Verwerkersovereenkomst

Deze Verwerkersovereenkomst (hierna: "VOK") wordt gesloten tussen de onderstaande partijen en maakt integraal onderdeel uit van de Algemene Voorwaarden van skINCI SCIEnce. Door aanvaarding bij registratie bevestigt de Verwerkingsverantwoordelijke kennis te hebben genomen van en akkoord te gaan met deze VOK.

Artikel 1 — Definities

In deze VOK wordt verstaan onder:

• AVG/GDPR: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (salonklant).
• Bijzondere categorieën: persoonsgegevens als bedoeld in art. 9 AVG, waaronder gezondheidsgegevens (allergieën, aandoeningen, medicatie, hormonale situatie).
• Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens.
• Verwerkingsverantwoordelijke: de salon die via skINCI SCIEnce persoonsgegevens van haar salonklanten laat verwerken.
• Verwerker: Schoonheidssalon Patricia VOF / skINCI SCIEnce, die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.
• Sub-verwerker: een derde die door de Verwerker is ingeschakeld en persoonsgegevens verwerkt in het kader van de dienstverlening.
• Betrokkene: de salonklant wiens persoonsgegevens worden verwerkt.
• Platform: het skINCI SCIEnce huidanalyseplatform, bereikbaar via skinciscience.com.
• Inbreuk in verband met persoonsgegevens (datalek): een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.

Artikel 2 — Onderwerp en duur van de verwerking

2.1 Onderwerp

Deze VOK regelt de verwerking van persoonsgegevens van salonklanten door de Verwerker, uitsluitend in het kader van de dienstverlening van het Platform aan de Verwerkingsverantwoordelijke: het genereren van gepersonaliseerde huidanalyserapporten en het ondersteunen van het klantopvolgingssysteem.

2.2 Aard en doel van de verwerking

Categorie	Aard van de verwerking	Doel
Identificatiegegevens salonklant	Opslag, raadpleging	Klantbeheer, rapportidentificatie
Huidgegevens en klachten	Opslag, verwerking door AI	Huidanalyserapport genereren
Gezondheidsgegevens (bijzondere categorieën)	Opslag, doorgifte aan AI-model, verwerking	Veilig en persoonlijk huidadvies, contra-indicatiefiltering
Foto's van de huid	Opslag, doorgifte aan AI-model voor analyse	Visuele huidanalyse en rapportage
Meetwaarden apparatuur	Opslag, verwerking door AI	Integratie meetdata in rapport
GDPR-toestemmingen (handtekening + tijdstempel)	Opslag	Bewijslast conform art. 7 AVG
Therapeutnotities	Opslag, raadpleging	Klantopvolging en dossiervorming

2.3 Categorieën betrokkenen

Salonklanten van de Verwerkingsverantwoordelijke: volwassen klanten van het schoonheidsinstituut die een huidanalyse ondergaan.

2.4 Duur

Deze VOK geldt zolang de Verwerkingsverantwoordelijke een actief account heeft op het Platform en eindigt automatisch bij beëindiging van het Abonnement, onverminderd de verplichtingen die van nature na beëindiging voortduren (met name de verwijderingsplicht en de geheimhoudingsplicht).

Artikel 3 — Verplichtingen van de Verwerker Art. 28 lid 3 AVG

3.1 Verwerking uitsluitend op instructie

De Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke — in casu: het gebruik van het Platform door de salon conform de Algemene Voorwaarden — tenzij een wettelijke verplichting hem verplicht anders te handelen. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke hiervan op de hoogte vóór de verwerking, tenzij de wet dit verbiedt.

3.2 Geheimhouding

De Verwerker garandeert dat personen die bevoegd zijn om persoonsgegevens te verwerken, een wettelijke of contractuele geheimhoudingsplicht hebben aanvaard. De Verwerker beperkt de toegang tot persoonsgegevens tot het strikt noodzakelijke minimum.

3.3 Technische en organisatorische beveiligingsmaatregelen Art. 32 AVG

De Verwerker neemt passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico. De concrete maatregelen zijn beschreven in Bijlage 1 bij deze VOK.

3.4 Sub-verwerkers Art. 28 lid 2 en 4 AVG

De Verwerker maakt gebruik van sub-verwerkers als vermeld in Bijlage 2. Door aanvaarding van deze VOK geeft de Verwerkingsverantwoordelijke een algemene schriftelijke toestemming voor het inschakelen van de vermelde sub-verwerkers, op voorwaarde dat de Verwerker met elke sub-verwerker een verwerkersovereenkomst sluit die minstens gelijkwaardige verplichtingen oplegt.

De Verwerker informeert de Verwerkingsverantwoordelijke minstens 14 dagen vooraf over beoogde wijzigingen in de sub-verwerkers. De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken. Indien bezwaar niet wordt gehonoreerd, kan de Verwerkingsverantwoordelijke de overeenkomst opzeggen zonder opzegvergoeding.

