Verwerkersovereenkomst

1. Partijen

Verwerkingsverantwoordelijke: de VME die zich registreert op het platform en die optreedt via haar beheerder of syndicus (hierna “de VME” of “u”).

Verwerker: Syndico, ingeschreven in de Kruispuntbank van Ondernemingen onder nummer 0725.451.617, met maatschappelijke zetel te Vlaamsekaai 92 bus 3, 2000 Antwerpen, België (hierna “Syndico” of “de verwerker”).

Contact: info@syndico.be.

2. Onderwerp, duur, aard en doel van de verwerking (art. 28.3)

Onderwerp: de verwerking van persoonsgegevens die nodig is om het Syndico SaaS-platform aan de VME te leveren (hierna “de Dienst”).

Duur: zolang de overeenkomst tussen de VME en Syndico van kracht is, inclusief een redelijke uitloopperiode voor verwijdering of teruggave van gegevens.

Aard van de verwerking: opslag, weergave, doorgifte binnen het platform, back-up, logging, verzending van transactionele e-mails en ondersteuning.

Doel van de verwerking: het mogelijk maken van VME-beheer zoals eigenaarsbeheer, factuur- en betaalbeheer, documentarchief, vergaderbeheer, berichten en taken, facturatie van het abonnement en klantenondersteuning.

3. Categorieën van persoonsgegevens en betrokkenen (art. 28.3)

Categorieën van betrokkenen: beheerders, mede-eigenaars, huurders indien opgenomen door de VME, leveranciers voor zover gegevens door de VME worden ingevoerd.

Categorieën van persoonsgegevens: identificatie- en contactgegevens (naam, e-mail, telefoon), adresgegevens, VME- en appartementsgegevens, rol en quotiteit, financiële gegevens (IBAN, factuur- en betaalgegevens), inhoud van documenten en berichten, technische gegevens noodzakelijk voor het functioneren van de Dienst.

De verwerking omvat in principe geen bijzondere categorieën van persoonsgegevens (art. 9 AVG). De VME mag dergelijke gegevens niet opladen of invoeren zonder voorafgaand overleg met Syndico.

4. Verwerking op basis van gedocumenteerde instructies (art. 28.3.a)

Syndico verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de VME, tenzij een Unierechtelijke of lidstaatrechtelijke bepaling tot verwerking verplicht. In dat geval stelt Syndico de VME voorafgaand aan de verwerking in kennis, tenzij die wetgeving deze kennisgeving verbiedt.

De VME aanvaardt dat het aanmaken van een VME-account, het uploaden van gegevens en documenten en het gebruikmaken van de functies van de Dienst gelden als gedocumenteerde instructies.

Indien Syndico van mening is dat een instructie van de VME inbreuk maakt op de AVG of andere toepasselijke wetgeving, stelt Syndico de VME daarvan onmiddellijk in kennis.

5. Vertrouwelijkheid (art. 28.3.b)

Syndico waarborgt dat de personen die gemachtigd zijn om persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Toegang tot persoonsgegevens is beperkt tot personeel en onderaannemers die de gegevens nodig hebben voor hun taak, op basis van het “need-to-know”-principe.

6. Beveiligingsmaatregelen (art. 28.3.c en art. 32)

Syndico neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

• Versleuteling van gegevens in transit (TLS) en at rest waar dat beschikbaar is bij de infrastructuurleverancier
• Wachtwoorden opgeslagen als bcrypt-hash
• JWT-sessies met roteerbare sessieversie voor onmiddellijke invalidatie
• Rate limiting op gevoelige endpoints (login, registratie, wachtwoordreset, accountverwijdering)
• Logging en monitoring voor detectie van verdachte patronen
• Regelmatige back-ups met beperkte retentie en rotatie
• Scheiding van productie- en ontwikkelomgeving
• Toegangscontrole op basis van rol en least privilege
• Beoordeling van beveiligingsupdates en afhankelijkheden

7. Subverwerkers (art. 28.2 en art. 28.4)

De VME verleent Syndico een algemene toestemming om een beroep te doen op subverwerkers voor de uitvoering van de Dienst. Syndico informeert de VME bij wijzigingen in de lijst van subverwerkers, waarna de VME het recht heeft om bezwaar aan te tekenen.

