Laatst bijgewerkt: 3 juli 2026
Deze algemene voorwaarden zijn van toepassing op Qontrato, de softwaredienst van Qontrato B.V. voor verhuurders.
1. Definities
In deze voorwaarden wordt verstaan onder:
Qontrato: de softwaredienst van Qontrato B.V. voor contractbeheer, digitale ondertekening, gastregistratie, communicatie, boekingsdashboard en aanverwante functionaliteiten.Qontrato B.V.: de aanbieder van Qontrato.Klant: de natuurlijke persoon of rechtspersoon die Qontrato afneemt of gebruikt voor eigen verhuuractiviteiten.Gebruiker: iedere persoon die namens de klant toegang heeft tot Qontrato.Huurder: de persoon die via Qontrato een contract ontvangt, bekijkt of ondertekent.Gast: een persoon van wie via Qontrato gastregistratiegegevens worden verwerkt.Account: de klantomgeving binnen Qontrato, inclusief instellingen, gebruikers, data, bestanden en tenant-omgeving.Dienst: Qontrato en alle daarbij aangeboden software-, support- en beheerfunctionaliteiten.Overeenkomst: iedere overeenkomst tussen Qontrato en de klant waarop deze voorwaarden van toepassing zijn.Verwerkersovereenkomst: de afspraken voor verwerking van persoonsgegevens door Qontrato namens de klant.
2. Toepasselijkheid
- Deze voorwaarden zijn van toepassing op ieder aanbod, iedere proefperiode, iedere overeenkomst en ieder gebruik van Qontrato.
- Afwijkingen gelden alleen wanneer Qontrato deze schriftelijk of elektronisch heeft bevestigd.
- Algemene voorwaarden van de klant zijn niet van toepassing, tenzij Qontrato deze uitdrukkelijk schriftelijk aanvaardt.
- Voor zover dwingend recht anders bepaalt, gaat dwingend recht voor op deze voorwaarden.
- Qontrato richt zich primair op zakelijke klanten. Wanneer een klant desondanks als consument kwalificeert, blijven dwingende consumentenrechten onverkort gelden.
3. Rangorde van documenten
Bij strijd tussen documenten geldt de volgende rangorde:
- afzonderlijke schriftelijke afspraken tussen partijen;
- de verwerkersovereenkomst voor verwerking van persoonsgegevens namens de klant;
- deze algemene voorwaarden;
- overige documentatie, productinformatie of instructies binnen de dienst.
4. Omschrijving van de dienst
- Qontrato biedt een online platform voor onder meer:
- het opstellen, beheren en verzenden van huurcontracten;
- digitale ondertekening van contracten;
- beheer van contracttemplates, voorwaarden en communicatie;
- gastregistraties en bijbehorende herinneringen;
- boekingsdashboard en publieke toegang voor huurders of gasten;
- account- en gebruikersbeheer;
- beveiligings-, logging-, back-up- en supportfunctionaliteiten.
- Qontrato mag de inhoud, vorm, beschikbaarheid en functionaliteit van de dienst aanpassen, uitbreiden of beperken.
- Qontrato levert software en technische ondersteuning. Qontrato geeft geen juridisch, fiscaal, verhuurrechtelijk of lokaal complianceadvies.
- De klant blijft zelf verantwoordelijk voor de juridische geldigheid, inhoud en toepasbaarheid van contracten, voorwaarden, registraties, vergunningen, meldingen en communicatie.
5. Totstandkoming en proefperioden
- Een overeenkomst komt tot stand zodra de klant een aanbod aanvaardt, een account wordt geactiveerd, een proefperiode start, een betaalde functionaliteit wordt gebruikt of partijen anderszins overeenstemming bereiken.
- Qontrato mag proefperioden aanbieden, aanpassen of beeindigen.
- Een proefperiode geeft geen recht op blijvende beschikbaarheid van functionaliteiten, tarieven of voorwaarden.
- Tarieven, pakketinhoud, looptijd en facturatieafspraken worden vastgelegd in een aanbod, bestelproces, factuur, accountomgeving of afzonderlijke overeenkomst.
6. Accounts en toegangsbeheer
- De klant is verantwoordelijk voor alle handelingen die via het eigen account of gebruikersaccounts plaatsvinden.
- De klant zorgt dat alleen bevoegde personen toegang krijgen tot Qontrato.
- Inloggegevens moeten vertrouwelijk worden behandeld. De klant zorgt voor sterke wachtwoorden, passende autorisaties en tijdige intrekking van toegang wanneer gebruikers geen toegang meer nodig hebben.
- Wanneer Qontrato two-factor-authentication, vertrouwde apparaten, herstelcodes of vergelijkbare beveiligingsopties aanbiedt, is de klant verantwoordelijk voor correct gebruik daarvan.
