Verwerkersovereenkomst Rozuro

Laatst bijgewerkt: 19 mei 2026

Deze Verwerkersovereenkomst (“DPA” of “Verwerkersovereenkomst”) is van toepassing op de verwerking van persoonsgegevens door Atypisch in het kader van de levering van Rozuro aan de Klant, voor zover Atypisch daarbij optreedt als verwerker in de zin van artikel 4 lid 8 van de Algemene Verordening Gegevensbescherming (AVG).

Deze DPA vormt een integraal onderdeel van de Algemene Voorwaarden en is van toepassing op alle Klanten die persoonsgegevens van derden (zoals afnemers, leveranciers, contactpersonen) in Rozuro invoeren of laten verwerken.

1. Partijen en rollen

Verwerkingsverantwoordelijke: de Klant zoals gedefinieerd in de Algemene Voorwaarden. De Klant bepaalt het doel en de middelen van de verwerking van persoonsgegevens die hij in Rozuro invoert.

Verwerker: Atypisch (eenmanszaak), Europalaan 2b, 3526 KS Utrecht, KvK 08092524. Atypisch verwerkt de persoonsgegevens uitsluitend in opdracht en namens de Klant.

2. Onderwerp en duur

1. Onderwerp: de verwerking van persoonsgegevens door Atypisch in het kader van de Rozuro-dienst, voor zover Atypisch daarbij gegevens verwerkt namens de Klant.
2. Duur: deze DPA is van kracht zolang de Overeenkomst tussen de Klant en Atypisch van kracht is, alsmede gedurende de periode dat Atypisch persoonsgegevens van de Klant onder zich heeft na beëindiging van die Overeenkomst.

3. Aard en doel van de verwerking

Atypisch verwerkt de persoonsgegevens uitsluitend voor de volgende doeleinden:

• het leveren van de Diensten zoals beschreven in de Algemene Voorwaarden;
• het opslaan, raadplegen, wijzigen en exporteren van gegevens namens de Klant;
• het genereren, verzenden en bewaren van facturen namens de Klant;
• het uitvoeren van BTW- en ICP-berekeningen op basis van door de Klant ingevoerde gegevens;
• het beschikbaar stellen van Klantgegevens via de API namens de Klant;
• het maken van back-ups en het waarborgen van de continuïteit van de Diensten;
• het uitvoeren van security-monitoring en incident response.

Atypisch verwerkt persoonsgegevens niet voor eigen doeleinden, noch voor commerciële, analytische of marketingdoeleinden ten aanzien van de betrokkenen.

4. Categorieën betrokkenen en gegevens

Categorieën betrokkenen (afhankelijk van wat de Klant in Rozuro invoert):

• Afnemers en klanten van de Klant
• Leveranciers van de Klant
• Contactpersonen bij relaties van de Klant
• Werknemers, freelancers of teamleden van de Klant (bij urenregistratie/projecten)
• Overige betrokkenen die door de Klant in het systeem worden opgevoerd

Categorieën persoonsgegevens (afhankelijk van wat de Klant invoert):

• Naam, achternaam
• E-mailadres
• Telefoonnummer
• Adresgegevens
• Bedrijfsnaam, functietitel
• KvK-nummer, BTW-nummer
• Bankrekeningnummer (indien op factuur)
• Factuurgegevens (bedragen, omschrijvingen, projecten, uren)
• Eventuele andere gegevens die door de Klant worden ingevoerd

De Klant verwerkt via Rozuro geen bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9 AVG, en geen strafrechtelijke gegevens. Indien de Klant dit toch beoogt te doen, dient hij vooraf schriftelijk contact op te nemen met Atypisch; Atypisch kan in dat geval gebruik beperken of weigeren.

5. Verplichtingen van Atypisch (verwerker)

Atypisch verbindt zich tot het volgende:

