Verwerkersovereenkomst
Heb je een ondertekende verwerkersovereenkomst nodig voor je administratie? Stuur een e-mail naar info@userally.io en wij sturen hem binnen 1 werkdag retour.
Versie 1.0 — april 2026
Deze Verwerkersovereenkomst ("VOW" of "DPA") is een aanvulling op de Algemene Voorwaarden van Rally en regelt de verwerking van persoonsgegevens door Rally namens de Klant in het kader van de Rally-dienstverlening.
Partijen
Verwerkingsverantwoordelijke:
Het bedrijf dat een overeenkomst heeft gesloten met Rally voor het gebruik van de Dienst, hierna te noemen: "Verwerkingsverantwoordelijke" of "Klant."
Verwerker:
Rally B.V.
Van Spilbergenstraat 112-2
Amsterdam, Noord-Holland, Nederland
E-mail: info@userally.io
Hierna te noemen: "Verwerker" of "Rally."
Partijen worden gezamenlijk aangeduid als "Partijen."
Overwegingen
- De Verwerkingsverantwoordelijke maakt gebruik van de Rally-dienst voor het automatisch herstellen van mislukte betalingen van zijn eindklanten;
- In het kader van deze dienstverlening verwerkt Rally persoonsgegevens van eindklanten van de Verwerkingsverantwoordelijke;
- Partijen wensen de voorwaarden voor deze verwerking vast te leggen conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR);
- Deze overeenkomst vormt de verwerkersovereenkomst als bedoeld in artikel 28 lid 3 AVG.
Artikel 1 — Definities
1.1 AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
1.2 Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4(1) AVG.
1.3 Verwerking: Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens als bedoeld in artikel 4(2) AVG.
1.4 Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben — in dit geval de eindklanten van de Verwerkingsverantwoordelijke.
1.5 Subverwerker: Een derde partij die door Rally wordt ingeschakeld voor de verwerking van persoonsgegevens in het kader van deze overeenkomst.
1.6 Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.
1.7 Dienst: Het Rally-platform voor geautomatiseerd betaalherstel zoals omschreven in de Algemene Voorwaarden.
Artikel 2 — Onderwerp en doel van de verwerking
2.1 Rally verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Dienst: het herstellen van mislukte betalingen van eindklanten van de Verwerkingsverantwoordelijke.
2.2 Rally verwerkt de persoonsgegevens niet voor eigen doeleinden, met uitzondering van geanonimiseerde en geaggregeerde data voor de verbetering van haar AI-modellen. Bij gebruik voor modelverbetering worden persoonsgegevens volledig geanonimiseerd voordat zij worden verwerkt.
2.3 Rally handelt uitsluitend op basis van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.
Artikel 3 — Aard en categorieën van persoonsgegevens
3.1 Categorieën van betrokkenen:
- Eindklanten (abonnees en betalende klanten) van de Verwerkingsverantwoordelijke
3.2 Categorieën van persoonsgegevens:
| Categorie | Specifieke gegevens |
|---|---|
| Identificatiegegevens | Naam, e-mailadres |
| Betalingsgegevens | Betalingsstatus, factuurbedrag, afwijzingscode, Stripe klant-ID |
| Abonnementsgegevens | Abonnementstype, startdatum, verlengingsdatum |
| Communicatiegegevens | Verzonden herstel-e-mails, klikgedrag, responstijdstip |
| Technische gegevens | IP-adres (bij gebruik van de kaartupdate-pagina) |
3.3 Bijzondere categorieën van persoonsgegevens:
Rally verwerkt geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG (zoals gezondheidsgegevens, biometrische gegevens of strafrechtelijke gegevens).
3.4 Betalingskaartgegevens:
Rally slaat nooit volledige betaalkaartgegevens op. Alle betalingsverwerking verloopt uitsluitend via Stripe. Rally heeft geen toegang tot PAN-nummers, CVC-codes of pincodetalen.