- De klant meldt vermoedens van onbevoegde toegang, misbruik of beveiligingsincidenten zo spoedig mogelijk aan Qontrato.
- Qontrato mag toegang tijdelijk blokkeren, sessies beeindigen of aanvullende verificatie eisen wanneer dat redelijkerwijs nodig is voor beveiliging, continuiteit, onderzoek of bescherming van persoonsgegevens.
7. Gebruik van de dienst
- De klant gebruikt Qontrato uitsluitend voor rechtmatige doeleinden en volgens toepasselijke wet- en regelgeving.
- De klant mag Qontrato niet gebruiken:
- in strijd met wet- of regelgeving;
- voor onrechtmatige, misleidende, discriminerende, schadelijke of inbreukmakende inhoud;
- op een manier die beveiliging, stabiliteit, integriteit of beschikbaarheid kan aantasten;
- voor ongeautoriseerde toegang, scraping, reverse engineering of misbruik van publieke routes;
- voor verwerking waarvoor de klant geen geldige grondslag of bevoegdheid heeft.
- De klant is verantwoordelijk voor de juistheid, volledigheid en rechtmatigheid van alle ingevoerde gegevens, bestanden, instellingen, templates, e-mails, teksten en ontvangers.
8. Contracten, ondertekening en bewijsinformatie
- Qontrato faciliteert de technische workflow rond contracten, verzending, herinneringen, digitale ondertekening, statusregistratie en opslag van contractartefacten.
- De klant bepaalt de inhoud van contracten, voorwaarden, placeholders, vrije tekstvelden en bijlagen.
- Qontrato mag gegevens vastleggen die nodig zijn voor de ondertekenworkflow en controleerbaarheid, zoals tijdstip, IP-adres, statusinformatie, documentreferenties en PDF-bestanden.
- Qontrato garandeert niet dat een via Qontrato opgesteld of ondertekend contract in alle omstandigheden juridisch afdwingbaar is.
- Qontrato is niet aansprakelijk voor fouten in door de klant aangeleverde boekings-, contract-, contact- of identiteitsgegevens.
9. Gastregistratie, SES Hospedajes en compliancefunctionaliteiten
- Wanneer Qontrato functionaliteit aanbiedt voor gastregistratie, reminders, informatieverzoeken, Spaanse gastenregistratie of SES Hospedajes, blijft de klant verantwoordelijk voor:
- de wettelijke grondslag;
- de vraag of en wanneer een meldplicht geldt;
- de juistheid van accommodatie-, vergunning-, verhuurder- en gastgegevens;
- de inrichting van termijnen, formulieren en communicatie;
- beoordeling van lokale en sectorspecifieke verplichtingen.
- Qontrato biedt technische hulpmiddelen voor registratie, verzending, opvolging en controleerbaarheid, maar garandeert niet dat de klant daarmee automatisch aan alle wettelijke verplichtingen voldoet.
- Wanneer de klant communicatie met een bevoegde autoriteit activeert, machtigt de klant Qontrato om de daarvoor noodzakelijke gegevens technisch te verwerken en te verzenden.
10. Persoonsgegevens
- Voor persoonsgegevens van klanten, contactpersonen en gebruikers die Qontrato verwerkt voor eigen accountbeheer, support, beveiliging en facturatie, treedt Qontrato in beginsel op als verwerkingsverantwoordelijke.
- Voor persoonsgegevens die de klant via Qontrato verwerkt over huurders, gasten, contactpersonen of eigen gebruikers, treedt Qontrato in veel gevallen op als verwerker namens de klant.
- De klant staat ervoor in dat persoonsgegevens die via Qontrato worden verwerkt rechtmatig zijn verkregen en mogen worden verwerkt voor het beoogde doel.
- Op verwerking door Qontrato zijn de privacyverklaring en, waar Qontrato als verwerker optreedt, de verwerkersovereenkomst van toepassing.
11. Beschikbaarheid, onderhoud en support
- Qontrato spant zich redelijkerwijs in om de dienst beschikbaar en bruikbaar te houden, maar garandeert geen ononderbroken, foutloze of vertragingsvrije beschikbaarheid.
- Qontrato mag onderhoud, updates, beveiligingspatches, migraties en wijzigingen uitvoeren die tijdelijk invloed hebben op beschikbaarheid of werking.
- Gepland onderhoud wordt waar redelijk mogelijk vooraf aangekondigd. Spoedonderhoud kan zonder voorafgaande aankondiging plaatsvinden.
- Support wordt geleverd op basis van redelijke inspanning en via de door Qontrato aangewezen kanalen.
- Qontrato is niet verplicht tot maatwerk, juridisch advies, inhoudelijke controle van klantdocumenten of ondersteuning buiten de overeengekomen dienst.
