Overslaan naar inhoud


VOLTMASTERS BV - VERWERKERSOVEREENKOMST

Versie: 1.0 2026

Deze verwerkersovereenkomst (“Verwerkingsovereenkomst”) maakt integraal deel uit van de contractuele relatie tussen

Voltmasters BV, met exploitatiezetel te Konijnenboslaan 16, 8470 Gistel, België, met ondernemingsnummer BE 1003.977.120 (hierna de “Verwerker”); 

en 

de Klant, zijnde elke persoon of entiteit die een contractuele relatie met Voltmasters BV aangaat inzake het gebruik van de Voltmasters EMS Applicatie (hierna de “Verwerkingsverantwoordelijke”).

De  Verwerkingsovereenkomst is van toepassing telkens wanneer de Verwerker in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van de uitvoering van de Licentie op het gebruik van de Voltmasters EMS Applicaties door de Klant.


  1. Onderwerp en duur

    1. De  Verwerkingsovereenkomst regelt de verwerking van persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke, conform artikel 28 van de Algemene Verordening Gegevensbescherming (“AVG” of “GDPR”).

    2. De duur van de  Verwerkingsovereenkomst volgt de duur van de hoofdovereenkomst (waaronder de Softwarelicentieovereenkomst en de Algemene Voorwaarden) De verwerkingen starten bij activering van de diensten en eindigen bij verwijdering of terugzending van alle persoonsgegevens zoals voorzien in artikel 12.


2. Beschrijving van de verwerking

2.1. Doeleinden van de verwerking

De persoonsgegevens worden o.a. verwerkt voor:

  • gebruikersbeheer, authenticatie en toegangscontrole;

  • configuratie en beheer van projecten en EMS-controllers;

  • monitoring en optimalisatie van energieverbruik, productie en batterijgedrag;

  • opslag, analyse en visualisatie van time-series data;

  • auditing, beveiliging, incidentregistratie en logging;

  • support, onderhoud en productverbetering.

2.2. Categorieën persoonsgegevens

De gegevens worden bepaald door de Verwerkingsverantwoordelijke en kunnen onder meer omvatten:

Gebruikersgegevens:

  • Voornaam, achternaam, e-mailadres, telefoonnummer

  • Wachtwoord (gehashed), gebruikersrol, taalvoorkeur

  • IP-adressen, user agents, sessie-ID

  • Authenticatietokens (reset tokens, remember tokens)

Project- en technische gegevens:

  • Projectnaam, adres, GPS-coördinaten, tijdzone

  • Energiedata: peaks, grid limits, curtailment settings, strategie

  • EMS controller gegevens (hardware ID, serienummer)

  • Device parameters, verbindingsspecificaties

  • Certificaten en mediabestanden

  • Time-series data: verbruik, productie, batterijstatus, incidenten

Technische/loggegevens:

  • Activity logs (audit trail)

  • Sessie logs, beveiligings- en incidentlogs

2.3. Betrokkenen

  • Gebruikers en medewerkers van de Klant

  • Technische beheerders

  • Projectcontactpersonen

2.4. Soorten verwerkingen

  • Verzamelen, registreren en opslaan

  • Raadplegen, gebruiken en verwerken voor inspectiedoeleinden

  • Ordenen, structureren en rapporteren

  • Overdragen aan de Verwerkingsverantwoordelijke of diens systemen

  • Back-up, archivering en beveiligde verwijdering

Verwerking gebeurt via volgende systemen:

  • MySQL (primaire database)

  • Redis (sessies en cache)

  • InfluxDB (time-series opslag)

  • AWS S3 (bestanden, certificaten – regio EU-West-1)

De aan de Verwerker ter beschikking gestelde gegevens worden binnen de EER opgeslagen.

3. Verplichtingen van de Verwerker

De Verwerker verbindt zich ertoe om:

  • Persoonsgegevens uitsluitend te verwerken op schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist;

  • Onverminderd hetgeen bepaald in artikel 2.1. hiervoor, persoonsgegevens niet voor eigen doeleinden te gebruiken;

  • Alle personen die onder zijn gezag toegang hebben tot persoonsgegevens, contractueel tot vertrouwelijkheid te verplichten;

  • Passende technische en organisatorische beveiligingsmaatregelen te hanteren overeenkomstig artikel 32 AVG, met inbegrip van onder meer:

  • encryptie van gegevens tijdens overdracht en, waar mogelijk, in rust;

  • toegangscontrole en logging;

  • gebruik van beveiligde datacenters;

  • bescherming tegen malware en ongeoorloofde toegang;

  • monitoring van systemen en beveiligingsincidenten.

  • De Verwerkingsverantwoordelijke te ondersteunen bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar);

  • Waar nodig mee te werken aan gegevensbeschermingseffectbeoordelingen (DPIA’s) en overleg met toezichthoudende autoriteiten;

  • Geen verwerkingen uit te voeren buiten de EU/EER zonder dat voldaan is aan de voorwaarden van hoofdstuk V AVG;

  • Een actueel register van verwerkingsactiviteiten bij te houden voor de verwerkingen die hij als Verwerker uitvoert.