Artikel 4 — Duur van de verwerking
4.1 Rally verwerkt persoonsgegevens zolang de overeenkomst met de Verwerkingsverantwoordelijke van kracht is.
4.2 Na beëindiging van de overeenkomst verwijdert Rally alle persoonsgegevens van eindklanten binnen 90 dagen, tenzij een langere bewaartermijn wettelijk verplicht is.
4.3 Op verzoek van de Verwerkingsverantwoordelijke verstrekt Rally een bevestiging van de verwijdering.
Artikel 5 — Verplichtingen van Rally als Verwerker
Rally verbindt zich tot het volgende:
5.1 Instructies opvolgen
Rally verwerkt persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Indien Rally van mening is dat een instructie in strijd is met de AVG, informeert Rally de Verwerkingsverantwoordelijke onmiddellijk.
5.2 Vertrouwelijkheid
Rally zorgt ervoor dat alle personen die gemachtigd zijn om persoonsgegevens te verwerken, een passende geheimhoudingsverplichting zijn aangegaan.
5.3 Technische en organisatorische maatregelen
Rally implementeert passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, waaronder:
- Versleuteling van data in transit via TLS 1.2 of hoger
- Versleuteling van data in rust via AES-256
- Toegangscontrole op basis van het minimale-privilege principe
- Tweefactorauthenticatie voor toegang tot productiesystemen
- Regelmatige beveiligingsaudits
- Geautomatiseerde monitoring van ongeautoriseerde toegangspogingen
- Volledige audit logging van alle verwerkingshandelingen
5.4 Subverwerkers
Rally schakelt subverwerkers in zoals opgenomen in Bijlage A. Rally informeert de Verwerkingsverantwoordelijke minimaal 30 dagen van tevoren over de inschakeling van nieuwe subverwerkers. De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen de inschakeling van een nieuwe subverwerker.
5.5 Ondersteuning bij rechten van betrokkenen
Rally ondersteunt de Verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid, bezwaar). Rally reageert op dergelijke verzoeken binnen 5 werkdagen.
5.6 Ondersteuning bij beveiliging en datalekken
Rally stelt de Verwerkingsverantwoordelijke in staat te voldoen aan zijn verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG (beveiliging, datalekken, DPIA).
5.7 Melding datalekken
Rally meldt een datalek dat de persoonsgegevens van eindklanten van de Verwerkingsverantwoordelijke betreft, binnen 72 uur na ontdekking aan de Verwerkingsverantwoordelijke. De melding bevat ten minste:
- Een beschrijving van de aard van het datalek
- De categorieën en het (geschatte) aantal betrokkenen
- De categorieën en het (geschatte) aantal getroffen persoonsgegevens
- De waarschijnlijke gevolgen van het datalek
- De maatregelen die Rally heeft genomen of voorstelt te nemen
5.8 Privacy Impact Assessment (DPIA)
Rally verleent medewerking aan een DPIA-verzoek van de Verwerkingsverantwoordelijke en verstrekt de benodigde informatie.
5.9 Auditrecht
Rally stelt de Verwerkingsverantwoordelijke in staat audits uit te voeren, of laat deze uitvoeren door een door de Verwerkingsverantwoordelijke aangewezen auditor, met betrekking tot de naleving van deze VOW. Audits worden minimaal 14 dagen van tevoren aangekondigd en vinden niet vaker dan eenmaal per jaar plaats, tenzij er concrete aanleiding bestaat voor een extra audit.
5.10 Teruggave of verwijdering
Na afloop van de overeenkomst verwijdert of retourneert Rally, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens en bestaande kopieën daarvan binnen 90 dagen.
Artikel 6 — Verplichtingen van de Verwerkingsverantwoordelijke
6.1 De Verwerkingsverantwoordelijke garandeert dat hij gerechtigd is de persoonsgegevens aan Rally te verstrekken voor de in deze VOW omschreven doeleinden.
6.2 De Verwerkingsverantwoordelijke zorgt voor een geldige rechtmatige grondslag voor de verwerking van persoonsgegevens door Rally.
6.3 De Verwerkingsverantwoordelijke informeert zijn eindklanten over de verwerking van hun persoonsgegevens door Rally in het kader van betaalherstel, conform zijn privacybeleid.