12. Supporttoegang
- Wanneer Qontrato supporttoegang tot een klantomgeving biedt, wordt die toegang alleen gebruikt voor support, herstel, controle, beveiliging of onderzoek.
- Qontrato beperkt supporttoegang tot wat redelijkerwijs nodig is.
- Qontrato mag supporttoegang en relevante handelingen loggen voor beveiliging, controleerbaarheid en ondersteuning.
- De klant blijft verantwoordelijk voor de beslissing om supporttoegang te verlenen wanneer de functionaliteit daarin voorziet.
13. Beveiliging
- Qontrato neemt passende technische en organisatorische maatregelen om de dienst en daarin verwerkte gegevens te beveiligen.
- Qontrato mag maatregelen inzetten zoals toegangscontrole, sessiebeveiliging, two-factor-authentication, rate limiting, logging, tokenvalidatie, encryptie van gevoelige onderdelen, versleutelde back-ups en versleutelde contractartefacten.
- De klant blijft verantwoordelijk voor beveiliging van eigen apparaten, netwerken, browsers, exports, wachtwoorden en interne processen.
- Qontrato is niet aansprakelijk voor schade door onbevoegde toegang die het gevolg is van handelen of nalaten van de klant of diens gebruikers.
14. Back-ups, retentie en verwijdering
- Qontrato kan back-up- en herstelfunctionaliteiten aanbieden als continuiteitsmaatregel.
- Back-ups vervangen geen eigen administratie-, archief- of bewaarplicht van de klant.
- Handmatige back-ups binnen Qontrato worden standaard maximaal 90 dagen bewaard, tenzij anders overeengekomen of technisch anders ingericht.
- Wanneer een klantaccount wordt beeindigd of verwijderd, geldt standaard een hersteltermijn van 30 dagen vanaf markering als verwijderd.
- Na afloop van de hersteltermijn mag Qontrato accountdata, databases, bestanden, contract-PDF's en overige accountgebonden data automatisch en onomkeerbaar verwijderen.
- Qontrato mag gegevens langer bewaren wanneer dat nodig is voor wettelijke verplichtingen, beveiliging, back-upretentie, geschilafhandeling, fraudeonderzoek, controleerbaarheid of uitvoering van de overeenkomst.
- De klant is verantwoordelijk voor tijdige export van gegevens voor beeindiging of verwijdering.
15. Vergoedingen en betaling
- Voor betaalde onderdelen is de klant de overeengekomen vergoeding verschuldigd.
- Tenzij anders vermeld zijn bedragen exclusief btw en andere heffingen.
- Facturen moeten binnen 14 dagen na factuurdatum worden betaald, tenzij een andere betaaltermijn is overeengekomen.
- Bij niet-tijdige betaling mag Qontrato, na redelijke waarschuwing voor zover vereist, toegang beperken of opschorten.
- Bezwaren tegen een factuur moeten binnen 14 dagen na factuurdatum gemotiveerd worden gemeld en schorten de betalingsverplichting niet op voor het onbetwiste deel.
- Qontrato mag tarieven wijzigen. Bij wezenlijke prijswijzigingen voor lopende abonnementen informeert Qontrato de klant vooraf, tenzij de wijziging voortvloeit uit belastingen, inflatiecorrectie, pakketwijziging of wettelijke verplichting.
16. Pakketten en functies
- Functionaliteiten kunnen afhankelijk zijn van pakket, proefperiode, accountstatus, configuratie, technische beschikbaarheid of wettelijke beperkingen.
- Qontrato mag functies wijzigen, vervangen of verwijderen wanneer dat redelijkerwijs nodig is voor productontwikkeling, beveiliging, onderhoud, compliance of continuiteit.
- Wanneer een functie wezenlijk wordt verwijderd uit een betaald pakket, zal Qontrato zich inspannen een redelijk alternatief te bieden of de klant vooraf te informeren.
17. Intellectuele eigendom
- Alle intellectuele eigendomsrechten op Qontrato, software, documentatie, ontwerpen, interfaces, teksten, templates, bronmateriaal en door Qontrato ontwikkelde onderdelen blijven bij Qontrato of haar licentiegevers.
- De klant krijgt een beperkt, niet-exclusief, niet-overdraagbaar en niet-sublicentieerbaar gebruiksrecht voor de duur van de overeenkomst.
- De klant behoudt rechten op eigen data, documenten en teksten, voor zover die rechten bij de klant rusten.
- De klant geeft Qontrato het recht klantdata technisch te hosten, verwerken, kopieren, beveiligen, tonen en verzenden voor zover nodig voor levering, support, beveiliging, continuiteit en naleving van verplichtingen.
- Feedback, suggesties of verbeterideeen van de klant mogen door Qontrato vrij worden gebruikt zonder vergoeding, voor zover daarbij geen vertrouwelijke informatie of persoonsgegevens openbaar worden gemaakt.
