Verwerkersovereenkomst TrainHQ
Versie 1.0, van kracht per 24 mei 2026
Partijen
Verwerker: TrainHQ B.V., gevestigd in Nederland, KVK 98033808, e-mail hallo@trainhq.nl, hierna "TrainHQ."
Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die een account aanmaakt op trainhq.nl en daarmee deze overeenkomst aanvaardt op het moment van registratie, hierna "de PT."
Overwegingen
TrainHQ levert een SaaS-platform waarmee personal trainers klantdata beheren. De PT voert persoonsgegevens in van zijn of haar eindklanten, waaronder bijzondere persoonsgegevens in de zin van artikel 9 AVG, namelijk gezondheids- en lichaamsgegevens. TrainHQ verwerkt deze gegevens uitsluitend in opdracht van de PT. Artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming verplicht beide partijen deze afspraken schriftelijk vast te leggen.
Artikel 1, Definities
AVG: de Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/679. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 lid 1 AVG. Bijzondere persoonsgegevens: persoonsgegevens waaruit gezondheidsinformatie blijkt, als bedoeld in artikel 9 AVG, waaronder gewicht, lichaamssamenstelling, hartslag, conditiemetingen en andere fysiologische data. Verwerking: elke bewerking van persoonsgegevens, waaronder verzamelen, opslaan, raadplegen, wijzigen, doorzenden en verwijderen, als bedoeld in artikel 4 lid 2 AVG. Betrokkene: de eindklant van de PT van wie persoonsgegevens worden verwerkt via het TrainHQ-platform. Datalek: een inbreuk op de beveiliging die leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens als bedoeld in artikel 4 lid 12 AVG. Subverwerker: een derde partij die door TrainHQ wordt ingeschakeld om onderdelen van de verwerking uit te voeren.
Artikel 2, Onderwerp, duur en aard van de verwerking
TrainHQ verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de TrainHQ-dienst aan de PT. De verwerking omvat het opslaan, weergeven, beveiligen en op verzoek verwijderen van klantgegevens die de PT invoert. De overeenkomst gaat in op het moment dat de PT akkoord gaat bij registratie en loopt voor de duur van het actieve abonnement. Na beëindiging van het abonnement blijft artikel 9 van deze overeenkomst van kracht totdat alle persoonsgegevens zijn verwijderd.
Artikel 3, Categorieën van betrokkenen en persoonsgegevens
Betrokkenen zijn de eindklanten van de PT. De persoonsgegevens die worden verwerkt omvatten de volgende categorieën: identificatiegegevens zoals naam en e-mailadres, contactgegevens, gezondheids- en lichaamsgegevens zoals gewicht, vetpercentage, spiermassa, lichaamsomtrekken, rusthartslag, maximale hartslag, gemiddelde hartslag en conditiemetingen, trainingsgegevens zoals schema's, oefeningen, sessies, sets, herhalingen en gewichten, en optionele welzijnsgegevens zoals energie, slaap en stress indien de PT deze invoert. De gezondheids- en lichaamsgegevens kwalificeren als bijzondere persoonsgegevens conform artikel 9 lid 1 AVG. TrainHQ verwerkt deze uitsluitend op grond van de rechtsgrond die de PT als verwerkingsverantwoordelijke heeft vastgesteld, doorgaans de uitdrukkelijke toestemming van de betrokkene conform artikel 9 lid 2 sub a AVG.