6.4 De Verwerkingsverantwoordelijke instrueert Rally uitsluitend schriftelijk (per e-mail of via het platform) over de verwerking van persoonsgegevens.
Artikel 7 — Doorgifte buiten de EER
7.1 Rally verwerkt persoonsgegevens primair binnen de Europese Economische Ruimte (EER), via datacenters in Frankfurt, Duitsland.
7.2 Voor doorgifte aan subverwerkers buiten de EER (zoals Anthropic en Stripe in de VS) zorgt Rally voor een passend beschermingsniveau via:
- Standaard Contractuele Clausules (SCC's) goedgekeurd door de Europese Commissie (Besluit 2021/914/EU)
- Aanvullende technische en organisatorische maatregelen waar vereist
7.3 Een actueel overzicht van doorgiften en de bijbehorende waarborgen is op aanvraag beschikbaar via info@userally.io.
Artikel 8 — Subverwerkers
Bijlage A — Goedgekeurde subverwerkers:
| Naam | Dienst | Locatie | Waarborg |
|---|---|---|---|
| Supabase Inc. | Databaseopslag | Frankfurt, Duitsland (EU) | EU-locatie |
| Stripe, Inc. | Betalingsinfrastructuur en OAuth | Verenigde Staten | SCC's |
| Anthropic, Inc. | AI-tekstgeneratie (herstel-e-mails) | Verenigde Staten | SCC's |
| Resend, Inc. | Verzenden van e-mails | EU-servers | EU-locatie |
| Railway Corporation | Applicatiehosting | EU-regio | EU-locatie |
8.1 Rally sluit met elke subverwerker een verwerkersovereenkomst af die minimaal dezelfde verplichtingen oplegt als deze VOW.
8.2 Rally blijft volledig verantwoordelijk jegens de Verwerkingsverantwoordelijke voor de naleving van deze VOW door subverwerkers.
Artikel 9 — Aansprakelijkheid
9.1 Partijen zijn elk aansprakelijk voor schade die betrokkenen lijden als gevolg van een schending van de AVG door de desbetreffende partij.
9.2 Rally is niet aansprakelijk voor schade die het gevolg is van onjuiste instructies van de Verwerkingsverantwoordelijke.
9.3 De aansprakelijkheidsbeperking uit de Algemene Voorwaarden is van overeenkomstige toepassing op deze VOW.
Artikel 10 — Toepasselijk recht en geschillen
10.1 Op deze VOW is Nederlands recht van toepassing.
10.2 Geschillen worden voorgelegd aan de bevoegde rechter in Amsterdam.
Artikel 11 — Wijzigingen
11.1 Rally behoudt zich het recht voor deze VOW te wijzigen bij veranderingen in de AVG, uitvoeringsbesluiten of subverwerkers.
11.2 Materiële wijzigingen worden minimaal 30 dagen van tevoren schriftelijk aangekondigd.
Artikel 12 — Ondertekening
Deze Verwerkersovereenkomst treedt in werking op het moment dat de Klant akkoord gaat met de Algemene Voorwaarden van Rally, hetzij via elektronische acceptatie op het platform, hetzij via schriftelijke ondertekening.
Voor elektronische acceptatie: door gebruik te maken van de Rally-dienst en het verbinden van uw Stripe-account, bevestigt de Verwerkingsverantwoordelijke kennis te hebben genomen van en akkoord te gaan met deze Verwerkersovereenkomst.
Voor schriftelijke ondertekening (op verzoek van enterprise-klanten):
Verwerkingsverantwoordelijke
Bedrijfsnaam: ___________________________
Naam vertegenwoordiger: ___________________________
Functie: ___________________________
Handtekening: ___________________________
Datum: ___________________________
Verwerker — Rally
Naam vertegenwoordiger: ___________________________
Functie: ___________________________
Handtekening: ___________________________
Datum: ___________________________
Rally B.V. · Van Spilbergenstraat 112-2 · Amsterdam · info@userally.io · userally.io
Dit document is versie 1.0. De meest actuele versie is altijd beschikbaar via userally.io/dpa