18. Derden en externe diensten
- Qontrato kan gebruikmaken van externe diensten voor hosting, e-mail, betalingen, kantoorprocessen, analytics, video, support, beveiliging of overheidscommunicatie.
- Voor externe websites, diensten of systemen van derden gelden de voorwaarden en beschikbaarheid van die derde partij.
- Qontrato is niet verantwoordelijk voor storingen, wijzigingen, weigeringen of fouten van derden, tenzij sprake is van opzet of bewuste roekeloosheid van Qontrato.
19. Geheimhouding
- Partijen behandelen vertrouwelijke informatie van de andere partij vertrouwelijk.
- Vertrouwelijke informatie mag alleen worden gebruikt voor uitvoering van de overeenkomst.
- Deze verplichting geldt niet voor informatie die openbaar is zonder schending van deze voorwaarden, al bekend was zonder geheimhoudingsplicht, onafhankelijk is ontwikkeld of openbaar moet worden gemaakt op grond van wet of bindend bevel.
20. Opschorting en beeindiging
- De overeenkomst loopt voor de overeengekomen duur of, bij gebreke daarvan, voor onbepaalde tijd.
- Opzegging vindt plaats volgens de overeengekomen afspraken. Als geen opzegtermijn is afgesproken, kan elk van partijen schriftelijk opzeggen met een termijn van een maand.
- Qontrato mag de overeenkomst of toegang geheel of gedeeltelijk opschorten of beeindigen wanneer:
- de klant wezenlijk tekortschiet;
- de klant niet tijdig betaalt;
- sprake is van misbruik, fraude, onrechtmatig gebruik of beveiligingsrisico;
- voortzetting de dienst, andere klanten of derden kan schaden;
- Qontrato daartoe wettelijk of door een bindend bevel verplicht is.
- Beeindiging laat bepalingen die naar hun aard voortduren onverlet, waaronder bepalingen over betaling, vertrouwelijkheid, intellectuele eigendom, aansprakelijkheid, persoonsgegevens, toepasselijk recht en geschillen.
21. Aansprakelijkheid
- Qontrato is alleen aansprakelijk voor directe schade die het rechtstreekse gevolg is van een toerekenbare tekortkoming van Qontrato.
- Qontrato is niet aansprakelijk voor indirecte schade, gevolgschade, gemiste omzet of winst, verlies van data buiten de eigen herstelverplichtingen, reputatieschade, bedrijfsstagnatie, gemiste besparingen, schade door onjuiste klantgegevens, schade door klanttemplates of schade door lokale compliancekeuzes van de klant.
- De totale aansprakelijkheid van Qontrato is beperkt tot het bedrag dat de klant voor de betreffende dienst heeft betaald in de zes maanden voorafgaand aan de schadeveroorzakende gebeurtenis, met een maximum van EUR 2.500 per gebeurtenis of reeks samenhangende gebeurtenissen.
- De beperkingen gelden niet voor zover schade het gevolg is van opzet of bewuste roekeloosheid van de leiding van Qontrato of voor zover beperking wettelijk niet is toegestaan.
- Een aanspraak op schadevergoeding vervalt wanneer de klant Qontrato niet binnen 30 dagen na ontdekking van de schade schriftelijk informeert en vervalt in ieder geval 12 maanden na de gebeurtenis waaruit de schade voortvloeit.
22. Vrijwaring
De klant vrijwaart Qontrato tegen aanspraken van derden die voortvloeien uit:
- onrechtmatig gebruik van de dienst door de klant of diens gebruikers;
- onjuiste of onrechtmatige klantdata;
- contracten, voorwaarden, templates, e-mails of formulieren van de klant;
- ontbreken van een geldige verwerkingsgrondslag;
- schending van lokale verhuur-, registratie-, vergunning- of meldplichten door de klant.
23. Overmacht
- Qontrato is niet gehouden tot nakoming wanneer zij wordt verhinderd door overmacht.
- Onder overmacht valt onder meer storing bij hosting-, internet-, energie-, betaal-, mail- of andere leveranciers, cyberincidenten, overheidsmaatregelen, oorlog, pandemie, stakingen, brand, natuurrampen en andere omstandigheden buiten redelijke controle van Qontrato.
- Wanneer overmacht langer dan 60 dagen duurt, mogen partijen de overeenkomst geheel of gedeeltelijk beeindigen voor zover de overmacht nakoming wezenlijk verhindert.
24. Wijzigingen
- Qontrato mag de dienst en deze voorwaarden wijzigen.
- Ondergeschikte wijzigingen en wijzigingen door beveiliging, technische noodzaak, wetgeving of productontwikkeling kunnen direct worden doorgevoerd.