1. Verwerken uitsluitend op instructie — Atypisch verwerkt persoonsgegevens uitsluitend op basis van schriftelijke (of gedocumenteerde elektronische) instructies van de Klant, zoals vastgelegd in deze DPA, de Algemene Voorwaarden en de functies van Rozuro.
2. Geheimhouding — Atypisch zorgt ervoor dat personen die onder haar gezag persoonsgegevens verwerken een geheimhoudingsplicht hebben.
3. Beveiliging (art. 32 AVG) — Atypisch treft passende technische en organisatorische maatregelen, zoals beschreven in bijlage A.
4. Sub-verwerkers — Atypisch schakelt sub-verwerkers in conform artikel 6 van deze DPA.
5. Medewerking bij rechten van betrokkenen — Atypisch verleent redelijke medewerking aan de Klant bij het vervullen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, bezwaar, etc.). De Klant blijft verantwoordelijk voor de afhandeling.
6. Medewerking bij DPIA en consultatie AP — Atypisch verleent op verzoek redelijke medewerking aan een Data Protection Impact Assessment door de Klant of consultatie bij de Autoriteit Persoonsgegevens.
7. Datalekken — Atypisch meldt elk datalek dat persoonsgegevens van de Klant betreft zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, schriftelijk aan de Klant. De melding bevat ten minste de aard van het datalek, de getroffen gegevens, de mogelijke gevolgen en de genomen of voorgenomen maatregelen.
8. Audit — Atypisch verstrekt op redelijk verzoek van de Klant aanvullende informatie over de naleving van deze DPA, en staat — op kosten van de Klant — onafhankelijke audits toe, met inachtneming van een redelijke aankondigingstermijn van minimaal 30 dagen en niet vaker dan eenmaal per kalenderjaar, tenzij er sprake is van een gegronde reden voor een tussentijdse audit. Auditors dienen een geheimhoudingsverklaring te tekenen.
9. Geen doorgifte buiten EER — Atypisch geeft persoonsgegevens niet door aan landen buiten de Europese Economische Ruimte zonder passende waarborgen conform hoofdstuk V AVG.

6. Sub-verwerkers

1. De Klant geeft Atypisch hierbij algemene toestemming om sub-verwerkers in te schakelen, mits Atypisch de voorwaarden van deze DPA op de sub-verwerker van toepassing verklaart middels een schriftelijke overeenkomst.
2. Een actuele lijst van sub-verwerkers is beschikbaar op rozuro.com/legal/sub-processors. Op het moment van inwerkingtreding van deze DPA zijn dit:

Sub-verwerker	Rol	Vestiging
Nefos	Hosting en dataopslag	Eindhoven, Nederland
Simezu	Authenticatie en betaalverwerking	Eindhoven, Nederland
Mollie B.V.	Payment provider (via Simezu)	Amsterdam, Nederland
Stripe Payments Europe Ltd.	Payment provider (via Simezu)	Dublin, Ierland
PayPal (Europe) S.à r.l. et Cie, S.C.A.	Payment provider (via Simezu)	Luxemburg

3. Atypisch zal voorgenomen wijzigingen in de lijst van sub-verwerkers ten minste 30 dagen vóór inwerkingtreding aankondigen via e-mail of via een melding in Rozuro.
4. De Klant kan binnen 14 dagen na aankondiging gemotiveerd bezwaar maken op grond van privacybescherming. Indien partijen niet tot overeenstemming komen, heeft de Klant het recht de Overeenkomst per direct op te zeggen.
5. Aansprakelijkheid voor sub-verwerkers: Atypisch is jegens de Klant aansprakelijk voor handelingen en nalatigheden van haar sub-verwerkers slechts in dezelfde mate als zij aansprakelijk is voor haar eigen handelingen en nalatigheden onder artikel 9 van de Algemene Voorwaarden, inclusief de begrenzingen per gebeurtenis en per kalenderjaar (en de absolute bovengrens van €5.000 per kalenderjaar) en de uitsluiting van indirecte en gevolgschade zoals daar opgenomen. Indien de tekortkoming van een sub-verwerker zelfstandig aan die sub-verwerker is toe te rekenen onder de AVG, kan de Klant rechtstreeks een vordering instellen tegen de sub-verwerker op grond van artikel 82, tweede lid AVG; in dat geval verleent Atypisch, tegen redelijke kostenvergoeding door de Klant, medewerking aan gedocumenteerde verzoeken van de Klant tot het verstrekken van informatie en voeging in procedures. Niets in dit artikel 6.5 beperkt aansprakelijkheid voor schade veroorzaakt door opzet of bewuste roekeloosheid van Atypisch, noch voor zover dwingend recht beperking niet toestaat.

7. Verplichtingen van de Klant (verwerkingsverantwoordelijke)

De Klant garandeert dat:

1. de Klant beschikt over een rechtsgrond (art. 6 AVG, en indien van toepassing art. 9 AVG) voor de verwerking van de persoonsgegevens die hij in Rozuro invoert;
2. de betrokkenen op de juiste wijze zijn geïnformeerd over de verwerking;
3. de Klant zelf voldoet aan zijn verplichtingen onder de AVG, waaronder het bijhouden van een register van verwerkingsactiviteiten (art. 30 AVG) waar van toepassing;
4. de Klant Atypisch tijdig en correct instrueert; de Klant vrijwaart Atypisch voor claims van betrokkenen of toezichthouders die voortvloeien uit een gebrek aan rechtsgrond, ontoereikende informatie aan betrokkenen, of andere tekortkomingen van de Klant;
5. de Klant Rozuro niet gebruikt om bijzondere of strafrechtelijke persoonsgegevens te verwerken zonder voorafgaande afstemming met Atypisch.