De huidige subverwerkers zijn:

• Microsoft Azure (Microsoft Ireland Operations Ltd.) — hosting van de applicatie, Blob Storage voor documenten, Application Insights voor telemetrie. Verwerking binnen de EER (regio West-Europa).
• Resend (Resend, Inc., Verenigde Staten) — verzending van transactionele e-mails. Doorgifte naar de VS op basis van Standaardcontractbepalingen (SCC's) van de Europese Commissie.
• Stripe Payments Europe, Ltd. (Ierland) met mogelijke doorgifte naar Stripe, Inc. (VS) — verwerking van abonnementsbetalingen. Doorgifte naar de VS op basis van SCC's.
• Upstash, Inc. — Redis voor rate limiting. Regio binnen de EER; verwerkt alleen IP-adres en user-ID met een sliding window van maximaal 1 uur.

8. Bijstand aan de VME (art. 28.3.e en 28.3.f)

Syndico verleent de VME, rekening houdend met de aard van de verwerking, bijstand door passende technische en organisatorische maatregelen bij het vervullen van de verplichting tot beantwoording van verzoeken van betrokkenen (art. 12-23 AVG), en bij het nakomen van de verplichtingen inzake beveiliging (art. 32), datalekken (art. 33-34) en effectbeoordelingen (art. 35-36).

De VME kan via de beschikbare functies van het platform zelf de meeste rechten van betrokkenen rechtstreeks uitoefenen (inzage, rectificatie, verwijdering van gegevens en documenten). Voor aanvullende bijstand neemt de VME contact op via info@syndico.be.

9. Datalekken (art. 28.3.f en art. 33)

Syndico meldt een inbreuk in verband met persoonsgegevens zonder onnodige vertraging aan de VME na kennisname ervan, en in elk geval binnen 48 uur, voor zover de inbreuk invloed heeft op persoonsgegevens van de VME.

De melding bevat minstens: de aard van de inbreuk, de betrokken categorieën van persoonsgegevens en betrokkenen, de vermoedelijke gevolgen, en de genomen of voorgestelde maatregelen om de gevolgen te beperken.

10. Teruggave en verwijdering na einde van de Dienst (art. 28.3.g)

Na beëindiging van de Dienst verwijdert Syndico alle persoonsgegevens of bezorgt ze terug aan de VME, naar keuze van de VME, tenzij opslag van de persoonsgegevens door Unierecht of lidstaatrecht wordt verplicht (bv. boekhoudkundige bewaarplicht).

Gegevens in back-ups verdwijnen via de normale back-uprotatie binnen maximaal 30 dagen.

De VME kan op elk moment via de exportfuncties van het platform een kopie van haar gegevens downloaden.

11. Audit en controle (art. 28.3.h)

Op redelijk verzoek van de VME stelt Syndico alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van dit art. 28 aan te tonen. Syndico maakt audits, waaronder inspecties, door de VME of een door de VME gemachtigde auditor mogelijk en draagt daaraan bij.

Audits worden uitgevoerd op een wijze die de normale werking van Syndico niet onredelijk verstoort. Syndico mag voor de uitvoering van audits een redelijke vergoeding vragen voor niet-triviale inspanningen, en kan relevante auditrapporten van zijn subverwerkers (bv. ISO 27001, SOC 2) ter beschikking stellen wanneer die voldoende comfort bieden.

12. Doorgifte buiten de EER

Syndico geeft persoonsgegevens uitsluitend door buiten de Europese Economische Ruimte wanneer dat gebeurt op basis van een adequaatheidsbesluit, Standaardcontractbepalingen (SCC's) in combinatie met aanvullende waarborgen, of een andere door de AVG toegelaten waarborg.

De huidige doorgiften zijn opgesomd in sectie 7.

13. Aansprakelijkheid en toepasselijk recht

De aansprakelijkheid in het kader van deze DPA wordt beheerst door de aansprakelijkheidsregeling uit de onderliggende Gebruiksvoorwaarden van Syndico, onverminderd de dwingende bepalingen van de AVG.

Deze DPA wordt beheerst door het Belgisch recht. De rechtbanken van Antwerpen zijn exclusief bevoegd, onverminderd het recht van de VME om een klacht in te dienen bij de Gegevensbeschermingsautoriteit of bij een bevoegde rechter in haar lidstaat van vestiging.

14. Rangorde en wijzigingen

Bij tegenstrijdigheid tussen deze DPA en de Gebruiksvoorwaarden van Syndico, heeft deze DPA voorrang voor wat betreft de verwerking van persoonsgegevens.

Deze versie is geldig vanaf 19 mei 2026. Bij inhoudelijke wijzigingen stelt Syndico de VME minstens 14 dagen vooraf in kennis via e-mail of een bericht in het platform.