3.5 Bijstand bij betrokkenenrechten Art. 12–23 AVG

De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het nakomen van diens verplichtingen ten aanzien van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). De Verwerker behandelt dergelijke verzoeken die rechtstreeks bij hem worden ingediend binnen 5 werkdagen en verwijst ze door naar de bevoegde Verwerkingsverantwoordelijke.

3.6 Bijstand bij beveiligingsverplichtingen en DPIA Art. 32–36 AVG

De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het nakomen van verplichtingen inzake:

• Beveiliging van de verwerking (art. 32 AVG);
• Melding van datalekken aan de toezichthoudende autoriteit (art. 33 AVG) — zie art. 3.7;
• Communicatie van datalekken aan betrokkenen (art. 34 AVG);
• Een gegevensbeschermingseffectbeoordeling (DPIA) indien de Verwerkingsverantwoordelijke daartoe verplicht is (art. 35–36 AVG).

3.7 Melding van datalekken Art. 33–34 AVG

De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 24 uur na ontdekking op de hoogte van een datalek dat betrekking heeft op persoonsgegevens van de Verwerkingsverantwoordelijke. De melding bevat minimaal:

• Aard van het datalek en (bij benadering) het aantal betrokkenen en gegevensrecords;
• Naam en contactgegevens van de contactpersoon bij de Verwerker;
• Waarschijnlijke gevolgen van het datalek;
• Genomen of voorgestelde maatregelen.

De Verwerker verleent alle medewerking die de Verwerkingsverantwoordelijke nodig heeft om het datalek tijdig (binnen 72 uur) te melden aan de Gegevensbeschermingsautoriteit.

3.8 Verwijdering of teruggave van gegevens

Na beëindiging van de dienstverlening biedt de Verwerker de Verwerkingsverantwoordelijke gedurende 30 kalenderdagen de mogelijkheid alle persoonsgegevens te exporteren. Na die termijn wist de Verwerker alle persoonsgegevens van de Verwerkingsverantwoordelijke op veilige en onomkeerbare wijze, tenzij een wettelijke bewaarverplichting geldt. De Verwerker bevestigt de verwijdering schriftelijk op verzoek.

3.9 Medewerking aan controle en audits Art. 28 lid 3 h AVG

De Verwerker verleent de Verwerkingsverantwoordelijke alle informatie die nodig is om te aantonen dat de verplichtingen uit deze VOK worden nagekomen. De Verwerker staat controles en audits door de Verwerkingsverantwoordelijke of een door haar gemandateerde auditor toe, mits met een redelijke opzegtermijn van minimaal 14 dagen en op kosten van de Verwerkingsverantwoordelijke, en voor zover dit de reguliere dienstverlening niet onevenredig verstoort.

Artikel 4 — Verplichtingen van de Verwerkingsverantwoordelijke

• De Verwerkingsverantwoordelijke garandeert dat zij beschikt over een rechtsgeldige grondslag (art. 6 AVG) én, voor bijzondere categorieën, een uitdrukkelijke toestemming (art. 9 lid 2 a AVG) vóór zij persoonsgegevens van salonklanten via het Platform laat verwerken.
• De Verwerkingsverantwoordelijke informeert haar salonklanten conform art. 13 AVG over de verwerking van hun persoonsgegevens, inclusief de inschakeling van skINCI SCIEnce als verwerker.
• De Verwerkingsverantwoordelijke instrueert de Verwerker uitsluitend tot verwerkingen die in overeenstemming zijn met de AVG en overige toepasselijke wetgeving.
• De Verwerkingsverantwoordelijke voert, indien vereist (art. 35 AVG), een gegevensbeschermingseffectbeoordeling (DPIA) uit vóór aanvang van de verwerking van bijzondere categorieën van persoonsgegevens via het Platform.
• De Verwerkingsverantwoordelijke stelt de Verwerker onverwijld op de hoogte van wijzigingen die van invloed zijn op de verwerking (bv. intrekking van toestemming door een salonklant).

Artikel 5 — Bijzondere categorieën van persoonsgegevens Art. 9 AVG

Het Platform verwerkt bijzondere categorieën van persoonsgegevens als bedoeld in art. 9 AVG, met name gezondheidsgegevens (allergieën, chronische aandoeningen, actieve medicatie, hormonale situatie waaronder zwangerschap en IVF). De Verwerkingsverantwoordelijke erkent uitdrukkelijk dat:

• Zij als verwerkingsverantwoordelijke verantwoordelijk is voor het verkrijgen van de uitdrukkelijke toestemming van de salonklant (art. 9 lid 2 a AVG) vóór deze gegevens worden ingevoerd;
• De digitale handtekening en tijdstempel in het Platform de registratie van die toestemming ondersteunen, maar de inhoudelijke verantwoordelijkheid bij de Verwerkingsverantwoordelijke blijft;
• De Verwerker deze gegevens uitsluitend verwerkt voor de uitvoering van de dienst en ze niet gebruikt voor andere doeleinden, profilering of het trainen van AI-modellen.