Artikel 4, Verplichtingen van TrainHQ als verwerker
TrainHQ verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de PT en nooit voor eigen commerciële doeleinden. TrainHQ garandeert dat medewerkers en contractors die toegang hebben tot persoonsgegevens zijn gebonden aan een geheimhoudingsverplichting. TrainHQ neemt de volgende technische en organisatorische beveiligingsmaatregelen conform artikel 32 AVG: versleuteling van persoonsgegevens in rust via AES-256, versleuteling van persoonsgegevens in transit via TLS 1.2 of hoger, toegangsbeperking op basis van het need-to-know principe, authenticatie met wachtwoordbeveiliging en de mogelijkheid tot tweefactorauthenticatie voor PT-accounts, regelmatige back-ups met versleuteling, logging van toegang tot persoonsgegevens in productiesystemen, en een intern incidentresponsproces voor datalekken. TrainHQ informeert de PT onmiddellijk indien een instructie van de PT naar het oordeel van TrainHQ in strijd is met de AVG of andere toepasselijke wetgeving. TrainHQ ondersteunt de PT bij het afhandelen van verzoeken van betrokkenen inzake inzage, correctie, verwijdering en dataportabiliteit, voor zover technisch uitvoerbaar via de beheerfunctionaliteiten van het platform.
Artikel 5, Subverwerkers
TrainHQ maakt gebruik van de volgende goedgekeurde subverwerkers voor de uitvoering van de dienst:
Supabase Inc., gevestigd in de Verenigde Staten, voor databaseopslag, authenticatie en realtime functionaliteit. De productiedata van TrainHQ-gebruikers wordt opgeslagen op servers binnen de Europese Unie, regio Frankfurt, Duitsland. Supabase hanteert Standard Contractual Clauses goedgekeurd door de Europese Commissie voor gegevensoverdrachten buiten de EER. Supabase heeft een eigen Data Processing Addendum beschikbaar op supabase.com/legal/dpa.
Stripe Inc., gevestigd in de Verenigde Staten, voor verwerking van abonnementsbetalingen. Stripe verwerkt uitsluitend betaalgegevens van de PT zelf, niet van eindklanten van de PT. Standard Contractual Clauses zijn van toepassing op gegevensoverdrachten buiten de EER.
Cloudflare Inc., gevestigd in de Verenigde Staten, voor CDN-diensten, DNS en bescherming tegen DDoS-aanvallen. Cloudflare verwerkt geen persoonsgegevens van eindklanten van de PT, uitsluitend geanonimiseerde verkeersdata voor beveiligingsdoeleinden. Standard Contractual Clauses zijn van toepassing.
TrainHQ informeert de PT minimaal 14 kalenderdagen van tevoren via e-mail bij toevoeging van nieuwe subverwerkers of vervanging van bestaande subverwerkers. De PT heeft het recht binnen 14 dagen na kennisgeving schriftelijk bezwaar te maken. Indien partijen geen overeenstemming bereiken heeft de PT het recht de overeenkomst te beëindigen. TrainHQ legt aan elke subverwerker dezelfde verplichtingen op als in deze overeenkomst zijn vastgelegd en blijft volledig aansprakelijk jegens de PT voor de nakoming van die verplichtingen door subverwerkers, conform artikel 28 lid 4 AVG.
Artikel 6, Doorgifte buiten de Europese Economische Ruimte
Persoonsgegevens van eindklanten worden opgeslagen op servers binnen de EER. Indien voor technische ondersteuning of dienstverlening door subverwerkers toch overdracht buiten de EER plaatsvindt, is dit uitsluitend op basis van Standard Contractual Clauses als goedgekeurd door de Europese Commissie conform artikel 46 lid 2 sub c AVG, of een ander passend waarborg als bedoeld in hoofdstuk V AVG.
Artikel 7, Meldplicht bij datalekken
TrainHQ stelt de PT zo spoedig mogelijk in kennis van een datalek dat betrekking heeft op de door TrainHQ namens de PT verwerkte persoonsgegevens, en in ieder geval binnen 24 uur na ontdekking. De kennisgeving bevat minimaal de aard van het datalek, de betrokken categorieën en het geschatte aantal betrokkenen, de categorieën en het geschatte aantal getroffen persoonsgegevens, de naam en contactgegevens van de contactpersoon bij TrainHQ, de waarschijnlijke gevolgen van het datalek, en de maatregelen die TrainHQ heeft genomen of voorstelt te nemen. De PT blijft als verwerkingsverantwoordelijke verantwoordelijk voor de melding van het datalek aan de Autoriteit Persoonsgegevens binnen 72 uur conform artikel 33 AVG, en aan betrokkenen conform artikel 34 AVG indien van toepassing. TrainHQ verleent alle redelijke medewerking bij het opstellen van deze meldingen.