4. Datalekken

  1. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, en uiterlijk binnen 24 uur, schriftelijk op de hoogte van elk vastgesteld of redelijkerwijs vermoed datalek dat betrekking heeft op persoonsgegevens die in het kader van de  Verwerkingsovereenkomst worden verwerkt.

  2. De melding bevat in de mate van het mogelijke minstens:

  • De aard van het datalek en, indien mogelijk, de categorieën en aantallen betrokkenen en persoonsgegevens

  • De waarschijnlijke gevolgen van het datalek;

  • De reeds genomen en/of voorgestelde maatregelen om het datalek aan te pakken en de gevolgen ervan te beperken.

  1. De Verwerker verleent volledige medewerking aan de Verwerkingsverantwoordelijke bij het beoordelen van het datalek, het doen van meldingen aan toezichthouders en – indien vereist – aan betrokkenen, alsook bij eventuele verdere onderzoeken en corrigerende acties.

5. Subverwerkers

  1. De Verwerker mag subverwerkers inschakelen voor de uitvoering van de  Verwerkingsovereenkomst, op voorwaarde dat deze subverwerkers contractueel worden gebonden aan dezelfde privacy- en beveiligingsverplichtingen als opgenomen in de  Verwerkingsovereenkomst, conform artikel 28, lid 4 AVG.

  2. De Verwerker houdt een actuele lijst van subverwerkers bij (zie Bijlage I – Lijst van Subverwerkers).

Deze lijst bevat minstens:

  • De juridische entiteit;

  • Het doeleinde van de verwerking;

  • De hosting- of verwerkingslocatie;

  • Het adres van de subverwerker.

  1. De Verwerker informeert de Verwerkingsverantwoordelijke minstens 30 dagen vóór het toevoegen of vervangen van een subverwerker. De kennisgeving gebeurt via e-mail of via een kennisgeving in de applicatie. De Verwerkingsverantwoordelijke heeft het recht om binnen deze termijn gemotiveerd bezwaar te maken indien:

  • De subverwerker onvoldoende waarborgen biedt op het vlak van privacy of informatiebeveiliging; of

  • De subverwerker persoonsgegevens verwerkt in een land zonder passend beschermingsniveau en zonder geldig overdrachtsmechanisme. Indien een bezwaar ontvankelijk is, treden partijen in overleg om een passende oplossing te zoeken. Indien geen oplossing wordt gevonden binnen 15 dagen, mag de Verwerkingsverantwoordelijke:

  • De betrokken dienst(en) beëindigen; of

  • De verwerking beperken zodat de betreffende subverwerker niet wordt gebruikt. De Verwerker blijft volledig aansprakelijk voor de handelingen en nalatigheden van alle subverwerkers. Een inbreuk door een subverwerker wordt beschouwd als een inbreuk door de Verwerker zelf. Indien een subverwerker persoonsgegevens verwerkt buiten de EU/EER, waarborgt de Verwerker dat:

  • Een geldig mechanisme voor internationale doorgifte wordt gebruikt (zoals EU-modelcontractbepalingen of een adequaatheidsbesluit); en

  • aanvullende maatregelen worden getroffen indien nodig (bijvoorbeeld encryptie, pseudonimisering en contractuele beveiligingswaarborgen). De Verwerkingsverantwoordelijke kan op verzoek een kopie ontvangen van de relevante gegevensverwerkingsovereenkomsten tussen de Verwerker en zijn subverwerkers, waarbij commercieel vertrouwelijke informatie mag worden geanonimiseerd. De Verwerker schakelt geen subverwerkers in voor andere doeleinden dan noodzakelijk voor de uitvoering van de Voltmasters-diensten.

6. Internationale doorgifte

  1. Indien persoonsgegevens in het kader van de  Verwerkingsovereenkomst buiten de EU/EER worden verwerkt, zorgen partijen ervoor dat de doorgifte voldoet aan hoofdstuk V AVG (zoals adequaatheidsbesluiten, EU-modelcontractbepalingen of andere door de Europese Commissie goedgekeurde mechanismen).

  2. De Verwerker communiceert op verzoek transparant over de landen waar persoonsgegevens worden opgeslagen of verwerkt.

7. Rechten van betrokkenen

De Verwerkingsverantwoordelijke is primair verantwoordelijk voor het behandelen van verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG.

  1. De Verwerker zal de Verwerkingsverantwoordelijke kosteloos en binnen een redelijke termijn (maximaal 5 werkdagen) bijstaan bij:

  • Inzage- en rectificatieverzoeken;

  • Verzoeken tot wissing of beperking van verwerking;

  • Verzoeken tot gegevensoverdracht (dataportabiliteit);

  • bezwaar tegen bepaalde verwerkingen.


8. Beveiliging

  1. De Verwerker implementeert beveiligingsmaatregelen die zijn afgestemd op het risico, waaronder:

  • Toegangsbeheer op basis van “need-to-know” en “least privilege”;

  • Sterk wachtwoord- en authenticatiebeleid;

  • Versleutelde communicatie (bijv. TLS) en, waar mogelijk, versleutelde opslag;

  • Firewalls, netwerksegmentatie en monitoring;

  • Periodieke evaluatie en bijstelling van de beveiligingsmaatregelen.

