Verwerkersovereenkomst SkillRadar
Versie 1.0 — Pilot-fase · Laatst bijgewerkt: 22 mei 2026
Deze verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens via het SkillRadar-platform. Door aanvaarding van onze algemene voorwaarden bij ingebruikname van een tenant, gaat de club akkoord met deze verwerkersovereenkomst.
Partijen
Verantwoordelijke (Club):
- Naam, adres en KvK-nummer worden vastgelegd in de tenant-administratie
- Bepaalt doel en middelen van de verwerking
Verwerker (SkillRadar):
- Forrust (handelsnaam)
- Contact: privacy@skillradar.io
- Verwerkt persoonsgegevens uitsluitend in opdracht van de Verantwoordelijke
1. Onderwerp
De Verwerker verwerkt persoonsgegevens namens de Verantwoordelijke ten behoeve van het registreren van spelersontwikkeling binnen de SkillRadar-applicatie.
2. Soorten persoonsgegevens
| Categorie | Voorbeelden |
|---|---|
| Identiteit | Voornaam, achternaam, e-mailadres |
| Demografisch | Geboortedatum, geslacht |
| Sportief | Positie, rugnummer, voorkeursvoet, teaminschaling |
| Beoordelingen | Skill-scores per meting (1-5), trainer-notities |
| Account-data | Versleutelde wachtwoorden, login-historie, IP-adressen |
| Audit-data | Wijzigingen door welke gebruiker |
3. Categorieën betrokkenen
- Spelers (jeugd vanaf 8 jaar t/m senioren)
- Trainers, hoofdtrainers, technische commissie-leden
- Clubbeheerders
- Ouders/verzorgers (bij minderjarige spelers <16 jaar)
4. Doelen van de verwerking
- Registreren en analyseren van spelersontwikkeling
- Toegangsbeheer en authenticatie
- Communicatie tussen trainers, spelers en ouders binnen de club
- Foutopsporing en beveiliging van het platform
- Voldoen aan wettelijke verplichtingen
5. Verplichtingen Verwerker
De Verwerker:
- Verwerkt persoonsgegevens uitsluitend volgens schriftelijke instructie van de Verantwoordelijke
- Zorgt voor passende technische en organisatorische beveiliging (zie sectie 8)
- Verleent medewerking bij het uitoefenen van de rechten van betrokkenen
- Informeert de Verantwoordelijke onmiddellijk bij een datalek (binnen 48 uur na ontdekking)
- Houdt een register bij van verwerkingsactiviteiten
- Verleent medewerking aan audits door de Verantwoordelijke (1× per jaar, op afspraak)
- Wist of retourneert alle persoonsgegevens na beëindiging van de overeenkomst, binnen 60 dagen
- Houdt zich aan de geheimhoudingsplicht voor alle personen die toegang hebben tot de gegevens
6. Sub-verwerkers
De Verwerker maakt gebruik van de volgende sub-verwerkers:
| Sub-verwerker | Doel | Vestiging |
|---|---|---|
| DigitalOcean Inc. | Hosting van applicatie en database | Amsterdam, NL |
| Sentry Software Inc. | Foutdetectie (geanonimiseerd) | Frankfurt, DE |
| Mailgun Technologies Inc. | Versturen van transactionele e-mails | Amsterdam, NL |
| Let's Encrypt (ISRG) | SSL/TLS-certificaten | VS (met EU-data residency) |
Bij wijziging in de lijst van sub-verwerkers informeert de Verwerker de Verantwoordelijke minimaal 14 dagen vooraf. De Verantwoordelijke heeft het recht om binnen deze periode bezwaar te maken.
7. Internationale doorgifte
Alle persoonsgegevens worden binnen de Europese Economische Ruimte (EER) verwerkt en opgeslagen.
Voor sub-verwerkers buiten de EER (indien van toepassing in de toekomst) zal de Verwerker gebruikmaken van Standaard Contractuele Clausules (SCC) van de Europese Commissie.
8. Beveiligingsmaatregelen
| Niveau | Maatregel |
|---|---|
| Versleuteling | TLS 1.3 voor transport, bcrypt voor wachtwoorden, AES-256 voor backups |
| Toegangscontrole | Per-tenant database-isolatie (schema-per-tenant), rollen-gebaseerde toegang |
| Logging | Audit-logs van wijzigingen, toegankelijk voor de Verantwoordelijke |
| Backup | Dagelijkse versleutelde backups, 30 dagen rotatie |
| Patching | Updates van OS en frameworks binnen 14 dagen na release |
| Monitoring | Continue monitoring via Sentry voor uitvalsignalen |
| Toegang | 2-factor authenticatie voor superadmin-account |
9. Datalekprocedure
Bij vermoeden van een datalek:
- De Verwerker informeert de Verantwoordelijke per e-mail binnen 48 uur na ontdekking
- De Verwerker levert een feitelijke beschrijving van het lek, de getroffen gegevens, en genomen/te nemen maatregelen
- De Verantwoordelijke meldt zelf bij de Autoriteit Persoonsgegevens binnen de wettelijke 72-uurs-termijn (de Verwerker biedt ondersteuning hierbij)
10. Aansprakelijkheid
De aansprakelijkheid van de Verwerker is beperkt zoals beschreven in de Algemene Voorwaarden. Eventuele boetes opgelegd door de Autoriteit Persoonsgegevens worden gedragen door de partij die de overtreding heeft veroorzaakt.
11. Duur en beëindiging
- Deze verwerkersovereenkomst geldt zolang de Verwerker persoonsgegevens namens de Verantwoordelijke verwerkt
- Bij beëindiging van het gebruik van het platform wist de Verwerker de gegevens binnen 60 dagen (na export-bevestiging door de club)
- Backups worden binnen 90 dagen na beëindiging volledig verwijderd
12. Wijzigingen
Wijzigingen aan deze verwerkersovereenkomst worden minimaal 14 dagen vooraf gecommuniceerd. Bij ingrijpende wijzigingen heeft de Verantwoordelijke het recht om de overeenkomst kosteloos te beëindigen.
13. Contact
| Onderwerp | Contact |
|---|---|
| Algemeen | info@skillradar.io |
| Privacy / AVG | privacy@skillradar.io |
| Datalek | dpo@skillradar.io |
Deze verwerkersovereenkomst is conform de Algemene Verordening Gegevensbescherming (AVG/GDPR), artikel 28. Bij commerciële launch (post-pilot) wordt een definitieve, door een AVG-jurist geverifieerde versie uitgebracht.
Vragen? Mail naar privacy@skillradar.io of bekijk de andere juridische documenten.