DPA v1.0..

QMG verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Hoofdovereenkomst, in opdracht van Klant. Aard, doel, soort gegevens en categorieën betrokkenen zijn gespecificeerd in Bijlage A.

De DPA loopt mee met de Hoofdovereenkomst en eindigt automatisch bij beëindiging daarvan, behoudens verplichtingen die naar hun aard doorlopen (geheimhouding, audit, retourneren/vernietigen).

QMG verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant, zoals neergelegd in de Hoofdovereenkomst, deze DPA en het dashboard.

QMG informeert Klant onverwijld indien een instructie naar het oordeel van QMG inbreuk maakt op AVG of andere gegevensbeschermingsbepalingen.

Toegang tot persoonsgegevens is beperkt tot personen die de gegevens nodig hebben voor de uitvoering van hun taak (need-to-know) en die contractueel of wettelijk tot geheimhouding verplicht zijn.

QMG treft passende technische en organisatorische maatregelen ("TOMs") conform AVG art. 32, beschreven in Bijlage C:

• Supabase Auth + magic-link, 2FA via WhatsApp voor merchants, IP-allowlist op management-API
• RLS (Row-Level Security) op alle multi-tenant tables; email-allowlist op admin-tables
• TLS 1.3 in transit, AES-256 at rest, signed-URL-only Storage
• Volledige audit-log voor alle admin-handelingen (90d retentie); login-events 90d
• IP-truncatie >30d (laatste octet → 0) via cron-job
• Database k-anonimiteit-trigger op displayed-eenmanszaak-records
• PITR-backup 7d (Supabase Pro)
• Mail-kill-switch met expliciete compliance-bypass voor DSAR/datalek-mails

Klant verleent QMG algemene voorafgaande toestemming voor het inschakelen van sub-verwerkers conform de actuele lijst.

QMG informeert minimaal 30 dagen vooraf via e-mail + publicatie op /dsa/processors/. Klant kan in dat geval bezwaar maken; bij gegrond bezwaar zoekt QMG een alternatief of kan Klant opzeggen tegen ingangsdatum.

Hoofd-sub-verwerkers per 2 mei 2026:

• Supabase — DB/Auth/Storage — EER (Ireland · eu-west-1)
• Stripe — payments — EER (Ireland)
• Cloudflare — CDN/security — EER edges + DPF
• Strato — WP-hosting — EER (Duitsland)
• Anthropic — Claude API — EU-region routing geforceerd; DPF + SCC fallback
• Brevo — transactional + marketing email — EER (Frankrijk)
• Unipile — WhatsApp + Outlook + LinkedIn — EER
• Apify — scrape (uitfasering Fase 4) — EER (Tsjechië)
• Mapbox / Google / Meta / n8n / cron-job.org / Kie.ai / Lightspeed / Shopify — zie Bijlage D PDF

Volledige lijst met DPA-status, doorgifte-mechanisme en data-categorieën: /dsa/processors/.

De primaire opslag (Supabase) bevindt zich in de Europese Economische Ruimte (Ireland / eu-west-1).

Voor sub-verwerkers buiten de EER hanteert QMG: (a) een geldigheidsbesluit van de Europese Commissie (EU-US DPF waar van toepassing), of (b) Standaard Contractuele Bepalingen (SCC's) module 3 (verwerker-aan-verwerker) conform Uitvoeringsbesluit (EU) 2021/914, eventueel aangevuld met aanvullende waarborgen na transfer-impact-assessment.

Verzoeken van betrokkenen — QMG ondersteunt Klant bij verzoeken onder AVG art. 15-22 (inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar, automatische besluitvorming).

DSAR-portaal — Voor visitor-data biedt QMG een eigen DSAR-portaal aan op /privacy/mijn-gegevens/. Voor gegevens die uitsluitend onder Klant's beheer staan, leidt QMG verzoeken binnen 5 werkdagen door.

Beveiliging, datalekken, DPIA — QMG ondersteunt Klant bij naleving van AVG art. 32-36.

Kosten — Bijstand boven 8 manuren per kwartaal kan QMG factureren tegen € 95/uur excl. BTW (vooraf overeengekomen, niet voor verzoeken voortvloeiend uit tekortkoming van QMG).

QMG meldt elk datalek aan Klant binnen 24 uur na vaststelling, met alle informatie die op dat moment beschikbaar is (aard, betrokkenen-aantal, gegevens-categorieën, gevolgen, getroffen maatregelen). Klant blijft verantwoordelijk voor melding aan de AP (AVG art. 33) en, waar van toepassing, aan betrokkenen (AVG art. 34).

QMG ondersteunt met communicatie-template + e-mail-distributie via Brevo. Post-mortem op T+30d, materieel publiek samengevat in jaarverslag.

Klant heeft het recht om maximaal éénmaal per kalenderjaar een audit uit te voeren, of een onafhankelijke derde daartoe op te dragen, mits gebonden aan geheimhouding en niet zijnde een directe concurrent van QMG.

Audits worden minimaal 30 dagen vooraf schriftelijk aangekondigd, vinden plaats tijdens kantooruren, en mogen de bedrijfsvoering van QMG niet onevenredig verstoren.

In plaats van een eigen audit kan Klant ook gebruik maken van het jaarlijkse compliance-rapport (/transparantie/jaarverslag/) of door QMG verstrekte third-party audit-rapportages.

Bij beëindiging van de Hoofdovereenkomst kiest Klant binnen 30 dagen schriftelijk tussen retourneren (export) of vernietigen van persoonsgegevens. Bij geen reactie binnen 30 dagen vernietigt QMG de gegevens conform retentie-tabel in Bijlage B.

Bewaarverplichtingen op grond van wettelijke voorschriften (bijv. fiscale 7-jaars-bewaartermijn voor factuurgegevens) blijven onverlet.

De aansprakelijkheidsregeling van Hoofdovereenkomst art. 8 is van overeenkomstige toepassing op deze DPA, behoudens zwingend recht (AVG art. 82).

Bij strijdigheid tussen DPA en Hoofdovereenkomst prevaleert de DPA voor onderwerpen die zien op verwerking van persoonsgegevens.

Op deze DPA is Nederlands recht van toepassing; bevoegde rechter is de rechtbank Rotterdam.

Quest Media Group — Quest Sales & Marketing Automations B.V. · KvK 82781486 · BTW NL862602282B01

Zwanebloem 47, 2408 LT Alphen aan den Rijn · Tel. 06 50218580

• Algemeen: info@questmediagroup.eu
• Privacy/AVG: privacy@questmediagroup.eu
• DPO: dpo@questmediagroup.eu — Dr. Alderd J. Froolik (EXIN PDPF · NLLD cat B)
• Datalek-melding: privacy@questmediagroup.eu (24u SLA) of telefonisch 06 50218580

Volledige tekst inclusief alle bijlagen op aanvraag in PDF via privacy@questmediagroup.eu of zichtbaar in de bron op GitHub: docs/legal/dpa-v1.0-nl.md.