Artikel 8, Rechten van betrokkenen en DPIA-ondersteuning
TrainHQ ondersteunt de PT bij het nakomen van verzoeken van betrokkenen inzake inzage, rectificatie, gegevenswissing, beperking van verwerking en overdraagbaarheid van gegevens als bedoeld in de artikelen 15 tot en met 20 AVG. TrainHQ verleent op verzoek van de PT alle informatie die nodig is voor het uitvoeren van een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 AVG, waaronder informatie over beveiligingsmaatregelen, datastromen en subverwerkers. De PT is als verwerkingsverantwoordelijke zelf verantwoordelijk voor de beoordeling of een DPIA verplicht is.
Artikel 9, Verwijdering van gegevens na beëindiging
Na beëindiging van het abonnement verwijdert TrainHQ alle persoonsgegevens van de PT en diens eindklanten, inclusief alle back-ups, binnen 90 kalenderdagen permanent uit alle systemen van TrainHQ en haar subverwerkers. TrainHQ bevestigt de voltooiing van de verwijdering schriftelijk aan de PT op verzoek, binnen 14 dagen na voltooiing. Uitzondering: gegevens die TrainHQ op grond van een wettelijke bewaarplicht langer moet bewaren, zoals fiscale administratie gedurende 7 jaar op grond van artikel 52 AWR, worden gedurende die periode bewaard maar volledig geïsoleerd van de overige verwerking en niet langer actief gebruikt.
Artikel 10, Audits en verantwoording
De PT heeft het recht de naleving van deze overeenkomst te controleren door middel van een audit, uitgevoerd door de PT zelf of een door de PT aangewezen onafhankelijke derde, met een maximale frequentie van eenmaal per jaar. TrainHQ verleent alle redelijke medewerking en verstrekt relevante documentatie. Auditkosten komen voor rekening van de PT, tenzij de audit een aantoonbare tekortkoming van TrainHQ aan het licht brengt. De PT kan als alternatief voor een fysieke audit verzoeken om overlegging van actuele beveiligingscertificaten of auditorapportages van erkende derde partijen.
Artikel 11, Geheimhouding
Beide partijen behandelen alle informatie die zij in het kader van deze overeenkomst ontvangen als vertrouwelijk en verstrekken deze niet aan derden zonder voorafgaande schriftelijke toestemming van de andere partij, tenzij dit wettelijk verplicht is.
Artikel 12, Aansprakelijkheid
De aansprakelijkheid van TrainHQ voor schade als gevolg van een schending van deze overeenkomst is beperkt tot het bedrag dat de PT in de twaalf maanden voorafgaand aan het schadeveroorzakende feit aan TrainHQ heeft betaald. Deze beperking geldt niet in geval van opzet of bewuste roekeloosheid aan de zijde van TrainHQ.
Artikel 13, Wijzigingen van deze overeenkomst
TrainHQ behoudt zich het recht voor deze overeenkomst te wijzigen bij verandering van subverwerkers, wijziging van wetgeving of aanpassing van de dienst. Wijzigingen worden minimaal 30 kalenderdagen van tevoren schriftelijk medegedeeld via het e-mailadres dat bij registratie is opgegeven. De PT heeft het recht de overeenkomst te beëindigen indien de PT niet akkoord gaat met de wijzigingen, door dit schriftelijk te melden aan hallo@trainhq.nl voor de ingangsdatum van de wijziging.
Artikel 14, Toepasselijk recht en bevoegde rechter
Op deze overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze overeenkomst worden bij uitsluiting voorgelegd aan de bevoegde rechter in Nederland.
Contact: hallo@trainhq.nl
← Terug naar home