. Voor vragen: privacy@wesender.nl.
Vragen over dit document?
Neem contact op via privacy@wesender.nl of via het contactformulier.