DPA

Verwerkersovereenkomst

Van kracht per 1 januari 2026. Deze verwerkersovereenkomst maakt deel uit van de Algemene Voorwaarden voor elke Klant voor wie TapReceipt persoonsgegevens verwerkt.

Onderwerp en duur

TapReceipt verwerkt persoonsgegevens namens de Klant met het oog op het leveren van de Dienst. De verwerking duurt voort gedurende het abonnement plus de hieronder beschreven bewaartermijnen.

Aard en doel van de verwerking

Het uitgeven, opslaan en aanbieden van digitale bonnen; het versturen van transactionele e-mails; het bieden van het merchant-dashboard; het produceren van geaggregeerde analytics voor de Klant; het voldoen aan fiscale bewaarverplichtingen namens de Klant waar van toepassing.

Categorieën gegevens

  • Contactgegevens van de merchant (naam, e-mail, functie).
  • Factuurgegevens (entiteitsnaam, btw, adres).
  • Boninhoud (regelitems, totalen, tijdstempels, terminal-ID).
  • Operationele telemetrie (puck-ID’s, taptellingen, foutpercentages).

Betrokkenen

  • Medewerkers en geautoriseerde gebruikers van de Klant van het dashboard en de API.
  • Wanneer bonnen persoonsgegevens bevatten die een shopper identificeren (bijv. een naam ingetypt door de kassier), zijn de betrokkenen ook die shoppers.

Beveiligingsmaatregelen

  • Jaarlijks gecontroleerd onder SOC 2 Type II; rapport op verzoek beschikbaar onder NDA.
  • Versleuteling tijdens transport (TLS 1.2+) en in rust (AES-256, sleutels per merchant).
  • Roltoekenning, hardware-MFA voor alle engineers, geen productie-toegang vanaf persoonlijke apparaten.
  • Auditlogging van elke administratieve handeling, 12 maanden bewaard.
  • Jaarlijkse pentest door een CREST-gecertificeerde derde partij.

Subverwerkers

TapReceipt schakelt de hieronder genoemde subverwerkers in. We informeren Klanten minimaal 30 dagen voordat een nieuwe subverwerker wordt toegevoegd; Klanten kunnen op redelijke gronden bezwaar maken.

Internationale doorgiften

Persoonsgegevens worden binnen de EU gehost. Wanneer een subverwerker zich buiten de EER bevindt, worden doorgiften beheerst door de Standaardcontractbepalingen van de Europese Commissie (2021/914), aangevuld met versleuteling en toegangscontrolemaatregelen.

Verzoeken van betrokkenen

TapReceipt assisteert de Klant bij het beantwoorden van verzoeken van betrokkenen door redelijke tools (export, verwijdering, rectificatie) binnen het dashboard en de API te bieden. Wanneer TapReceipt een verzoek rechtstreeks van een betrokkene ontvangt, leiden we het zonder onnodige vertraging door aan de Klant.

Melding van datalekken

TapReceipt stelt de Klant binnen 48 uur op de hoogte na het ontdekken van een inbreuk op persoonsgegevens die de gegevens van de Klant treft, met vermelding van de aard van de inbreuk, de getroffen gegevens en de mitigaties.

Audits

De Klant kan de naleving van deze DPA door TapReceipt op redelijke aankondiging en op kosten van de Klant auditeren, maximaal eenmaal per kalenderjaar. Ons SOC 2 Type II-rapport voldoet doorgaans aan dit recht.

SUBVERWERKERS

De actuele lijst

Amazon Web ServicesCloudhosting (compute, opslag, netwerken)EU (Frankfurt)
CloudflareCDN, DDoS-bescherming, edge-TLS-terminatieEU (multi)
StripeBetaalverwerking voor abonnementenEU (Dublin) / VS (SCC’s)
PostmarkBezorging van transactionele e-mailEU (Dublin)
SentryFoutregistratie (geen PII; opgeschoonde payloads)EU (Frankfurt)
PlainTools voor klantondersteuningEU (Ierland)