- Bij wezenlijke wijzigingen informeert Qontrato de klant op redelijke wijze.
- Wanneer de klant de dienst na inwerkingtreding blijft gebruiken, geldt dat als aanvaarding van de gewijzigde voorwaarden, tenzij dwingend recht anders bepaalt.
25. Overdracht
- De klant mag rechten of verplichtingen uit de overeenkomst niet overdragen zonder voorafgaande schriftelijke toestemming van Qontrato.
- Qontrato mag rechten en verplichtingen overdragen aan een groepsmaatschappij, rechtsopvolger of partij die de onderneming of dienst overneemt.
26. Toepasselijk recht en geschillen
- Op de overeenkomst en deze voorwaarden is Nederlands recht van toepassing.
- Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Qontrato B.V. is gevestigd, tenzij dwingend recht anders bepaalt.
27. Taal
De Nederlandse versie van deze voorwaarden is leidend. Vertalingen zijn bedoeld voor toegankelijkheid. Bij verschil tussen taalversies gaat de Nederlandse versie voor, tenzij dwingend recht anders bepaalt.
Appendix: Verwerkersovereenkomst
Laatst bijgewerkt: 6 juni 2026
Deze verwerkersovereenkomst vormt onderdeel van de overeenkomst tussen Qontrato en de klant voor het gebruik van Qontrato.
1. Partijen en rollen
Qontratois de softwaredienst van Qontrato B.V. voor verhuurders.- De
Klantis de natuurlijke persoon of rechtspersoon die Qontrato gebruikt voor eigen verhuuractiviteiten. - Voor persoonsgegevens die de klant via Qontrato verwerkt over huurders, hoofdgasten, overige gasten, contactpersonen of eigen gebruikers, treedt de klant op als verwerkingsverantwoordelijke en treedt Qontrato op als verwerker.
- Voor persoonsgegevens die Qontrato verwerkt voor eigen accountbeheer, facturatie, beveiliging, support, productbeheer en bedrijfsadministratie, treedt Qontrato zelfstandig op als verwerkingsverantwoordelijke. Die verwerkingen vallen buiten deze verwerkersovereenkomst en onder de privacyverklaring.
2. Toepasselijkheid en rangorde
- Deze verwerkersovereenkomst geldt voor alle verwerking van persoonsgegevens die Qontrato namens de klant uitvoert binnen de dienst.
- Bij strijd tussen documenten geldt voor verwerking namens de klant de volgende rangorde:
- afzonderlijke schriftelijke afspraken over verwerking;
- deze verwerkersovereenkomst;
- de algemene voorwaarden;
- overige documentatie of instructies binnen de dienst.
- Begrippen zoals persoonsgegevens, verwerking, betrokkene, verwerkingsverantwoordelijke, verwerker, subverwerker en inbreuk in verband met persoonsgegevens hebben de betekenis die daaraan in de Algemene verordening gegevensbescherming wordt gegeven.
3. Onderwerp en duur
- Het onderwerp van de verwerking is het leveren van Qontrato als SaaS-platform voor contractbeheer, digitale ondertekening, gastregistratie, communicatie, boekingsdashboard, app-integraties, Open API, support en aanverwante functionaliteiten.
- De verwerking start zodra de klant Qontrato gebruikt voor persoonsgegevens waarvoor Qontrato als verwerker optreedt.
- De verwerking duurt zolang de overeenkomst tussen Qontrato en de klant loopt en zolang persoonsgegevens daarna nog nodig zijn voor verwijdering, teruggave, herstel, wettelijke verplichtingen, beveiliging, geschilafhandeling of controleerbaarheid.
4. Doel, aard en instructies
- Qontrato verwerkt persoonsgegevens uitsluitend voor het leveren, beveiligen, onderhouden en ondersteunen van de dienst en voor zover nodig op basis van gedocumenteerde instructies van de klant.
- De inrichting en het gebruik door de klant van templates, contractteksten, gastregistratieformulieren, reminders, boekingsdashboardinformatie, app-integraties, API-instellingen, woningkoppelingen, importdata, ontvangers en vrije tekstvelden gelden als instructies van de klant.
- Qontrato verwerkt persoonsgegevens niet voor eigen commerciële doeleinden wanneer Qontrato voor die gegevens als verwerker optreedt.
- Indien Qontrato meent dat een instructie in strijd is met toepasselijke privacywetgeving, informeert Qontrato de klant daarover, tenzij wetgeving dit verbiedt.
- Qontrato mag persoonsgegevens verwerken buiten instructie van de klant wanneer dit verplicht is op grond van Unierecht of lidstatelijk recht. Voor zover toegestaan informeert Qontrato de klant vooraf over die verplichting.
