UmrahManager

Juridisch

Verwerkersovereenkomst

Laatst bijgewerkt: 7 mei 2026

Let op: de officiële verwerkersovereenkomst (DPA) wordt opgesteld door een Nederlandse privacy-jurist. Hieronder staat de samenvatting met de belangrijkste afspraken — de uitgebreide PDF-versie sturen we op verzoek toe en is automatisch beschikbaar voor elke betalende klant.

Wie is wie?

Het bureau = verwerkingsverantwoordelijke (controller). Bepaalt waarvoor de data wordt gebruikt.

UmrahManager = verwerker (processor). Verwerkt data uitsluitend in opdracht van het bureau, conform deze overeenkomst.

Welke data verwerken wij namens jou?

  • Naam, contactgegevens en geboortedatum van pelgrims
  • Paspoortscans, paspoortnummer en vervaldatum
  • Visumstatus en bijbehorende documenten
  • Vlucht- en hotelboekingen, kamerindeling
  • Betalingsstatus (geen betaalkaartnummers — dat loopt via Mollie / iDEAL bij de bank)
  • Communicatie-voorkeuren, intake-antwoorden, dieet- en kamerwensen

Waar staat de data?

Database in Frankfurt (Supabase, EU). Email-verzending via Resend (eu-west-1). Bestanden in versleutelde EU-cloudopslag. Geen data verlaat de EU.

Sub-verwerkers

We werken met de volgende sub-verwerkers:

  • Supabase Inc. — database & opslag (EU-regio)
  • Resend — email-verzending (EU-regio)
  • Netlify — hosting & functions (EU-edge)
  • Anthropic — AI-tekstgeneratie (alleen op verzoek van bureau, geen klant-data)
  • Google Cloud Vision — paspoort-OCR (alleen tijdens upload-moment, geen permanente opslag)
  • Sentry — error-monitoring (EU-regio, geen klant-data, alleen technische errors)

Bij wijziging van sub-verwerkers informeren wij minimaal 30 dagen vooraf via email.

Beveiligingsmaatregelen

  • TLS-versleuteling voor alle verbindingen
  • At-rest encryption op database en bestanden
  • Per-bureau data-isolatie via row-level security
  • Audit-log op gevoelige acties (verwijderen, exporteren, betalingen)
  • Dagelijkse backups met 7-dagen retentie
  • Sterke wachtwoorden + inlog via e-mail-link
  • 2FA beschikbaar voor staff-accounts (optioneel op Pro/Scale, verplicht op Enterprise)

Datalek-procedure

Bij een (vermoeden van een) datalek informeren wij het bureau binnen 24 uur via email + WhatsApp, met details over wat er bekend is, welke data betrokken zou kunnen zijn, en wat er aan gedaan wordt. Het bureau is zelf verantwoordelijk voor de melding richting eigen klanten en de Autoriteit Persoonsgegevens, indien van toepassing.

Bij beëindiging

Bij opzegging exporteren we alle bureau-data in een leesbaar formaat (Excel/JSON). Daarna wordt alle data binnen 90 dagen permanent verwijderd, inclusief uit backups (zodra die uit retentie rouleren).

DPA-PDF nodig voor je dossier? Stuur een berichtje via WhatsApp of mail info@umrahmanager.app — dan stuur ik 'm dezelfde dag toe.

← Terug naar homepage