Opdrachtverwerkingsovereenkomst (OV) volgens art. 28 AVG
Stand: 30 april 2026
Preambule
Hartelijk welkom bij Campcruisers GmbH! We zijn erg blij dat u voor Campsite OS heeft gekozen en ons het vertrouwen schenkt om de digitale administratie van uw camping te ondersteunen. Gegevensbescherming en gegevensbeveiliging zijn voor ons een centraal kwaliteitskenmerk van onze software.
Deze opdrachtverwerkingsovereenkomst (OV) vormt de transparante en eerlijke juridische basis voor de verwerking van persoonsgegevens in uw opdracht.
Contractpartijen
Verwerkingsverantwoordelijke (klant): Uw bedrijfsgegevens volgen uit de hoofdovereenkomst (abonnement voor Campsite OS).
Opdrachtverwerker: Campcruisers GmbH, Berliner Str. 21B, 14612 Falkensee, Duitsland. Daniel Bosch (CEO), Philipp André Marschall (procuratiehouder). Kantongerecht Potsdam, HRB 40180 P. BTW-IdNr.: DE368000447.
Functionaris voor gegevensbescherming: Niet benoemd (§ 38 BDSG niet vervuld).
§ 1 Onderwerp, duur en specificatie
1.1
Dit contract regelt de verwerking van persoonsgegevens in het kader van de levering van Campsite OS. Aanvulling op algemene voorwaarden en hoofdovereenkomst.
1.2
Looptijd volgt de hoofdovereenkomst. Vertrouwelijkheids- en verwijderingsverplichtingen blijven van kracht.
1.3
Verwerking omvat: Verzamelen, opslaan, wijzigen, uitlezen, doorgeven (bijv. aan Channel Manager), verwijderen. Server: Nederland (IP: 34.91.84.25).
§ 2 Verantwoordelijkheid
2.1
U bent verwerkingsverantwoordelijke (art. 4 nr. 7 AVG). U beslist over doeleinden en middelen.
2.2
Wij zijn opdrachtverwerker (art. 4 nr. 8 AVG). Verwerking alleen volgens uw instructies. Geen eigen gebruik, geen verkoop.
§ 3 Aard en doel van de verwerking
Doel: Levering van Campsite OS. Omvat: Boeking & reservering, gastenbeheer (inclusief meldingsformulier § 29 BMG), facturering (ZUGFeRD), Channel Management, e-mailverzending, IoT & Smart Camp.
§ 4 Aard van de persoonsgegevens
4.1 Gegevenscategorieën
Stamgegevens (naam, geboortedatum, nationaliteit) | Contactgegevens (adres, e-mail, telefoon) | Boekingsgegevens (periode, categorie, extra’s) | KYC-/meldgegevens (identificatienummers) | Voertuiggegevens (kenteken) | Betaalgegevens (getokeniseerd via Stripe) | Communicatiegegevens (tickets, e-mails) | Systeemgegevens (IP, logbestanden, sessies)
4.2 Betrokken personen
Gasten/eindklanten en hun medereizigers | Uw medewerkers (softwaregebruikers) | Dienstverleners/leveranciers
§ 5 Verplichtingen van de opdrachtverwerker
5.1 Naleving AVG, BDSG, TDDDG. | 5.2 Doelbinding en instructiegebondenheid. | 5.3 Informatie bij onrechtmatige instructies. | 5.4 Verwerking in de EU (Nederland). Derde land alleen met art. 44 e.v. AVG.
§ 6 Instructiebevoegdheid
6.1 Instructies vastgelegd in contract en hoofdovereenkomst. | 6.2 Schriftelijke vorm (e-mail naar support@campsite-os.de) of softwareconfiguratie. | 6.3 Documentatie van alle instructies.
§ 7 Vertrouwelijkheid en personeel
7.1 Vertrouwelijkheidsverplichting voor alle medewerkers (art. 28 lid 3 sub b AVG). | 7.2 Regelmatige trainingen. | 7.3 Need-to-know-principe.