De Verwerker stelt op verzoek een beschrijving van de belangrijkste technische en organisatorische beveiligingsmaatregelen ter beschikking van de Verwerkingsverantwoordelijke.

9. Audit en inspectie

De Verwerkingsverantwoordelijke heeft het recht om, maximaal éénmaal per jaar of bij gegronde vermoeden van inbreuk, een audit of inspectie te laten uitvoeren met betrekking tot de naleving van de  Verwerkingsovereenkomst. Audits gebeuren met redelijke voorafgaande kennisgeving en zonder onredelijke verstoring van de activiteiten van de Verwerker. De Verwerker kan alternatieve bewijzen ter beschikking stellen, zoals recente externe auditrapporten of certificeringen, mits deze de relevante beveiligingsaspecten voldoende dekken. Behoudens in geval een materiële inbreuk wordt vastgesteld, staat de Verwerkingsverantwoordelijke in voor de kosten van de audit 

10. Geheimhouding

De Verwerker behandelt alle persoonsgegevens die hij verwerkt in opdracht van de Verwerkingsverantwoordelijke als strikt vertrouwelijk.

De Verwerker waarborgt dat alle werknemers, consultants of andere personen die onder zijn verantwoordelijkheid handelen en toegang hebben tot persoonsgegevens, aan een passende vertrouwelijkheidsverplichting zijn onderworpen.


11. Aansprakelijkheid

Iedere partij is aansprakelijk voor de schade die voortvloeit uit haar eigen schending van de AVG of de Verwerkingsovereenkomst, in de mate dat deze schade aan haar toerekenbaar is. Behoudens opzet of zware fout is de totale aansprakelijkheid van de Verwerker uit hoofde van of in verband met de  Verwerkingsovereenkomst beperkt tot de bedragen die de Verwerkingsverantwoordelijke voor de relevante diensten gedurende de laatste twaalf (12) maanden voorafgaand aan het schadeverwekkende feit effectief aan de Verwerker heeft betaald Geen van beide partijen is aansprakelijk voor indirecte schade, gevolgschade, winstderving of verlies van kansen, behoudens indien dwingend recht anders bepaalt.

12. Einde van de verwerking

Bij beëindiging van de hoofdovereenkomst of op uitdrukkelijk schriftelijk verzoek van de Verwerkingsverantwoordelijke zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:

  • alle persoonsgegevens wissen; of

  • alle persoonsgegevens aan de Verwerkingsverantwoordelijke retourneren; of

  • de gegevens eerst retourneren en vervolgens wissen.

De Verwerker verwijdert definitief alle persoonsgegevens uiterlijk 30 dagen na het einde van het abonnement of de diensten, tenzij een wettelijke bewaarplicht een langere bewaartermijn vereist. De Verwerker kan op verzoek een schriftelijke bevestiging van de verwijdering verstrekken.

13. Rangorde en relatie tot andere documenten

Bij tegenstrijdigheid tussen de  Verwerkersovereenkomst en de hoofdovereenkomst gelden de volgende prioriteitsregels:

  1. de Verwerkersovereenkomst;

  2. de Softwarelicentie;

  3. de Algemene Voorwaarden;

  4. de door de klant aanvaarde offerte of het servicevoorstel.

De Verwerkingsovereenkomst vervangt alle eerdere verwerkersovereenkomsten tussen partijen met betrekking tot dezelfde diensten.

14. Wijzigingen

De Verwerker kan de  Verwerkingsovereenkomst wijzigen indien wet- en regelgeving, beveiligingsvereisten of operationele omstandigheden dit vereisen. Wijzigingen worden, waar redelijkerwijs mogelijk, minstens 30 dagen vooraf meegedeeld via de website van Voltmasters of via andere gebruikelijke communicatiekanalen. Indien een wijziging een substantiële impact heeft op de rechten of verplichtingen van de

Verwerkingsverantwoordelijke, kan de Verwerkingsverantwoordelijke de overeenkomst met betrekking tot de betrokken diensten beëindigen vóór de ingangsdatum van de wijziging.

15. Taal en interpretatie

De  Verwerkersovereenkomst kan in meerdere talen beschikbaar worden gesteld. In geval van tegenstrijdigheden, interpretatieverschillen of inconsistenties tussen een vertaalde versie en de Nederlandstalige versie, prevaleert uitsluitend de Nederlandstalige versie.

16. Toepasselijk recht en bevoegde rechtbank

Op de  Verwerkingsovereenkomst is uitsluitend Belgisch recht van toepassing.vAlle geschillen die voortvloeien uit of verband houden met de  Verwerkingsovereenkomst vallen onder de exclusieve bevoegdheid van de rechtbanken van het gerechtelijk arrondissement West-Vlaanderen.

Bijlage I – Lijst van Subverwerkers

Hieronder volgt de lijst met door Voltmasters vertrouwde subverwerkers. Deze subverwerkers zijn zorgvuldig geselecteerd om te voldoen aan de hoge normen van Voltmasters inzake beveiliging en gegevensbescherming.