5. Categorieen betrokkenen en persoonsgegevens
De categorieen betrokkenen en persoonsgegevens staan beschreven in Bijlage 1. De klant bepaalt welke persoonsgegevens feitelijk in Qontrato worden ingevoerd, geimporteerd, gegenereerd of gepubliceerd.
6. Verplichtingen van de klant
- De klant zorgt voor een geldige grondslag voor de verwerking van persoonsgegevens in Qontrato.
- De klant is verantwoordelijk voor juistheid, rechtmatigheid, proportionaliteit en actualiteit van de ingevoerde gegevens, contractteksten, formulieren, communicatie en instellingen.
- De klant informeert betrokkenen waar nodig over de verwerking via Qontrato.
- De klant gebruikt Qontrato niet voor bijzondere categorieen persoonsgegevens of strafrechtelijke persoonsgegevens, tenzij de klant daarvoor een geldige grondslag heeft en Qontrato schriftelijk heeft bevestigd dat de dienst daarvoor passend kan worden gebruikt.
- De klant blijft verantwoordelijk voor eigen bewaartermijnen, lokale verhuurverplichtingen, Spaanse gastenregistratieverplichtingen, SES Hospedajes-verplichtingen en andere sectorspecifieke verplichtingen.
- De klant blijft verantwoordelijk voor de externe boekingssystemen of eigen systemen die hij aan Qontrato koppelt, voor de juistheid van woningkoppelingen en voor de rechtmatigheid van gegevens die via app-integraties of de Open API aan Qontrato worden geleverd.
7. Geheimhouding
- Qontrato zorgt dat personen die namens Qontrato toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding of een passende contractuele vertrouwelijkheidsplicht.
- Qontrato beperkt toegang tot persoonsgegevens tot personen voor wie die toegang redelijkerwijs nodig is voor levering, onderhoud, support, beveiliging, administratie of incidentafhandeling.
8. Beveiliging
- Qontrato treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen verlies, vernietiging of beschadiging.
- De actuele minimummaatregelen staan beschreven in Bijlage 2.
- Qontrato mag beveiligingsmaatregelen wijzigen, mits het beschermingsniveau als geheel passend blijft bij de aard, omvang, context en risico's van de verwerking.
- De klant blijft verantwoordelijk voor beveiliging van eigen apparaten, netwerken, browsers, gebruikersaccounts, autorisaties, wachtwoorden, exports en lokaal opgeslagen bestanden.
9. Subverwerkers
- De klant geeft algemene schriftelijke toestemming voor het inschakelen van subverwerkers voor hosting, infrastructuur, e-mailverzending, opslag, beveiliging, support, kantoorprocessen, betalingen en andere onderdelen die nodig zijn voor Qontrato.
- Qontrato legt aan subverwerkers die persoonsgegevens namens de klant verwerken contractuele verplichtingen op die in essentie gelijkwaardig zijn aan de verplichtingen uit deze verwerkersovereenkomst.
- Qontrato blijft richting de klant verantwoordelijk voor de nakoming van verplichtingen door subverwerkers voor zover Qontrato daarvoor op grond van de AVG verantwoordelijk is.
- Qontrato informeert de klant op redelijke wijze over wezenlijke wijzigingen in subverwerkers. De klant kan binnen een redelijke termijn gemotiveerd bezwaar maken tegen een nieuwe subverwerker wanneer het bezwaar verband houdt met privacy- of beveiligingsrisico's.
- Wanneer een bezwaar niet redelijkerwijs kan worden opgelost, kan Qontrato de betreffende functionaliteit beperken of de overeenkomst beeindigen voor zover de subverwerker noodzakelijk is voor de dienst.
10. Internationale doorgifte
- Qontrato verwerkt persoonsgegevens in beginsel binnen de Europese Economische Ruimte.
- Wanneer verwerking buiten de EER plaatsvindt, zorgt Qontrato voor een passende doorgiftegrondslag, zoals een adequaatheidsbesluit, standaardcontractbepalingen of een andere geldige grondslag onder de AVG.
- De klant geeft Qontrato toestemming om persoonsgegevens door te geven voor zover dit noodzakelijk is voor het leveren van functionaliteiten die de klant activeert, waaronder communicatie met bevoegde autoriteiten zoals SES Hospedajes en met externe systemen die de klant zelf koppelt.
11. Assistentie aan de klant
Qontrato ondersteunt de klant, voor zover redelijk en passend bij de aard van de verwerking en de beschikbare informatie, bij:
- verzoeken van betrokkenen tot inzage, rectificatie, verwijdering, beperking, overdraagbaarheid of bezwaar;
- beveiliging van verwerking;
- melding en onderzoek van inbreuken in verband met persoonsgegevens;
- gegevensbeschermingseffectbeoordelingen;
- voorafgaande raadpleging van toezichthouders.