§ 8 Technisch-organisatorische maatregelen (TOM’s)
8.1 Maatregelen volgens art. 32 AVG. | 8.2 Versleuteling (TLS, AES-256), MFA, RBAC, logging, 99% SLA, back-ups, DDoS-bescherming. | 8.3 Aanpassing bij technologische vooruitgang. Details in bijlage 1.
§ 9 Onderopdrachtverhoudingen
9.1 Algemene goedkeuring (art. 28 lid 2 AVG). | 9.2 Actuele onderopdrachtverwerkers in bijlage 2. | 9.3 Informatie 14 dagen voor wijziging. Recht van bezwaar. | 9.4 Gelijke verplichtingen voor onderopdrachtverwerkers.
§ 10 Rechten van de betrokken personen
10.1 Ondersteuning bij art. 15-22 AVG (Self-Service in Campsite OS). | 10.2 Directe verzoeken worden naar u doorverwezen.
§ 11 Meldplichten
11.1 Melding van datalekken binnen 48 uur. | 11.2 Inhoud: Aard van de inbreuk, betrokken personen, gevolgen, genomen maatregelen. | 11.3 Ondersteuning bij GIA (art. 35/36 AVG).
§ 12 Controlebevoegdheden en audits
12.1 Recht op controle. | 12.2 Documentatie/certificaten eerst; audit ter plaatse met 30 dagen vooraankondiging. | 12.3 Kosten zijn voor rekening van de klant (behalve bij overtreding).
§ 13 Verwijdering en teruggave
13.1 Gegevensportabiliteit: 30 dagen exporttermijn (CSV, XML, JSON). | 13.2 Definitieve verwijdering na 30 dagen. | 13.3 Bevestiging op verzoek.
§ 14 Aansprakelijkheid
14.1 Aansprakelijkheid volgens art. 82 AVG. In interne verhouding alleen bij overtreding van AVG-verplichtingen of instructies. | 14.2 Beperking tot jaarbijdrage bij lichte schuld.
§ 15 Slotbepalingen
15.1 Schriftelijke vorm voor wijzigingen. | 15.2 Salvatorische clausule. | 15.3 Duits recht, bevoegde rechter Falkensee.
Bijlage 1: Technisch-organisatorische maatregelen (TOM’s)
1. Vertrouwelijkheid
Toegangscontrole: Servers in datacenters Nederland (IP: 34.91.84.25). 24/7 beveiligingsdienst, biometrische toegangscontrole, videobewaking.
Toegangcontrole: Complexe wachtwoorden, MFA, brute-force-bescherming, VPN.
Rechtstoegangscontrole: RBAC in Campsite OS, need-to-know-principe, DIN 66399 vernietiging van documenten.
Scheidingscontrole: Logische scheiding van klanten. Scheiding ontwikkeling/test/productie.
2. Integriteit
Doorgiftecontrole: TLS 1.2/1.3, AES-256 at rest, API-sleutels en token-authenticatie.
Invoercontrole: Audit-trail in Campsite OS, centrale serverlogging.
3. Beschikbaarheid
Dagelijkse back-ups (georedundant, versleuteld), UPS, DDoS-bescherming, WAF, 99% SLA.
4. Evaluatie
Regelmatige audits, vulnerability scans, incident-responseplan (48u melding), Privacy by Default.
Bijlage 2: Goedgekeurde onderopdrachtverwerkers
| Dienstverlener | Zetel | Doel | Derde land overdracht |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Ierland (EU) | Betaalverwerking | EU; eventueel SCC bij interne VS-overdracht |
| Resend, Inc. | VS | Transactiegerichte e-mailverzending | EU-standaardcontractbepalingen (SCC) |
| Google Ireland Limited | Ierland (EU) | Analytics & Ads | Primair EU |
| Biscotti CMP | Duitsland (EU) | Cookie-/toestemmingsbeheer | Uitsluitend EU |
| Hostingprovider | Nederland (EU) | Serverinfrastructuur (IP: 34.91.84.25) | Uitsluitend EU |