8. Beëindiging en teruggave/verwijdering van gegevens

1. Bij beëindiging van de Overeenkomst geldt het regime zoals beschreven in artikel 12 van de Algemene Voorwaarden:
   • 90 dagen soft-deleted bewaring met mogelijkheid tot data-export;
   • daarna anonimisering of verwijdering, met uitzondering van factuurgegevens die op grond van de fiscale bewaarplicht (art. 52 AWR) 7 jaar in geanonimiseerde, alleen-lezen vorm worden bewaard.
2. Atypisch verleent de Klant tot 90 dagen na beëindiging kosteloos toegang tot de data-exportfunctie van Rozuro.
3. Op schriftelijk verzoek van de Klant levert Atypisch een schriftelijke bevestiging van de verwijdering of anonimisering.

9. Aansprakelijkheid

1. De aansprakelijkheid van Atypisch onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen zoals opgenomen in artikel 9 van de Algemene Voorwaarden, behoudens voor zover dwingend recht (waaronder de AVG) een beperking niet toestaat.
2. Eventuele administratieve boetes opgelegd door de Autoriteit Persoonsgegevens worden gedragen door de partij aan wie de boete wordt opgelegd, tenzij de boete het rechtstreekse gevolg is van een toerekenbare tekortkoming van de andere partij.

10. Toepasselijk recht en geschillen

Op deze DPA is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de Rechtbank Midden-Nederland, locatie Utrecht.

---

Bijlage A — Beveiligingsmaatregelen

Atypisch heeft de volgende technische en organisatorische maatregelen getroffen:

Technische maatregelen

• Encryptie in transit: al het verkeer tussen gebruiker en Rozuro, en tussen Rozuro en haar sub-verwerkers (Nefos, Simezu, payment providers), wordt versleuteld via TLS 1.2 of hoger. HSTS wordt op alle productie-hostnames afgedwongen om protocol-downgrade te voorkomen. Intern service-to-service-verkeer binnen de Nefos-infrastructuur loopt over het private netwerk.
• Encryptie at rest: secrets (API-sleutels, webhook secrets, OAuth-clientsecrets, password reset tokens) worden vóór opslag in de database versleuteld met AES-256. Wachtwoorden worden nooit in omkeerbare vorm opgeslagen — Simezu hashed deze met argon2id met per-gebruiker salt. Klantgegevens (facturen, boekhoudkundige records, urenregistraties, bijlagen) worden opgeslagen op versleutelde block storage van Nefos in Nederland; dagelijkse back-ups staan versleuteld op dezelfde Nefos-infrastructuur.
• Toegangscontrole: strikte rol- en organisatie-gebaseerde toegang; alle endpoints zijn beveiligd tegen IDOR (cross-tenant access) door een organisatie-scoped guard-laag.
• Authenticatie: wachtwoordauthenticatie via Simezu met bescherming tegen brute-force door rate limiting; sessiecookies gemarkeerd als HttpOnly, Secure, SameSite=Lax; sessieduur gemaximeerd op 24 uur en ingetrokken bij uitloggen of wachtwoordwijziging.
• API-beveiliging: API-sleutels zijn organisatie-scoped; rate limits op authenticatie-endpoints; per-sleutel auditlog.
• Security headers: HSTS (preload-eligible), Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, CORS-allowlist.
• Logging: security-relevante gebeurtenissen worden gelogd en 12 maanden bewaard; logs worden opgeslagen bij Nefos in Nederland.
• Onveranderlijkheid: verzonden en betaalde facturen zijn cryptografisch beschermd tegen wijziging (geversioneerd, audit-getrailed).
• Back-ups: dagelijkse back-ups bij hostingprovider Nefos in Nederland, 30 dagen bewaard, versleuteld at rest.

Organisatorische maatregelen

• Geheimhouding: alle personen met toegang tot persoonsgegevens hebben een geheimhoudingsplicht;
• Toegang op need-to-know-basis: alleen waar noodzakelijk voor levering van de Diensten;
• Sub-verwerkers: alle sub-verwerkers zijn gebonden aan een schriftelijke verwerkersovereenkomst met gelijkwaardige verplichtingen;
• Security audits: periodieke interne security-audits;
• Datalek-procedure: gedocumenteerde procedure voor detectie, melding en mitigatie van datalekken.

---

Contact

Atypisch Europalaan 2b, 3526 KS Utrecht KvK: 08092524 — BTW: NL001582477B96 E-mail: info@atypisch.nl

De Nederlandse versie van deze DPA is leidend. Bij verschil met de Engelse versie prevaleert de Nederlandse versie.