Qontrato mag redelijke kosten in rekening brengen wanneer de gevraagde ondersteuning verder gaat dan normale productfunctionaliteit of reguliere support.
12. Inbreuken in verband met persoonsgegevens
- Qontrato meldt een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging aan de klant nadat Qontrato daarvan kennis heeft genomen, voor zover de inbreuk persoonsgegevens raakt die Qontrato namens de klant verwerkt.
- Qontrato verstrekt, voor zover beschikbaar, informatie over de aard van de inbreuk, de betrokken gegevens, de vermoedelijke gevolgen, getroffen of voorgestelde maatregelen en contactmogelijkheden voor opvolging.
- De klant is verantwoordelijk voor beoordeling en eventuele melding aan toezichthouder of betrokkenen, tenzij partijen schriftelijk anders afspreken.
13. Verwijdering, teruggave en bewaartermijnen
- Na beeindiging van de overeenkomst verwijdert of retourneert Qontrato persoonsgegevens die namens de klant zijn verwerkt, tenzij verdere opslag vereist of toegestaan is op grond van wetgeving, geschilafhandeling, beveiliging, back-upretentie of de algemene voorwaarden.
- Verwijdering kan gefaseerd plaatsvinden volgens technische retentieprocessen, waaronder een hersteltermijn voor verwijderde accounts en beperkte back-upretentie.
- Back-ups worden niet actief gebruikt, behalve voor herstel, continuiteit, beveiliging of wettelijke verplichtingen.
- Voor Spaanse gastenregistratie en SES Hospedajes kan verwijdering worden uitgesteld wanneer wettelijke bewaartermijnen, controleverplichtingen of aantoonbare auditbehoeften dat vereisen.
14. Audits en informatie
- Qontrato stelt informatie beschikbaar die redelijkerwijs nodig is om naleving van deze verwerkersovereenkomst aan te tonen.
- Een audit of inspectie vindt alleen plaats na redelijke voorafgaande aankondiging, maximaal eenmaal per kalenderjaar, tijdens normale kantooruren en op een manier die vertrouwelijkheid, beveiliging, bedrijfsvoering en gegevens van andere klanten beschermt.
- Een audit wordt uitgevoerd door een onafhankelijke deskundige die gebonden is aan geheimhouding.
- De klant draagt de kosten van een audit, tenzij uit de audit een wezenlijke toerekenbare tekortkoming van Qontrato blijkt.
- Qontrato mag een audit weigeren of beperken wanneer deze een risico vormt voor beveiliging, continuiteit, vertrouwelijkheid of rechten van derden, mits Qontrato een redelijk alternatief biedt.
15. Registers en samenwerking
Qontrato houdt, voor zover wettelijk vereist, een register bij van verwerkingsactiviteiten waarvoor Qontrato als verwerker optreedt. Qontrato werkt redelijkerwijs mee aan verzoeken van toezichthouders voor zover die betrekking hebben op verwerking namens de klant.
16. Aansprakelijkheid
- De aansprakelijkheid van Qontrato onder deze verwerkersovereenkomst is beperkt zoals bepaald in de algemene voorwaarden of de afzonderlijke overeenkomst tussen partijen.
- Geen enkele beperking geldt voor zover beperking wettelijk niet is toegestaan.
- De klant vrijwaart Qontrato tegen aanspraken die voortvloeien uit onrechtmatige instructies, onjuiste gegevens, ontbrekende grondslagen, onjuiste bewaartermijnen of schending van informatieplichten door de klant.
17. Wijzigingen
Qontrato mag deze verwerkersovereenkomst wijzigen wanneer dat nodig is door wijziging van wetgeving, dienstverlening, beveiligingsmaatregelen, subverwerkers, technische inrichting of operationele processen. Wezenlijke wijzigingen worden op redelijke wijze aan de klant meegedeeld.
18. Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing, tenzij dwingend recht anders bepaalt.
Bijlage 1. Verwerkingsdetails
Onderwerp
Levering van Qontrato als SaaS-platform voor verhuurders, inclusief contractbeheer, digitale ondertekening, gastregistratie, communicatie, boekingsdashboard, app-integraties, Open API, support, beveiliging, logging en onderhoud.
Duur
Gedurende de looptijd van de overeenkomst en daarna zolang nodig voor verwijdering, teruggave, back-ups, wettelijke verplichtingen, beveiliging, geschilafhandeling of controleerbaarheid.
Aard van de verwerking
Verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, raadplegen, gebruiken, verzenden, beschikbaar stellen, beveiligen, loggen, exporteren, archiveren, verwijderen en vernietigen van persoonsgegevens.
