Naar inhoud
annex27

Juridisch

AVG / GDPR addendum

Laatst bijgewerkt: 2026-05-20

Bij elke betaalde opdracht ondertekenen wij standaard een verwerkersovereenkomst conform artikel 28 AVG. Hieronder de standaardbepalingen die wij hanteren. Maatwerk-DPA's zijn mogelijk in overleg.

Partijen

Verantwoordelijke: uw organisatie. Verwerker: Annex27 BV (KBO 1006.203.170, BTW BE1006.203.170).

Doel en aard van de verwerking

Uitvoering ISO 27001 gap-analyse, NIS2 Readiness Check, beleidspakket of pre-audit review. Verwerking is strikt beperkt tot wat noodzakelijk is voor deze dienstverlening.

Type persoonsgegevens

Contactgegevens van uw medewerkers, eventueel persoonsgegevens die in geüploade evidence-documenten voorkomen (bijv. rolbeschrijvingen, access-logs). Wij verzoeken u nadrukkelijk om uploads vooraf te pseudonimiseren waar mogelijk.

Subverwerkers

Wij gebruiken uitsluitend EU-gevestigde subverwerkers: AWS eu-west (hosting), Mollie BV (betalingen). Een actuele lijst is op aanvraag beschikbaar. Wijzigingen melden wij vooraf.

Beveiligingsmaatregelen

  • TLS 1.3 in transit, AES-256 at rest
  • Row-Level Security per tenant in PostgreSQL
  • Toegangslogging met datum, tijd en handeling
  • Multi-factor authenticatie voor alle Annex27-medewerkers
  • Periodieke penetration testing

Datalek-meldingen

Bij een vermoedelijk datalek informeren wij u binnen 24 uur na detectie, inclusief impact-inschatting en getroffen mitigatie-maatregelen. U behoudt de verantwoordelijkheid voor de melding bij toezichthouders.

Beëindiging

Na afronding worden gegevens automatisch verwijderd na 90 dagen, tenzij u eerder verzoekt. Op verzoek leveren wij een dataport-export aan in JSON-formaat.