Artikel 6 — Doorgifte buiten de EER

Voor de AI-rapportgeneratie worden persoonsgegevens (inclusief gezondheidsgegevens) doorgegeven aan Anthropic PBC (VS) als sub-verwerker. Deze doorgifte vindt uitsluitend plaats op basis van standaardcontractbepalingen (SCC's) goedgekeurd door de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914). De Verwerker heeft met Anthropic een DPA gesloten die bepaalt dat gegevens uitsluitend worden verwerkt voor de aangevraagde dienst en niet worden gebruikt voor modeltraining.

Alle andere persoonsgegevens worden opgeslagen op EU-servers (Frankfurt, Duitsland) via Supabase.

Artikel 7 — Aansprakelijkheid

Elke partij is aansprakelijk voor schade die derden (inclusief betrokkenen) lijden als gevolg van haar eigen schending van de AVG of deze VOK. De aansprakelijkheidsregeling in de Algemene Voorwaarden is van overeenkomstige toepassing.

Indien een betrokkene een schadevergoeding instelt tegen één van de partijen voor verwerking waarvoor beide partijen verantwoordelijk zijn, dragen zij de aansprakelijkheid intern in verhouding tot hun aandeel in de inbreuk.

Artikel 8 — Toepasselijk recht en geschillenbeslechting

Op deze VOK is Belgisch recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de rechtbanken van het arrondissement Oost-Vlaanderen, afdeling Dendermonde.

Artikel 9 — Wijzigingen en versioning

De Verwerker kan deze VOK wijzigen met inachtneming van een opzegtermijn van 30 dagen. Wijzigingen worden per e-mail meegedeeld aan de Verwerkingsverantwoordelijke. Indien de Verwerkingsverantwoordelijke niet akkoord gaat, heeft zij het recht het Abonnement zonder kosten te beëindigen vóór de inwerkingtreding van de wijziging. Voortgezet gebruik na de inwerkingtreding geldt als aanvaarding.

Versleuteling en gegevenstransport

• Alle communicatie tussen gebruikers en het Platform verloopt via TLS 1.2 of hoger (HTTPS).
• Foto's, rapporten en persoonsgegevens worden versleuteld opgeslagen in Supabase Storage (AES-256).
• De Anthropic API-sleutel is uitsluitend server-side opgeslagen via een Supabase Edge Function en nooit zichtbaar in de frontend of in versiebeheer.

Toegangsbeheer en authenticatie

• Authenticatie via Supabase Auth met JWT-sessies. Wachtwoorden worden opgeslagen als bcrypt-hash.
• Row Level Security (RLS) in Supabase garandeert dat elke salon uitsluitend haar eigen klantgegevens kan raadplegen. Databasepolicies op rijniveau voorkomen technisch elke kruislingse toegang.
• API-endpoints zijn beveiligd via JWT-validatie bij elke aanroep.
• Beheerders van skINCI SCIEnce hebben uitsluitend toegang tot metadata (geen inhoud van rapporten) voor platformbeheer.

Datalokalisatie en hosting

• Primaire opslag van persoonsgegevens op EU-servers (Frankfurt, Duitsland) via Supabase.
• Webhosting via Vercel (EU-regio).
• Betalingsverwerking via Stripe (gecertificeerd PCI-DSS Level 1). Volledige betaalkaartgegevens worden nooit opgeslagen op de servers van skINCI SCIEnce.

Gegevensminimalisatie en pseudonimisering

• Gebruiksstatistieken worden waar mogelijk geanonimiseerd verwerkt.
• Salonklanten worden intern geïdentificeerd via een UUID, niet via naam.

Beschikbaarheid en herstel

• Supabase biedt geautomatiseerde dagelijkse back-ups met een retentie van 7 dagen (afhankelijk van het Supabase-plan).
• Streefbeschikbaarheid: 99% op jaarbasis, exclusief geplande onderhoudswerkzaamheden.

Incidentbeheer

• Beveiligingsincidenten worden intern geregistreerd en geëscaleerd.
• Bij een datalek: melding aan de Verwerkingsverantwoordelijke binnen 24 uur, melding aan de GBA binnen 72 uur conform art. 33 AVG.

Organisatorische maatregelen

• Toegang tot productiedata is beperkt tot geautoriseerde beheerders van skINCI SCIEnce.
• Sub-verwerkers worden uitsluitend ingeschakeld na beoordeling van hun privacybeleid en het sluiten van een verwerkersovereenkomst.
• Periodieke evaluatie van beveiligingsmaatregelen bij platformupdates.

Sub-verwerker	Dienst	Vestigingsplaats	Grondslag doorgifte
Supabase Inc.	Database, authenticatie, bestandsopslag	VS (opslag EU — Frankfurt)	SCC's + Supabase DPA
Anthropic PBC	AI-rapportgeneratie (Claude API)	VS	SCC's + Anthropic DPA (geen modeltraining)
Stripe Inc.	Betalingsverwerking	VS/EU	SCC's + Stripe DPA — PCI-DSS L1
Vercel Inc.	Webhosting en deployment	VS (EU-regio ingesteld)	SCC's + Vercel DPA

De actuele lijst van sub-verwerkers is te allen tijde raadpleegbaar op skinciscience.com/verwerkersovereenkomst. Wijzigingen worden 14 dagen vooraf per e-mail meegedeeld.