Doeleinden
- aanmaken en beheren van contracten;
- verzenden en digitaal laten ondertekenen van contracten;
- beheren van boekings- en verblijfgegevens;
- ontvangen, importeren en bijwerken van boekingsgegevens uit door de klant gekoppelde apps of eigen systemen;
- faciliteren van gastregistraties en herinneringen;
- ondersteunen van Spaanse gastenregistratie en SES Hospedajes-functionaliteit wanneer de klant deze activeert;
- tonen van publieke of beveiligde dashboards en formulieren;
- verzenden van e-mails, notificaties en beveiligingscodes;
- bieden van support, herstel, onderhoud en beveiliging;
- vastleggen van audit- en statusinformatie.
Categorieen betrokkenen
- klanten en gebruikers van de klant;
- huurders;
- hoofdgasten;
- medegasten en overige gasten;
- contactpersonen;
- personen die in contracten, boekingen, gastregistraties, supportberichten of vrije tekstvelden worden opgenomen.
Categorieen persoonsgegevens
- naam, adres, woonplaats, land en contactgegevens;
- e-mailadres en telefoonnummer;
- account- en autorisatiegegevens;
- boekings-, verblijfs- en contractgegevens;
- externe boekings-id's, externe woning-id's, bronsysteem, importstatussen, controlewaarschuwingen, payloadhashes en tijdelijk bewaarde versleutelde externe payloads;
- digitale ondertekengegevens, waaronder tijdstippen, status, IP-adres en documentreferenties;
- gastregistratiegegevens, waaronder geboortedatum, nationaliteit, geslacht, documenttype, documentnummer, documentondersteuningsnummer, relatie tot hoofdgast en handtekeningstatus waar gebruikt;
- SES Hospedajes-gegevens, waaronder reserverings-, accommodatie-, betaalwijze-, communicatie-, lot-, status- en responsegegevens;
- communicatie-inhoud, templates, vrije tekst en supportgegevens;
- technische loggegevens, beveiligingsgegevens, sessiegegevens en auditgegevens.
Bijlage 2. Technische en organisatorische maatregelen
Qontrato hanteert onder meer de volgende maatregelen, voor zover passend bij de betreffende verwerking:
- logische toegangscontrole met accounts, rollen en autorisaties;
- wachtwoordminimum van 12 tekens;
- two-factor-authentication of aanvullende verificatie waar aangeboden of afgedwongen;
- sessiebeveiliging, CSRF-bescherming, tokenvalidatie en rate limiting;
- TLS voor website- en applicatieverkeer;
- logging van beveiligings-, support- en controlehandelingen binnen vastgestelde bewaartermijnen;
- versleuteling van beveiligingsgevoelige tokens;
- versleutelde opslag van handmatige back-ups;
- versleutelde opslag van getekende contractartefacten zoals signed PDF-bestanden;
- aanvullende versleuteling voor gevoelige onderdelen van gastregistratiegegevens;
- versleutelde opslag van appcredentials en tijdelijk bewaarde ruwe externe boekingspayloads;
- gehashte of versleutelde opslag van API-beveiligingscodes, masked weergave van secrets, optionele IP-whitelist en rate limiting op publieke integratie- en API-routes;
- versleutelde opslag van SES Hospedajes-inloggegevens en SES Hospedajes-requestpayloads waar deze binnen Qontrato worden bewaard;
- scheiding van klantomgevingen waar de architectuur daarin voorziet;
- beperkte supporttoegang en logging van supporthandelingen;
- procedures voor incidentopvolging, herstel en onderhoud;
- technische retentieprocessen voor verwijdering, back-ups en logs.
Niet alle persoonsgegevens in de database zijn generiek of veldniveau versleuteld. Qontrato past encryptie gericht toe op onderdelen waarvoor dat technisch en privacyrechtelijk het meest noodzakelijk is.
Bijlage 3. Subverwerkerscategorieen
Qontrato gebruikt of kan subverwerkers gebruiken voor:
- hosting en infrastructuur;
- e-mailverzending en mailaflevering;
- opslag, back-ups en technisch beheer;
- support en zakelijke communicatie;
- betalingen en facturatieprocessen;
- beveiliging, monitoring en logging;
- analyse van website- of applicatiegebruik;
- video- of documentweergave waar door de klant of gebruiker geactiveerd;
- technische connector- of API-diensten die Qontrato zelf inschakelt voor door de klant geactiveerde koppelingen;
- communicatie met bevoegde autoriteiten of door autoriteiten aangewezen systemen, waaronder SES Hospedajes wanneer de klant deze functionaliteit gebruikt.
Externe boekingssystemen of eigen systemen die de klant zelf kiest en koppelt, zijn niet automatisch subverwerkers van Qontrato. Voor die systemen blijft de klant verantwoordelijk voor de gekozen leverancier, grondslag, instellingen en gegevensuitwisseling, tenzij Qontrato de betreffende partij zelf als subverwerker inschakelt.